Ransomware rammer Mac-computere

Her i weekenden blev den første fungerende ransomware mod Mac-computere opdaget. Ikke alene låser denne malware, KeRanger, dine filer, den forsøger også at låse din Time Machine backup

7. marts 2016 Lars Bennetzen Nyheder, Tophistorier

Apple-folket har hidtil stort set været skånet for malware, computer vira og ransomware. Men intet varer evigt, og her i weekenden opdagede Palo Alto Networks den første fungerende, og ret skræmmende, ransomware til Mac-computere.

Den helt nye ransomware, KeRanger, kom med i installationsfilen til OS X-klienten til BitTorrent, Transmission version 2.90. Palo Alto Networks opdagede filen fredag d. 4. marts kun få timer efter installationsprogrammet var lagt online.

Det inficerede program blev hentet fra adressen: https://download.transmissionbt.com/files/Transmission-2.90.dmg, og Palo Alto Networks vil ikke udelukke, at Open Source-projektets officielle websted er blevet kompromitteret, og filerne erstattet med re-kompilerede versioner indeholdende ondsindet kode. De ved dog ikke hvordan den kompromittering har fundet sted.

Har godkendt certifikat

Men for at gøre tingene endnu værre, så er den inficerede version af Transmission (den med KeRanger) signeret med et gyldigt Mac-udvikler certifikat. Derfor er der absolut ingen funktioner i Mac-computere der forsøger at stoppe programmet fra at blive installeret. Apple computere har ellers en såkaldt Gatekeeper-funktion der forsøger at bremse ikke-godkendte programmer.

Når først KeRanger er kommet ind på computeren, venter det i tre dage inden det forbinder til sin Command & Control-server over Tor-netværket.

Derefter går den i gang med at kryptere filer på harddisken, og når den er færdig, så bliver brugeren præsenteret for et krav om at betale 1 bitcoin, ca. 3.000 danske kroner.

Palo Alto Networks mener at KeRanger stadig er under udvikling, og blandt andet så ser det også ud til, at den forsøger at kryptere en eventuel Time Machine backup, så brugeren ikke bare kan genskabe computeren ud fra en backup.

”Den her type af ransomware, hvor it-svindlere forsøger at tage computeren som gidsel ved at kryptere indholdet og derefter forlange en løsesum, vil eksplodere i 2016. Der findes ingen grænser for, hvad it-svinderne finder på for at kunne narre personlige dokumenter og bankoplysninger fra folk,” lyder det fra it-sikkerhedsekspert Janus R. Nielsen, der er direktør hos it-firmaet www.anytech365.com.

Download lukket

Efter Palo Alto Networks fandt ransomwaren og rapporterede det til såvel Apple som Transmission-projektet, så har Apple trukket certifikatet tilbage og opdateret deres XProtect antivirus signatur. Transmission-projektet har samtidig fjernet de inficerede installere fra deres website.

Hvis du har været så uheldig at downloade og installere Transmission her i weekenden, så er der et par få ting du kan gøre.

  1. Brug Terminal eller finder og tjek om /Applications/Transmission.app/Contents/Resources/ General.rtf eller /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf findes på din computer.
    Hvis de gør er Transmission-app’en inficeret, og du bør slette denne version fra din computer
  2. Brug programmet Aktivitetsovervågning, som er installeret på alle Mac-computere, og tjek om der er en proces der hedder “kernel_service”. Hvis der er, så dobbeltklik på processen og vælg ”Åbne arkiver og porte” og se om der er er et filmnavn som “/Users/<username>/Library/kernel_service”. Hvis det er tilfældet, så er processen KeRangers hovedproces. Terminer den ved at vælge ”luk -> Tving lukning”.
  3. Herefter bør du tjekke om der er filer som “.kernel_pid”, “.kernel_time”, “.kernel_complete” eller “kernel_service” existing in ~/Library directory. Hvis ja – så slet dem.
About Lars Bennetzen 3874 Articles
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.

