Ransomware rammer Mac-computere

Her i weekenden blev den første fungerende ransomware mod Mac-computere opdaget. Ikke alene låser denne malware, KeRanger, dine filer, den forsøger også at låse din Time Machine backup

Apple-folket har hidtil stort set været skånet for malware, computer vira og ransomware. Men intet varer evigt, og her i weekenden opdagede Palo Alto Networks den første fungerende, og ret skræmmende, ransomware til Mac-computere.

Den helt nye ransomware, KeRanger, kom med i installationsfilen til OS X-klienten til BitTorrent, Transmission version 2.90. Palo Alto Networks opdagede filen fredag d. 4. marts kun få timer efter installationsprogrammet var lagt online.

Det inficerede program blev hentet fra adressen: https://download.transmissionbt.com/files/Transmission-2.90.dmg, og Palo Alto Networks vil ikke udelukke, at Open Source-projektets officielle websted er blevet kompromitteret, og filerne erstattet med re-kompilerede versioner indeholdende ondsindet kode. De ved dog ikke hvordan den kompromittering har fundet sted.

Har godkendt certifikat

Men for at gøre tingene endnu værre, så er den inficerede version af Transmission (den med KeRanger) signeret med et gyldigt Mac-udvikler certifikat. Derfor er der absolut ingen funktioner i Mac-computere der forsøger at stoppe programmet fra at blive installeret. Apple computere har ellers en såkaldt Gatekeeper-funktion der forsøger at bremse ikke-godkendte programmer.

Når først KeRanger er kommet ind på computeren, venter det i tre dage inden det forbinder til sin Command & Control-server over Tor-netværket.

Derefter går den i gang med at kryptere filer på harddisken, og når den er færdig, så bliver brugeren præsenteret for et krav om at betale 1 bitcoin, ca. 3.000 danske kroner.

Palo Alto Networks mener at KeRanger stadig er under udvikling, og blandt andet så ser det også ud til, at den forsøger at kryptere en eventuel Time Machine backup, så brugeren ikke bare kan genskabe computeren ud fra en backup.

”Den her type af ransomware, hvor it-svindlere forsøger at tage computeren som gidsel ved at kryptere indholdet og derefter forlange en løsesum, vil eksplodere i 2016. Der findes ingen grænser for, hvad it-svinderne finder på for at kunne narre personlige dokumenter og bankoplysninger fra folk,” lyder det fra it-sikkerhedsekspert Janus R. Nielsen, der er direktør hos it-firmaet www.anytech365.com.

Download lukket

Efter Palo Alto Networks fandt ransomwaren og rapporterede det til såvel Apple som Transmission-projektet, så har Apple trukket certifikatet tilbage og opdateret deres XProtect antivirus signatur. Transmission-projektet har samtidig fjernet de inficerede installere fra deres website.

Hvis du har været så uheldig at downloade og installere Transmission her i weekenden, så er der et par få ting du kan gøre.

  1. Brug Terminal eller finder og tjek om /Applications/Transmission.app/Contents/Resources/ General.rtf eller /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf findes på din computer.
    Hvis de gør er Transmission-app’en inficeret, og du bør slette denne version fra din computer
  2. Brug programmet Aktivitetsovervågning, som er installeret på alle Mac-computere, og tjek om der er en proces der hedder “kernel_service”. Hvis der er, så dobbeltklik på processen og vælg ”Åbne arkiver og porte” og se om der er er et filmnavn som “/Users/<username>/Library/kernel_service”. Hvis det er tilfældet, så er processen KeRangers hovedproces. Terminer den ved at vælge ”luk -> Tving lukning”.
  3. Herefter bør du tjekke om der er filer som “.kernel_pid”, “.kernel_time”, “.kernel_complete” eller “kernel_service” existing in ~/Library directory. Hvis ja – så slet dem.

Læs også:

Disse to teknologier har siden 2003 toppet it-sikk... Der sket meget siden 2003, hvor it-sikkerhedsvirksomheden Barracuda Networks blev etableret. Og i løbet af de kommende 15 år vil prioriteterne ændre s...
Din brødrister kan (måske) hackes Vi står midt i realiseringen af "smart homes" og "smart cities", hvor computere og digitale enheder hjælper borgerne med hverdagens gøremål. I daglig ...

Del artiklen på

Om Lars Bennetzen (2001 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?