Na Macy dorazil první funkční ransomware, dveře mu otevřel bittorrentový klient Transmission

transmission-mac

Na Mac vůbec poprvé dorazil funkční „virus“ typu ransomware. Tato nákaza funguje tak, že zašifruje data uživatele a ten následně pro jejich odemčení musí útočníkům zaplatit „výkupné“, aby svá data získal zpět. K platbě většinou dochází v bitcoinech, které jsou pro útočníky zárukou nevysledovatelnosti. Zdrojem nákazy byl open-sourcový klient pro bittorentovou síť Transmission ve verzi 2.90.

Nepříjemnou skutečností je, že škodlivý kus kódu nazvaný OSX.KeRanger.A se dostal přímo do oficiálního instalačního balíku. Instalátor měl tedy svůj podepsaný vývojářský certifikát a podařilo se mu tak obejít i Gatekeeper, jindy spolehlivou systémovou ochranu OS X.

Poté již nic nemohlo zabránit vytvoření potřebných souborů, uzamčení souborů uživatele a prostřednictvím sítě Tor také navázání komunikace mezi nakaženým počítačem a servery útočníků. Na Tor byli uživatelé rovněž přesměrováni, aby zde zaplatili poplatek jednoho bitcoinu za odemčení souborů, přičemž jeden bitcoin má v současné době hodnotu 400 dolarů (10 tisíc korun).

Dobré je ale zmínit, že k zašifrování dat uživatele dochází vždy až tři dny po instalaci balíčku. Do té doby přítomnosti viru nic nenasvědčuje a odhalit ho lze jedině v Monitoru aktivity, kde v případě nákazy probíhá proces s označením „kernel_service“. Pro odhalení malwaru hledejte na svém Macu také následující soubory (pokud je naleznete, pravděpodobně je váš Mac nakažen):

/Applications/Transmission.app/Contents/Resources/General.rtf

/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

Reakce Applu na sebe nenechala dlouho čekat a vývojářský certifikát byl již zneplatněn. Když tedy nyní bude chtít uživatel nakažený instalátor spustit, bude důrazně varován před možným rizikem. Zaktualizován byl rovněž antivirový systém XProtect. Na hrozbu zareagoval i web nástroje Transmission, kde bylo zveřejněno upozornění na nutnou aktualizace torrentového klienta na verzi 2.92, která problém řeší a malware z OS X odstraňuje. Škodlivý instalátor byl ale i tak k dispozici takřka 48 hodin, a to od 4. do 5. března.

Pro uživatele, které napadlo tento problém řešit obnovou dat přes Time Machine, je špatnou zprávou fakt, že KeRanger, jak se ransomware jmenuje, útočí i právě na zálohované soubory. Jak již bylo řečeno, uživatele, kteří si závadný instalátor nainstalovali, by měla zachránit instalace nejnovější verze Transmission z webové stránky projektu.

Zdroj: 9to5Mac
Předchozí článekDalší článek
  • Jakub

    Ti kdo aktualizovali na 2.90 přes aplikaci nejsou v ohrožení…

  • Töchtle Möchtle

    Kdo sosá přes torrenty si nic jiného než ransomware nezaslouží…

    • Lexar

      vaffanculo

    • Tomas Libensky

      A zase to hloupé odsuzování šmahem :(
      Napadlo vás, že torrent protokol lze používat a také je používán pro distribuci sw?

    • Petr Šourek

      Hmmm, když stahuji linuxovou distribuci, tak nejlépe přes Torrent, pro což byl daný protokol i vyvinut v první řadě, to že je zneužíván je věc jiná…