Palo Alto Networks nabízejí kompletní analýzu ransomware pro OS X skrývajícího se v podobě infikovaného instalátoru pro Transmission bittorent klienta. "KeRanger", jak Palo Alto Networks tento nový virus pojmenovali, je dost dobře možná druhý ransomware pro OS X v historii (prvním je teoreticky FileCoder objevený Kaspersky Lab v roce 2014).
K infikování instalátorů pro Transmission došlo 4. března a napadena byla verze 2.90. Není známo, jakým způsobem k tomu došlo. Možná je kompromitovaný web, ale žádné bližší informace k dispozici nejsou.
Napadené instalátory jsou plně podepsané vývojářským certifikátem (jiným než běžným) a instalující uživatel nemá ponětí o tom, že vedle Transmission se mu do systému dostal další program.
Ten počká tři dny a poté se spojí s ovládacím serverem s pomocí sítě Tor a zahájí šifrování některých dokumentů a datových souborů v systému. Po dokončení klasicky zobrazí žádost o výkupné (jeden bitcoin). Pokud se budete chtít spoléhat na Time Machine pro obnovení, tak špatná zpráva je, že KeRanger se pokouší zašifrovat i obsah tam uložený.
Na Transmission webu už napadené instalátory nejsou, použitý certifikát byl Applem zneplatněn a antivirová data v XProtect už k KeRangeru obsahují potřebné informace.
Ve výše odkázané kompletní analýze viru je na konci i postup, jak ověřit, zda nejste tímto virem také napadeni. Lze to poznat jak podle přítomnosti některých souborů a disku, tak podle procesů v systému běžících.
Aktualizace XProtect antiviru znamená, že napadané verze Transmission nepůjde spustit. Případně je dobré vědět, že Transmission 2.92 by měla případně také pomoci v odstranění.
ČLÁNKY DO MAILU