Apple dostane svoju prvú dávku Ransomware ako 6.500 užívateľov Hit s šifrovacím vírusom

Ak ste boli jedným z nešťastných mnohých v piatok stiahnuť a nainštalovať novú verziu vysielania, torrent sťahovanie aplikácie, dnes je váš deň zúčtovania: Vaše informácie, a váš vlastný prístup k svojmu stĺpu self, môže byť postavený na výkupné.

Používatelia Mac nikdy predtým neboli vystavení plne realizovanému ransomware a z dobrého dôvodu: produkty Apple boli relatívne silné proti vírusom. Ale tento inštalatér zahalil škodlivý program KeRanger a dal mu trojdňové obdobie pokoja. Prenos je jedným z najobľúbenejších, najjednoduchších a intuitívnych klientov BitTorrent a umožňuje užívateľom veľmi ľahko sťahovať torrenty, či už torrenty albumov, programov, filmov alebo atď.

V ten osudný tretí deň - čo sa stalo dnes - tí, ktorí si nainštalovali prenosovú verziu 2.90 a užívali si tri jubilujúce dni búrlivého dobra, sa stretli s drsným výkupným listom o 14.00 hod. Východný čas: KeRanger zakódoval obsah nešťastných Macov a požiadal o 1 bitcoin - ekvivalent, dnes na približne 409 USD - na dešifrovanie uvedených údajov. A s viac ako 300 rôznymi typmi súborov, ktoré boli šifrované, bolo veľmi málo ušetrené.

John Clay na Transmission dal obrátený plnší príbeh:

„V najbližších dňoch uverejníme oznámenie s viacerými informáciami, ale naším najlepším odhadom v tomto bode je, že sa stiahlo približne 6 500 obrázkov infikovaných diskov (z desiatok tisíc legálnych súborov na prevzatie tejto verzie). Z toho je naša domnienka, že mnohí neboli schopní spustiť infikovaný súbor kvôli tomu, že Apple rýchlo zrušil certifikát použitý na podpísanie binárnej verzie, ako aj aktualizáciu definícií XProtect. Čakáme na potvrdenie od spoločnosti Apple.

„Mechanizmus automatickej aktualizácie Sparkle nebol ohrozený a nepodarilo sa aktualizovať na infikovaný binárny systém, pretože hash bol iný. Okrem toho, naša tretia strana cache (CacheFly) nebol ohrozený, čo je miesto, kde mnoho webových stránok aktualizácie softvéru odkaz na (MacUpdate et al). Potvrdili sme tiež, že používateľ s infikovanou verziou môže úspešne automaticky aktualizovať na legitímne vydania z verzie 2.91 alebo 2.92 s aktívnym pokusom o odstránenie škodlivého softvéru z operačného systému 2.92. “

Ak používate Transmission, tu je návod, ako skontrolovať, či bol váš počítač infikovaný:

• Otvorte vstavaný Activity Monitor v aplikácii / Utilities.
• Na karte „Disk“ vyhľadajte výraz „kernel_service“. („Kernel_task“ je neškodný a dôležitou súčasťou OSX, ak vidíte, že proces beží, nepanikárte.)

Viditeľná je tu výkupná listina, ktorá je podivuhodne zdvorilá, pretože jej tvorcovia sú nepochybne ľúto. Začína, „Váš počítač bol zamknutý a všetky vaše súbory boli zašifrované 2048-bitovým šifrovaním RSA.“

Transmission rýchlo reagovala a aktualizovala svoj inštalačný program, aby vylúčila a údajne odstránila KeRanger z infikovaných počítačov.

Jeden z výskumníkov, ktorí objavili ransomware - Claud Xiao - bol aktívny a šíril slovo:

Ľudia, toto je jediná chvíľa, kedy žiadam vašu pomoc o šírenie správ. #KeRanger je určený na spustenie šifrovania v nasledujúci pondelok ráno!

- Claud Xiao (@claud_xiao) 6. marec 2016

#Transmission práve tlačil 2.92 aktualizáciu, ktorá obsahuje kód na detekciu a odstránenie #KeRanger ransomware. Aktualizujte ho pred pondelkom 11:00.

- Claud Xiao (@claud_xiao) 6. marec 2016

Upozornil tiež všetkých, ktorí aktualizovali program:

Spoločnosť Apple tiež reagovala tým, že odstránila túto verziu certifikácie inštalatéra - certifikáciu, ktorá umožnila ransomware obísť bežne prísne služby GateKeeper a XProtect, ktoré zabezpečujú bezpečnosť počítačov Mac.

Palo Alto Networks odhalil narušenie bezpečnosti. Pre úplnú správu a sprievodcu vlastnou ochranou sa pozrite sem.