АКТУАЛИЗИРАН 13:00 ET 8 март, за да добавите анализ на кода на KeRanger от Bitdefender.

Открито е Mac криптиране на рансъмуер, пакетиран с популярен BitTorrent клиент, отбелязвайки за първи път каквато и да било форма на рансъмуер, насочена към Apple X OS, се е появила в природата.

Кредит: LittleEvilYor / Shutterstock
(Кредит на изображението: LittleEvilYor / Shutterstock)

За щастие на потребителите на Mac, рискът от инфекция е малък. Трябва да сте инсталирали версия 2.90 на софтуера Tranmission BitTorrent миналия петък или събота. Инфектираният инсталационен файл беше заменен с чиста версия, 2.92, в неделя, а Apple актуализира своя антивирусен софтуер XProtect, за да блокира троянския кон рансъмуер.

Това обаче със сигурност няма да е последната част от рансъмуера на Mac. Това е още едно напомняне, че потребителите на Mac са изправени пред същите видове заплахи като потребителите на компютри с Windows - макар и в по-малък мащаб - и трябва да вземат същите предпазни мерки.

ПОВЕЧЕ ▼: Най-добрият антивирусен софтуер за Mac

The ransomware

е открит през изминалия петък (4 март) от Санта Клара, базираната в Калифорния фирма за сигурност Palo Alto Networks, който нарече зловредния софтуер „KeRanger“ и предупреди както Apple, така и разработчиците на Transmission веднага.

„Вярваме, че KeRanger е първият напълно функционален рансъмуер, видян на платформата OS X“, написаха Клод Сяо и Джин Чен от Palo Alto Networks публикуване на фирмен блог вчера (6 март).

Веднъж инсталиран на Mac, KeRanger остава неактивен, а след три дни започва криптиране на файлове в Директория „Потребители“ и публикува известие с искане за безплатно един биткойн (около 400 долара по текущи валутни курсове) файловете.

Предаването е проект с отворен код, към който всеки може да допринесе с код. Изглежда престъпниците са се възползвали от този факт и са "троянизирали" софтуера, като са препакетирали легитимен диск за инсталиране на Transmission изображение (.dmg) с допълнителен файл, наречен "General.rtf", който изглежда е файл с богат текстов формат, но всъщност е изпълним OS X файл.

За да преминат настройките по подразбиране на Gatekeeper, софтуерът за проверка на приложения на OS X, всички приложения трябва да бъде „подписан“ с цифров сертификат за автентичност, издаден от Apple на одобрен софтуер разработчици. Трансмисията има свой собствен сертификат, но производителите на KeRanger вместо това са използвали такъв, откраднат от турски разработчик на софтуер.

Ако сте изтеглили или актуализирали предаването в петък или събота, ще трябва да го актуализирате до версия 2.92, вече достъпна на сайта Tranmission. Инсталирането на новата версия ще премахне заразената.

Изпълнимият рансъмуер обаче може вече да е активен във вашата система. За да го изчисти, Palo Alto Networks препоръча да се предприемат следните стъпки:

1. Използвайки Terminal или Finder, проверете дали /Applications/Transmission.app/Contents/Resources/ General.rtf или /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf съществуват. Ако някое от тях съществува, приложението за предаване е заразено и предлагаме да изтриете тази версия на предаването.

Ако KeRanger вече е започнал да шифрова вашите файлове и виждате бележка за откуп, не плащайте. Вместо това възстановете системата си от Time Machine или друго решение за архивиране. (Направихте резервно копие на вашия Mac, нали?)

В KeRanger има код за криптиране на резервни копия на Time Machine, както и файл на основния твърд диск, но изследователите на Palo Alto Networks не смятат, че тази функция все още е активирана.

Всички потребители на Mac трябва да се уверят, че тяхното изграждане на OS X е напълно актуално, тъй като Apple избута актуализации, които блокират KeRanger да работи и отмени откраднатия турски сертификат за разработчици.

Повечето потребители на Mac трябва да използват своя Gatekeeper софтуер с една от двете по-високи настройки, което позволява инсталиране на софтуер от Mac App Store или от Mac App магазин и „идентифицирани разработчици“. (Последната настройка е по подразбиране.) Престъпниците на KeRanger са преодолели тази настройка с откраднатия сертификат, но ще запазят повечето злонамерен софтуер.

Ransomware започна масово да заразява потребителите на Windows през 2010 г., но досега беше досадно CryptoLocker се появи в края на 2013г. Вместо просто да заключи екрана, Cryptolocker шифрова потребителски файлове, преди да поиска откуп, а потребителите, които не бяха архивирали своите системи, нямаха друг избор, освен да платят.

Оттогава криптирането на рансъмуера се разраства по целия свят, генерирайки стотици милиони долари в брой за мошеници и оставяйки много малки предприятия и местните правителства по-бедни. Миналият месец Холивудският презвитериански медицински център в Лос Анджелис плати 17 000 долара за безплатни здравни досиета, заключени от атака на рансъмуер.

За Android се появи шифроване на рансъмуер през 2014 г., но досега Macs беше имунизиран. През лятото на 2013 г. базираният на браузър рансъмуер за заключване на екрана засегна Mac и PC, но беше доста безобиден. Форма на криптиране на рансъмуер за Mac е открита година по-късно, но той е недовършен и нефункционален.

АКТУАЛИЗАЦИЯ: Румънска антивирусна фирма Bitdefender анализира кода на KeRanger и установи, че KeRanger е преработена версия на Linux Encoder, щам на криптиране на рансъмуер, който е заразил хиляди уеб сървъри, работещи с Linux от декември 2015 г.

  • Apple срещу ФБР: Какво се случва и защо е важно
  • Злонамереният софтуер експлодира на Mac OS X
  • Как да инсталирате, използвайте Malwarebytes за Mac

Получете незабавен достъп до актуални новини, най-горещите отзиви, страхотни оферти и полезни съвети.

Благодарим ви, че се регистрирахте в Ръководството на Tom. Скоро ще получите имейл за потвърждение.

Имаше проблем. Моля, опреснете страницата и опитайте отново.

Няма спам, обещаваме. Можете да се отпишете по всяко време и никога няма да споделим вашите данни без ваше разрешение.