Ενσωματωμένος στα αρχεία εγκατάστασης μιας εφαρμογής που αξιοποιεί τα ευρετήρια BitTorrent βρέθηκε ο KeRanger, το πρώτο πλήρως λειτουργικό ransomware για Mac OS X. |
Στις 7 Μαρτίου λήγει η αντίστροφη μέτρηση για τους μάλλον άτυχους χρήστες Mac που κατέβασαν μετά τις 4 Μαρτίου την μολυσμένη με ransomware έκδοση 2.90 της εφαρμογής Transmission για τη χρήση του BitTorrent. Το πρώτο λειτουργικό ransomware που χτυπάει το MacOS X εντοπίστηκε από την Palo Alto Networks και παράλληλα, μειώθηκε ο κίνδυνος για την απαίτηση λύτρων σε bitcoin με αντάλλαγμα την αποκρυπτογράφηση των αρχείων παγιδευμένων χρηστών.
Την Παρασκευή 4 Μαρτίου 2016 καταγράφηκε το πρώτο κρούσμα KeRanger, αφού η εταιρεία ασφαλείας έλεγξε τα αρχεία εγκατάστασης της εφαρμογής ανοικτού κώδικα Transmission 2.90, που μόλις διατέθηκε από το download.transmissionbt.com -αν και αυτός ο δικτυακός τόπος είναι πολύ πιθανό να μην είναι ο μοναδικός από τον οποίο κατεβαίνει η επίμαχη εφαρμογή.
- Το σενάριο που διέκριναν εξετάζονταν τον κώδικα του "KeRanger" οι μηχανικοί της Palo Alto Networks ξεκινά με την ενσωμάτωση του κακόβουλου κώδικα στην εφαρμογή και την υπογραφή της με έγκυρο πιστοποιητικό Mac app για να προσπεράσει την προστασία του Apple GateKeeper.
- Με την εγκατάσταση των προγραμμάτων που περιλαμβάνονται στα αρχεία DMG που κατεβάζει ο χρήστης, γίνεται και η εκτέλεση του μολυσμένου εκτελέσιμου αρχείου και εκκινείται ένα ρολόι που μετράει αντίστροφα επί τρεις ημέρες. Δεδομένου ότι η μολυσμένη έκδοση του Transmission BitTorrent διατέθηκε στις 4 Μαρτίου, στις 7 Μαρτίου αναμένονται οι πρώτες απαιτήσεις για λύτρα.
- Μετά, το κακόβουλο πρόγραμμα θα ανοίξει συνεδρία, αδιόρατη για το χρήστη, με το κέντρο ελέγχου και μεταβίβασης εντολών των εισβολέων μέσω Tor, του δικτύου που εξασφαλίζει την ανωνυμία των συμμετεχόντων στη συνεδρία.
- Το malware ξεκινά την αθέμιτη κρυπτογράφηση αρχείων δεδομένων στο σύστημα που μολύνθηκε.
- Ο χρήστης λαμβάνει ένα μήνυμα με το οποίο του ζητείται να καταβάλλει 1 bitcoin (περίπου 370 ευρώ) σε συγκεκριμένη διεύθυνση για να ανακτήσει και πάλι τα αρχεία του.
Οι μηχανικοί της Palo Alto Networks σημειώνουν πως οι δημιουργοί του ransomware φαίνεται ότι επιχειρούν να απειλήσουν με κρυπτογράφηση ακόμα και τα αντίγραφα των αρχείων του χρήστη που τηρούνται από το Time Machine. Κι αυτό, για να εμποδίσουν τους χρήστες να αγνοήσουν την απαίτησή τους, ανακτώντας τα αρχεία τους από το backup.
Όπως προβλέπει ο κώδικας δεοντολογίας στη βιομηχανία, πριν τη δημοσιοποίηση του πλήγματος ενημερώθηκε η Apple για να ανακαλέσει την εγκυρότητα του πιστοποιητικού της εφαρμογής και η Transmission, η οποία κατέβασε τα αρχεία DMG και εξέδωσε νέα έκδοση της εφαρμογής της (2.92).
H Palo Alto Networks συνιστά στους χρήστες Mac να ελέγξουν τα ακόλουθα για να αναγνωρίσουν εάν έχει μολυνθεί το σύστημά τους και να αφαιρέσουν το λογισμικό:
- Από το Terminal ή τον Finder, ελέγξτε εάν υπάρχουν τα αρχεία /Applications/Transmission.app/Contents/Resources/ General.rtf ή /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf exist. Εάν υπάρχει οποιοδήποτε από αυτά, τότε η εφαρμογή Transmission είναι μολυσμένη και πρέπει να τη αφαιρέσετε.
- Από το Activity Monitor του OS X, ελέγξτε εάν τρέχει η διεργασία kernel_service. Εάν ναι, τότε επιλέξτε την και εκτελέστε την εντολή Open Files and Ports. Αναζητήστε ένα αρχείο της μορφής “/Users/<username>/Library/kernel_service”. Πρόκειται για τη βασική διεργασία του KeRanger και πρέπει να την "σκοτώσετε", επιλέγοντας Quit -> Force Quit.
- Μετά τα βήματα αυτά, συνιστάται επίσης στους χρήστες να ελέγξουν εάν τα αρχεία .kernel_pid, .kernel_time, .kernel_complete ή kernel_service εμφανίζονται στον φάκελο ~/Library και να τα διαγράψουν.