Relaterede Artikler

Business

It-sikkerhedsinitiativ fejrer fire års jubilæum

4. august 2020 Lars Bennetzen Business, Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
I juli 2016 lancerede det hollandske politi, Europol, McAfee og Kaspersky initiativet ’’No More Ransom’’ (NMR), der har til formål at hjælpe private og offentlige organisationer med at bekæmpe og helt undvige ransomware-angreb. I dag har initiativet 163 partnere over hele verden. NMR har tilføjet 28 sikkerhedsværktøjer til deres hjemmeside i det forløbne år og kan nu dekryptere 140 forskellige typer af ransomware-infektioner. I løbet af de sidste to år har mere end 216.000 virksomheder og organisationer downloadet Kasperskys dekrypteringsværktøj fra NMR-initiativets hjemmeside. Ud af disse, er de to mest populære værktøjer WildFireDecryptor og CoinVaultDecryptor, som begge fokuserer på at hjælpe ofrene for hhv. WildFire og CoinVault ransomware-familierne med at gendanne deres data. Når initiativet denne måned fejrer fire års jubilæum, har dekrypteringsværktøjet registreret over 4 millioner besøgende fra 188 lande siden lanceringen og har forhindret at kriminelle fik fingrene i løsepenge for et estimeret beløb på 3,8 milliarder kroner. De sidste fire års resultater af No More Ransom-initiativet er en fælles succes, en, der ikke kan opnås af hverken retshåndhævelse eller den private sektor alene. Ved at slå os sammen har vi bedre forudsætninger for at bekæmpe de cyberkriminelle og gøre det sværere for dem at skade mennesker, virksomheder og kritisk infrastruktur. Hvad ransomware har lært os om sikkerhed, er, at forebyggelse uden tvivl er bedre end en kur. Man er nødt til helt at undgå at blive et offer i første omgang. Der er en række relevante tips til forebyggelse tilgængelige på No More Ransoms hjemmeside. Hvis du …. (læs mere her)
Guides

3 sommer-tips mod IT-svindlere

19. juli 2022 Lars Bennetzen Guides, Nyheder, Nyhedsbrev, Sikkerhed, Tophistorier
Mange danskere har tankerne rettet mod sommer og sol, og sænker paraderne, når det kommer til IT-sikkerhed. Der er bare det, at IT-svindlere ikke holder sommerferie. Det er i løbet af sommeren at risikoen for IT-angreb og svindel stiger, lyder det fra IT-sikkerhedsekspert Janus R. Nielsen fra IT-firmaet AnyTech365.      Han kommer hermed 3 tips til at beskytte dig mod IT-svindlere i sommerferien. Få styr på dine passwords Du har sikkert hørt det mange gange før. At det første skridt i retningen af øget sikkerhed er stærke passwords. Det kræver så lidt at få bikset nogle gode passwords sammen, og det kan i sidste ende spare dig for en masse besvær, hvis du skulle være så uheldig at blive hacket. De fleste ser det som en selvfølge, at man ikke bruger samme passwords til private og arbejdsmæssige formål, men alligevel viser det sig, at mange gør det. Så har du planer om at tage dit arbejdsudstyr med på ferie, så husk at lav seperate passwords, så du undgår, at IT-svindlere både får adgang til dine personlige oplysninger og arbejdsrelateret data. Janus R. Nielsen Dine passwords bliver væsentligt sværere at hacke, hvis du både bruger store og små bogstaver samt tal og specialtegn. Du kan sammensætte en tekst som kun giver mening for dig. Fx ”Farfar byggede det røde sommerhus i Skagen i 1992”. Tag så det første eller de to første bogstaver fra hvert ord og lav et password ud af det, så det bliver ”FabyderøsoiSki19”. Vær opmærksom på phishing …. (læs mere her)
Kommentar til artiklen?