Ufficiale: Scoperto il primo ransomware per Mac

Ormai è ufficiale, è stata confermata la notizia del primo ransomware, sul mac. Il software Transmission, il noto software BitTorrent per Mac, è stato infettato con KeRanger, un malware ransomware, che impedisce l’accesso ai file dell’hard disk del computer della vittima criptandoli, e poi chiedendo un riscatto, tale riscatto si aggira attorno ai 400 dollari .

l’installer di trasmission infettato

L’installer di Transmission 2.90 disponibile sul sito dello sviluppatore sarebbe stato compromesso dopo le ore 20 italiane di venerdì 4 marzo, e rimosso alle 4 di mattina di domenica 6 marzo. Chi ha scaricato prima o dopo l’applicazione, non dovrebbe avere problemi.

l’intervento di Apple e dei creatori di Transmission

Apple è già intervenuta in remoto aggiornando su tutti i Mac collegati ad Internet il file di sistema XProtect (che include l’elenco dei malware), al quale è stato aggiunto la definizione di OSX.KeRanger per impedire l’installazione di Transmission 2.90 compromesso, e invalidando il certificato Apple Developer utilizzato dai malintenzionati per aggirare la protezione Gatekeeper.

Inoltre, gli sviluppatori di Transmission hanno rilasciato Transmission 2.91, una versione “mai infettata” e Transmission 2.92 in grado di controllare e rimuovere KeyRanger sui Mac infettati.

Una caratteristica particolarmente pericolosa del malware è il periodo di incubazione, il malware entra in azione dopo aver atteso tre giorni dal momento del lancio della versione infettata.

Come verificare se sono presenti file infettati

  • Apriamo il menu contestuale sull’applicazione Transmission che si trova nella cartella Applicazioni, e facciamo invio sopra la voce “Mostra contenuto pacchetto”,
  • quindi entriamo con la freccia destra nella cartella Contents e poi Resources e cerchiamo il file General.rtf.
  • percorso /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf.
  • Se trovate il file, avete installato la versione infetta di Transmission.

Come rimuovere file infetti:

  • lanciamo “monitoraggio attività” (si trova nella cartella Applicazioni/Utility).
  • interagiamo con la barra degli strumenti e ci spostiamo fino il campo di ricerca chiamato filter campo di ricerca.
  • a questo punto copiamo e incoliamo la seguente stringa: kernel_service.
  • usciamo dalla interazione e con vo freccia destra ci spostiamo nella tabella dove si possono visualizzare i processi.
  • Se esiste questo processo, posizionatevi sopra la riga e premete comand + i che apre la finestra di esplora i dettagli del processo selezionato.
  • dalla finestra di dialogo attiviamo con vo barra spazio pannello “Porte e file aperti”,
  • verifichiamo se troviamo un file denominato “/Users//Library/kernel_service”.
  • Questo è il processo principale di KeRanger. Forzate la sua uscita premendo Esci pulsante, e poi selezionando “Uscita forzata”.

Dopo questi passaggi, si raccomanda di verificare se in ~/Library esistono file con questi nomi:

  • .kernel_pid
  • .kernel_time
  • .kernel_complete
  • r “kernel_service”.

Se esistono, spostateli nel Cestino.

Conclusioni

6.500 download ma quasi zero computer infetti, grazie alla immediata reazione da parte degli sviluppatori e gl’inginieri Apple.

Emergenza passata, dunque? Per ora sì, ma la battaglia contro questa tipologia di programmi e coloro che li creano non finirà mai!

Sicuramente Apple deve mostrare sempre più attenzione verso la sicurezza dei propri prodotti però . Detto questo, non c’è nemmeno da allarmarsi!!

. Questo ransomware, così come quasi tutti gli altri tipi di malware che hanno attaccato in precedenza le piattaforme Apple, prevede la partecipazione, per quanto ignara, dell’utente. Solo in alcuni casi le infezioni sono avvenute senza interazione, ad esempio nel caso vengano sfruttate vulnerabilità a livello di browser o di sistema, ma gli aggiornamenti riescono a sistemarle prima che possano arrecare danni.

E’ da notare che , gli ideatori di KeRange hanno scelto con cura l’applicazione e, più in generale, l’ambito da colpire, visto che i torrent sono già un veicolo frequente per programmi infettati di virus e malware.

In conclusione, le migliori armi di difesa sono sempre le solite: lato sistema operativo aggiornamento e il corretto funzionamento dei meccanismi di sicurezza già implementati, lato utente il buonsenso nell’uso, specialmente in contesti di alto rischio.


Lascia un commento