Apple-folket har hidtil stort set været skånet for malware, computer vira og ransomware. Men intet varer evigt, og her i weekenden opdagede Palo Alto Networks den første fungerende, og ret skræmmende, ransomware til Mac-computere.
Den helt nye ransomware, KeRanger, kom med i installationsfilen til OS X-klienten til BitTorrent, Transmission version 2.90. Palo Alto Networks opdagede filen fredag d. 4. marts kun få timer efter installationsprogrammet var lagt online.
Det inficerede program blev hentet fra adressen: https://download.transmissionbt.com/files/Transmission-2.90.dmg, og Palo Alto Networks vil ikke udelukke, at Open Source-projektets officielle websted er blevet kompromitteret, og filerne erstattet med re-kompilerede versioner indeholdende ondsindet kode. De ved dog ikke hvordan den kompromittering har fundet sted.
Har godkendt certifikat
Men for at gøre tingene endnu værre, så er den inficerede version af Transmission (den med KeRanger) signeret med et gyldigt Mac-udvikler certifikat. Derfor er der absolut ingen funktioner i Mac-computere der forsøger at stoppe programmet fra at blive installeret. Apple computere har ellers en såkaldt Gatekeeper-funktion der forsøger at bremse ikke-godkendte programmer.
Når først KeRanger er kommet ind på computeren, venter det i tre dage inden det forbinder til sin Command & Control-server over Tor-netværket.
Derefter går den i gang med at kryptere filer på harddisken, og når den er færdig, så bliver brugeren præsenteret for et krav om at betale 1 bitcoin, ca. 3.000 danske kroner.
Palo Alto Networks mener at KeRanger stadig er under udvikling, og blandt andet så ser det også ud til, at den forsøger at kryptere en eventuel Time Machine backup, så brugeren ikke bare kan genskabe computeren ud fra en backup.
”Den her type af ransomware, hvor it-svindlere forsøger at tage computeren som gidsel ved at kryptere indholdet og derefter forlange en løsesum, vil eksplodere i 2016. Der findes ingen grænser for, hvad it-svinderne finder på for at kunne narre personlige dokumenter og bankoplysninger fra folk,” lyder det fra it-sikkerhedsekspert Janus R. Nielsen, der er direktør hos it-firmaet www.anytech365.com.
Download lukket
Efter Palo Alto Networks fandt ransomwaren og rapporterede det til såvel Apple som Transmission-projektet, så har Apple trukket certifikatet tilbage og opdateret deres XProtect antivirus signatur. Transmission-projektet har samtidig fjernet de inficerede installere fra deres website.
Hvis du har været så uheldig at downloade og installere Transmission her i weekenden, så er der et par få ting du kan gøre.
- Brug Terminal eller finder og tjek om /Applications/Transmission.app/Contents/Resources/ General.rtf eller /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf findes på din computer.
Hvis de gør er Transmission-app’en inficeret, og du bør slette denne version fra din computer - Brug programmet Aktivitetsovervågning, som er installeret på alle Mac-computere, og tjek om der er en proces der hedder “kernel_service”. Hvis der er, så dobbeltklik på processen og vælg ”Åbne arkiver og porte” og se om der er er et filmnavn som “/Users/<username>/Library/kernel_service”. Hvis det er tilfældet, så er processen KeRangers hovedproces. Terminer den ved at vælge ”luk -> Tving lukning”.
- Herefter bør du tjekke om der er filer som “.kernel_pid”, “.kernel_time”, “.kernel_complete” eller “kernel_service” existing in ~/Library directory. Hvis ja – så slet dem.
