Apple отримує свою першу дозу викидів, як 6500 користувачів з вірусом шифрування

Якщо ви були одним з найнещасніших у п'ятницю, щоб завантажити та встановити нову версію Transmission, додаток для завантаження торрентів, то сьогодні ваш день розплати: Ваша інформація, і ваш доступ до вашого стовпа самого себе, може бути виставлений на викуп.

Користувачі Mac ніколи раніше не піддавалися повному зрозумілому вимогам, і з поважної причини: продукти Apple були відносною фортецею проти вірусів. Але цей інсталятор прикривав шкідливу програму, KeRanger, і дав йому триденний період спокою. Передача є одним з найпопулярніших, спрощених і інтуїтивно зрозумілих клієнтів BitTorrent і дозволяє користувачеві легко завантажувати торренти, будь то торренти альбомів, програм, фільмів тощо.

У той фатальний третій день - який сьогодні буває - ті, хто встановив Transmission версію 2.90 і користувався трьома тріумфуючими днями збуреного добра, були зустрінуті з грубою запискою за викуп у 2:00. Східний час: KeRanger зашифрував вміст невдалих Mac і вимагав 1 bitcoin - еквівалент, сьогодні, приблизно до $ 409 - для розшифрування цих даних. І з більш ніж 300 різних типів розширень файлів зашифровані, дуже мало було врятовано.

Джон Клей в Transmission дав Обернено більш повна історія:

"Ми будемо розміщувати повідомлення в найближчі дні з більш докладною інформацією, але найкраще припустити, що в цей момент було завантажено приблизно 6 500 заражених образів дисків (десятки тисяч законних завантажень цієї версії). З них, ми припускаємо, що багато хто не зміг запустити інфікований файл завдяки тому, що Apple швидко відкликав сертифікат, використовуваний для підпису двійкового файлу, а також оновлення визначень XProtect. Ми чекаємо на підтвердження від Apple про це.

Механізм автоматичного оновлення Sparkle не був скомпрометований, і він не зміг би оновити інфікований бінар, оскільки хеш був іншим. Крім того, наш кеш сторонніх розробників (CacheFly) не був скомпрометований, і саме там багато сайтів з оновлення програмного забезпечення посилаються на (MacUpdate et al). Ми також підтвердили, що користувач з інфікованою версією може успішно автоматично оновлюватися до легітимних релізів 2,91 або 2,92, а 2,92 активно намагається видалити зловмисне програмне забезпечення."

Якщо ви використовуєте Transmission, ось як перевірити, чи ваш комп'ютер був заражений:

• Відкрийте вбудований модуль Activity Monitor у Програми / Утиліти.
• На вкладці “Диск” знайдіть “kernel_service”. ("Kernel_task" є нешкідливим і важливою частиною OSX; якщо ви бачите, що цей процес запущений, не панікуйте.)

Примітка про викуп, яка дивно ввічлива з огляду на неминучі жалісні душі її творців, можна побачити тут. Вона починається: "Ваш комп'ютер заблоковано, а всі ваші файли зашифровані за допомогою шифрування 2048-бітним RSA".

Transmission відповіла швидко і оновила свій інсталятор, щоб виключити і нібито видалити KeRanger з заражених комп'ютерів.

Один з дослідників, які виявили викупників - Клод Сяо - активно поширював слово:

Люди, це єдиний раз, коли я прошу вашої допомоги, щоб поширити новини. #KeRanger призначений для запуску шифрування в наступний ранок понеділка!

- Клод Сяо (@claud_xiao) 6 березня 2016 року

#Transmission просто підштовхнув 2.92 оновлення, яке включає код для виявлення і видалення #KeRanger рансъмуер. Оновити його до понеділка 11:00 ранку.

- Клод Сяо (@claud_xiao) 6 березня 2016 року

Він також попередив усіх, хто оновлює програму:

Apple також відреагувала, видаливши цю версію сертифікату інсталятора - сертифікацію, яка дозволила вимогам вийти за межі звичайної жорсткої системи GateKeeper і XProtect, що заохочує Mac.

Palo Alto Networks виявила порушення безпеки. З повним звітом та керівництвом із самозахисту дивіться тут.