Michal Marek Egy működőképes ransomware típusú "vírus" először érkezett a Mac-re. Ez a fertőzés úgy működik, hogy titkosítja a felhasználó adatait, és a felhasználónak „váltságdíjat” kell fizetnie a támadóknak, hogy visszakapják adataikat. A fizetés általában bitcoinban történik, ami garanciát jelent a követhetetlenségre a támadók számára. A fertőzés forrása a bittorrent hálózat nyílt forráskódú kliense volt Átvitel 2.90-es verzióban.
A kellemetlen tény az, hogy egy rosszindulatú kódrészlet ún OSX.KeRanger.A közvetlenül a hivatalos telepítőcsomagba került. A telepítő tehát saját aláírt fejlesztői tanúsítvánnyal rendelkezett, így sikerült megkerülnie a Gatekeepert, az OS X egyébként megbízható rendszervédelmét.
Ezt követően már semmi sem akadályozhatta meg a szükséges fájlok létrehozását, a felhasználó fájljainak zárolását, illetve a fertőzött számítógép és a támadók szerverei közötti kommunikáció kialakítását a Tor hálózaton keresztül. A felhasználókat átirányították a Torhoz is, hogy fizessenek egy bitcoin díjat a fájlok feloldásáért, és egy bitcoin jelenleg 400 dollárt ér.
Érdemes azonban megemlíteni, hogy a felhasználói adatok a csomag telepítése után három napig titkosítva lesznek. Addig nincs vírus jelenlétére utaló jel, és csak az Activity Monitorban lehet kimutatni, ahol fertőzés esetén a "kernel_service" feliratú folyamat fut. A rosszindulatú programok észleléséhez keresse meg a következő fájlokat is Mac számítógépén (ha megtalálja őket, akkor valószínűleg fertőzött):
/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
Az Apple reakciója nem tartott sokáig, és a fejlesztői tanúsítványt máris érvénytelenítették. Tehát amikor a felhasználó most szeretné futtatni a fertőzött telepítőt, erős figyelmeztetést kap a lehetséges kockázatra. Frissítésre került az XProtect vírusirtó rendszer is. A fenyegetésre is reagált Átviteli weboldal, ahol figyelmeztetést tettek közzé a torrent kliens 2.92-es verziójára való frissítés szükségességéről, ami megoldja a problémát és eltávolítja a kártevőt az OS X rendszerről. A rosszindulatú telepítő azonban még mindig csaknem 48 órán át, március 4-től 5-ig elérhető volt.
Azoknak a felhasználóknak, akik úgy gondolták, hogy a problémát a Time Machine-en keresztüli adatok visszaállításával oldják meg, a rossz hír az, hogy a KeRanger, ahogy a ransomware-t hívják, a biztonsági másolatot tartalmazó fájlokat is megtámadja. Ennek ellenére a jogsértő telepítőt telepítő felhasználókat meg kell menteni a Transmission legújabb verziójának telepítésével a projekt weboldaláról.
Azok, akik az alkalmazáson keresztül frissítettek 2.90-re, nincsenek veszélyben...
Azok, akik a torrenteken keresztül szívnak, nem érdemelnek mást, csak ransomware-t...
Azta
És megint a hülye elítélés egy pofonnal :(
Gondoltad volna, hogy a torrent protokoll használható és sw terjesztésre is használják?
Hááát, ha letöltök egy Linux disztribúciót, az a legjobb Torrenten keresztül, amire eleve erre fejlesztették ki az adott protokollt, az, hogy visszaélnek vele, az más kérdés...