Archiwa tagu: ransomware

Pierwszy przypadek ransomware dla OS X

Według niektórych osób system OS X oferowany przez firmę Apple jest znacznie bezpieczniejszy niż Windows i w zasadzie użytkownicy nie muszą zaprzątać sobie głowy żadnym oprogramowaniem antywirusowym. Niestety, od pewnego czasu coraz więcej zagrożeń pojawia się nie tylko na „bezpiecznego” Linuxa, ale również i OS X-a. Kilka dni temu, część użytkowników tego ostatniego znalazła się w nieciekawej sytuacji. Użytkownicy popularnego klienta bittorrent, jakim jest Transmission mogli pobrać szkodliwą wersję zawierającą ransomware. W tym przypadku zawieść mogą nawet wbudowane w system zabezpieczania, doszło bowiem do włamania i nieautoryzowanej zmiany kodu aplikacji.

Wirusem odpowiedzialnym za szkody okazał się KeRanger. Jest on jednocześnie pierwszym przypadkiem wirusa z kategorii ransomware, który pojawił się na systemie OS X. Złośliwe oprogramowanie tego typu polega na wniknięciu do systemu, następnie zaszyfrowaniu danych użytkownika i umieszczeniu informacji odnośnie możliwości ich odblokowania. Wszystko jednak sprowadza się do instrukcji, które nakazują przelać określoną ilość pieniędzy na wyznaczone konto elektroniczne atakującego.

O sprawie poinformowała firma Palo Alto Networks – instalator Transmission w wersji 2.90 dla OS X został zmodyfikowany i udostępniony na oficjalnej stronie projektu, doszło więc najprawdopodobniej do włamania na serwery. Atakujący dodali do niego szkodnika KeRanger i podpisali instalator cyfrowo. Nie jest on więc wykrywany jako coś niebezpiecznego przez mechanizm Gatekeeper dostępny w systemie OS X i nie budzi żadnych podejrzeń. Ransomware nie aktywuje się od razu. Czeka trzy dni od instalacji i dopiero wtedy przechodzi do ataku, szyfrowania danych użytkownika i żądania okupu (1 bitcoin, około 400 dolarów) za otrzymanie klucza deszyfrującego. Specjaliści podejrzewają, że malware jest aktywnie rozwijane i jego autorzy przygotowują się do wprowadzenia wersji atakującej także kopie tworzone w ramach mechanizmu Time Machine.

Aby sprawdzić czy OS X został zainfekowany należy uruchomić Terminal.app i sprawdzić czy istnieją ukryte pliki .kernel_pid, .kernel_time i .kernel_complete w katalogu ~/Library. Można także uruchomić monitor aktywności oraz sprawdzić czy widoczny jest proces o nazwie kernel_service.

Źródło:
Palo Alto Network