Apple obté la seva primera dosi de Ransomware a mesura que 6.500 usuaris van colpejar amb el virus de xifrat

Si fóssiu un dels molts desafortunats divendres a descarregar i instal·lar la nova versió de Transmission, una aplicació de descàrrega de torrent, avui és el vostre dia de comptes: la vostra informació i el vostre propi accés al vostre pilar de si mateix, es poden presentar rescat.

Els usuaris de Mac mai no han estat exposats a rescat de programari completament complert i per bones raons: els productes d'Apple han estat llocs forts relatius contra els virus. Però aquest instal·lador va vetllar pel programa maliciós, KeRanger, i li va donar un període de latència de tres dies. Transmission és un dels clients BitTorrent més populars, simplistes i intuïtius i fa molt fàcil als usuaris descarregar torrents, siguin torrents d’àlbums, programes, pel·lícules, etc.

En aquell fatídic tercer dia, que passa avui dia, els que van instal·lar la versió 2.90 de Transmission i van gaudir de tres dies de bondat de torrent van rebre una nota de trànsit de mala sort a les 2 de la tarda. Hora de l'Est: KeRanger va xifrar el contingut dels Mac desafortunats i va exigir a l'actualitat un 1 bitcoin-equivalent, al voltant de $ 409, per desxifrar aquestes dades. I amb més de 300 tipus diferents d’extensions de fitxers xifrats, s’ha salvat molt poc.

John Clay a Transmission va donar Invers una història més completa:

"En els propers dies publicarem un avís amb més informació, però el nostre millor supòsit en aquest moment és que es van descarregar aproximadament 6.500 imatges de disc infectat (de desenes de milers de descàrregues legítimes d'aquesta versió anterior). D'aquests, la nostra presumpció és que molts no van poder executar el fitxer infectat degut a que Apple va revocar ràpidament el certificat utilitzat per signar el binari, així com actualitzar les definicions de XProtect. Esperem que Apple en faci la confirmació.

"El mecanisme d'actualització automàtica de Sparkle no es va veure compromès i no hauria pogut actualitzar-se al binari infectat ja que el hash era diferent. A més, la nostra memòria cau de tercers (CacheFly) no es va veure compromesa, és a dir, on es vinculen molts dels llocs web d’actualització de programari (MacUpdate et al). També hem confirmat que un usuari amb una versió infectada pot actualitzar correctament els llançaments legítims de 2,91 o 2,92, amb un 2,92 que intenta activament eliminar el malware."

Si utilitzeu Transmission, heu de comprovar si el vostre ordinador estava infectat:

• Obriu el monitor d'activitat integrat a Aplicacions / Utilitats.
• A la pestanya "Disc", cerqueu "kernel_service". ("Kernel_task" és inofensiu i és una part vital de l’OSX; si veieu que aquest procés s’executa, no us penseu.)

La nota de rescat, que és estranyament amable donat les ànimes indiferentment dels seus creadors, es pot veure aquí. Comença: "l’ordinador s’ha bloquejat i tots els vostres fitxers s’han xifrat amb un xifratge RSA de 2048 bits".

Transmission va respondre ràpidament i va actualitzar el seu instal·lador per excloure i suposar eliminar KeRanger d’ordinadors infectats.

Un dels investigadors que va descobrir el ransomware - Claud Xiao - va difondre activament la paraula:

La gent, aquesta és l'única vegada que sol·licito la vostra ajuda per difondre la notícia. #KeRanger està dissenyat per iniciar el xifrat el proper dilluns al matí.

- Claud Xiao (@claud_xiao) 6 de març de 2016

#Transmission només va empènyer l'actualització 2.92 que inclou el codi per detectar i eliminar el #KeRanger ransomware. Actualitzeu-lo abans de les 11:00 del dilluns.

- Claud Xiao (@claud_xiao) 6 de març de 2016

També va advertir a tots els que estaven actualitzant el programa:

Apple també va respondre eliminant aquesta versió de la certificació de l’instal·lador: una certificació que permetia al ransomware passar per alt el GateKeeper i el XProtect normalment rigorosos que mantenien els Mac segurs.

Palo Alto Networks va exposar l’incompliment de la seguretat. Per obtenir l'informe complet i una guia d'autoprotecció, mireu aquí.