Pierwszy przypadek ransomware dla OS X

Wirusem odpowiedzialnym za szkody okazał się KeRanger. Jest on jednocześnie pierwszym przypadkiem wirusa z kategorii ransomware, który pojawił się na systemie OS X. Złośliwe oprogramowanie tego typu polega na wniknięciu do systemu, następnie zaszyfrowaniu danych użytkownika i umieszczeniu informacji odnośnie możliwości ich odblokowania. Wszystko jednak sprowadza się do instrukcji, które nakazują przelać określoną ilość pieniędzy na wyznaczone konto elektroniczne atakującego.

Jak działa szkodliwe oprogramowanie?

O sprawie poinformowała firma Palo Alto Networks. Instalator Transmission w wersji 2.90 dla OS X został zmodyfikowany i udostępniony na oficjalnej stronie projektu. Doszło więc najprawdopodobniej do włamania na serwery. Atakujący dodali do niego szkodnika KeRanger i podpisali instalator cyfrowo. Nie jest on więc do wykrycia jako coś niebezpiecznego przez mechanizm Gatekeeper dostępny w systemie OS X i nie budzi żadnych podejrzeń. Ransomware nie aktywuje się od razu. Czeka trzy dni od instalacji i dopiero wtedy przechodzi do ataku, szyfrowania danych użytkownika, żądania okupu (1 bitcoin, około 400 dolarów) za otrzymanie klucza deszyfrującego. Specjaliści podejrzewają, że malware jest aktywnie rozwijane i jego autorzy przygotowują się do wprowadzenia wersji atakującej także kopie tworzone w ramach mechanizmu Time Machine. Aby sprawdzić czy OS X został zainfekowany należy uruchomić Terminal.app i sprawdzić czy istnieją ukryte pliki .kernel_pid, .kernel_time i .kernel_complete w katalogu ~/Library. Można także uruchomić monitor aktywności oraz sprawdzić czy widoczny jest proces o nazwie kernel_service.