Apple krijgt zijn eerste dosis Ransomware als 6.500 gebruikers getroffen door het versleutelingsvirus

Als je vrijdag een van de ongelukkigen was om de nieuwe versie van Transmission te downloaden en te installeren, een torrent-downloadtoepassing, vandaag is het je dag van afrekening: je informatie, en je hele toegang tot je zelfkolom, kan worden opgemaakt voor losgeld.

Mac-gebruikers zijn nog nooit eerder blootgesteld aan volledig gerealiseerde ransomware en dat is niet zonder reden: Apple-producten zijn relatief sterke vestigingen tegen virussen. Maar deze installateur versluierde het kwaadaardige programma, KeRanger, en gaf het een driedaagse rustperiode. Transmission is een van de meer populaire, simplistische en intuïtieve BitTorrent-clients en maakt het heel gemakkelijk voor gebruikers om torrents te downloaden, of het nu gaat om torrents van albums, programma's, films of enz.

Op die noodlottige derde dag - die vandaag de dag gebeurde - werden degenen die Transmission versie 2.90 installeerden en genoten van drie jubelende dagen van geteisterde goedheid ontvangen met een grof losgeld om 14.00 uur. Eastern time: KeRanger versleutelde de inhoud van de Macs van de ongelukkige en eiste 1 bitcoin - equivalent, vandaag, tot ongeveer $ 409 - om de genoemde gegevens te decoderen. En met meer dan 300 verschillende soorten bestandsextensies gecodeerd, werd er maar weinig gespaard.

John Clay van Transmission gaf omgekeerde een vollediger verhaal:

"We zullen de komende dagen een bericht plaatsen met meer informatie, maar onze beste gok is dat ongeveer 6.500 geïnfecteerde schijfkopieën werden gedownload (van tienduizenden legitieme downloads van deze versie). Daarvan is onze veronderstelling dat velen het geïnfecteerde bestand niet konden draaien omdat Apple snel het certificaat intrek dat werd gebruikt om het binaire bestand te ondertekenen en de XProtect-definities bij te werken. We wachten op bevestiging van Apple.

"Het automatische updatemechanisme van Sparkle is niet aangetast en zou niet zijn bijgewerkt naar het geïnfecteerde binaire bestand omdat de hash anders was. Verder is onze derde partij cache (CacheFly) niet aangetast, waar veel van de software-update-websites naar verwijzen (MacUpdate en anderen). We hebben ook bevestigd dat een gebruiker met een geïnfecteerde versie automatisch kan worden bijgewerkt naar de legitieme releases van 2.91 of 2.92, waarbij 2.92 actief probeert de malware te verwijderen."

Als u Transmission gebruikt, kunt u als volgt controleren of uw eigen computer is geïnfecteerd:

• Open de ingebouwde activiteitenmonitor in Programma's / Hulpprogramma's.
• Zoek op het tabblad "Disk" naar "kernel_service". ("Kernel_task" is onschadelijk en een vitaal onderdeel van de OSX, als je ziet dat het proces loopt, raak dan niet in paniek.)

Het losgeld biljet, dat is vreemd genoeg beleefd, gezien de onbetaalbaar sorry ziel van de makers, is hier te zien. Het begint met: "Uw computer is vergrendeld en al uw bestanden zijn versleuteld met 2048-bits RSA-codering."

Transmission reageerde snel en vernieuwde het installatieprogramma om KeRanger van geïnfecteerde computers uit te sluiten en naar verluidt te verwijderen.

Een van de onderzoekers die de ransomware ontdekte - Claud Xiao - was actief bezig met het verspreiden van het woord:

Mensen, dit is de enige keer dat ik je hulp verzoek om het nieuws te verspreiden. #KeRanger is ontworpen om de volgende maandagochtend de codering te starten!

- Claud Xiao (@claud_xiao) 6 maart 2016

#Transmission pushte 2.92 update die code bevat om de #KeRanger ransomware te detecteren en te verwijderen. Update het voor maandag 11:00 uur.

- Claud Xiao (@claud_xiao) 6 maart 2016

Het waarschuwde ook iedereen die het programma aan het updaten was:

Apple reageerde ook door die versie van de certificering van het installatieprogramma te verwijderen - een certificering waarmee de ransomware de normaal strenge GateKeeper en XProtect kon omzeilen die de Macs veilig hielden.

Palo Alto Networks heeft de inbreuk op de beveiliging aan het licht gebracht. Kijk hier voor het volledige rapport en een handleiding voor zelfbescherming.