Apple får sin første dosis Ransomware som 6.500 brugere ramt med krypteringsvirus

Hvis du var en af ​​de uheldige mange på fredag ​​for at downloade og installere den nye version af Transmission, en torrent downloading applikation, er i dag din regningsdag: Din information og din meget adgang til din egen søjle kan blive sat op for løsepenge.

Mac-brugere har aldrig før været udsat for fuldt realiseret ransomware, og med god grund: Apple-produkter har været relative højborgere mod vira. Men denne installatør sluppet det ondsindede program, KeRanger, og gav det en tre dages hvileperiode. Transmission er en af ​​de mest populære, enkle og intuitive BitTorrent-klienter og gør det meget nemt for brugerne at downloade torrenter, det være sig torrenter af albummer, programmer, film eller lignende.

På den skæbnesvangre tredje dag - som tilfældigvis er i dag - blev de, der installerede Transmission version 2.90 og nydt tre jubilante dage med spændende godhed, mødt med en uhøflig løsepenge kl. Østtid: KeRanger krypterede indholdet af de uheldige Mac'er og krævede 1 bitcoin - ækvivalent, i dag til ca. $ 409 - for at dekryptere dataene. Og med over 300 forskellige typer filudvidelser krypteret, blev meget lidt spart.

John Clay på Transmission gav Inverse en mere omfattende historie:

"Vi sender en meddelelse i løbet af de næste par dage med flere oplysninger, men vores bedste gæt på dette tidspunkt er, at ca. 6.500 inficerede diskbilleder blev downloadet (af titusindvis af legitime downloads af denne version tidligere). Af disse er vores formodning, at mange ikke kunne køre den inficerede fil på grund af, at Apple hurtigt tilbagekaldte certifikatet, der bruges til at underskrive binæret, samt at opdatere XProtect-definitionerne. Vi venter på bekræftelse fra Apple om det.

"Maskinen til automatisk opdatering af Sparkle blev ikke kompromitteret, og det ville ikke have været opdateret til det inficerede binære, da hash var anderledes. Desuden blev vores tredjeparts cache (CacheFly) ikke kompromitteret, hvilket er hvor mange af softwareopdateringswebstederne linker til (MacUpdate et al). Vi har også bekræftet, at en bruger med en inficeret version med succes kan automatisk opdatere til de legitime udgivelser på 2.91 eller 2.92, med 2.92 aktivt forsøger at fjerne malware."

Hvis du bruger Transmission, kan du kontrollere, om din egen computer er inficeret:

• Åbn den indbyggede aktivitetsovervågning i programmer / hjælpeprogrammer.
• På fanen "Disk" skal du søge efter "kernel_service". ("Kernel_task" er uskadelig og en vigtig del af OSX; hvis du ser denne proces kører, ikke panik.)

Ransom notatet, som er mærkeligt høflig givet sine skabere 'utroligt forkælet sjæle, kan ses her. Det begynder: "Din computer er låst, og alle dine filer er krypteret med 2048-bit RSA-kryptering."

Transmission svarede hurtigt og opdaterede installationsprogrammet for at udelukke og angiveligt fjerne KeRanger fra inficerede computere.

En af forskerne, der opdagede ransomware - Claud Xiao - var aktiv at sprede ordet:

Mennesker, dette er den eneste gang jeg beder om din hjælp til at sprede nyhederne. #KeRanger er designet til at starte kryptering næste mandag morgen!

- Claud Xiao (@claud_xiao) 6. marts 2016

#Transmission skubbet netop 2.92 opdatering, der indeholder kode til at registrere og fjerne #KeRanger ransomware. Opdater det før mandag kl 11:00.

- Claud Xiao (@claud_xiao) 6. marts 2016

Det advarede også alle, der opdaterede programmet:

Apple svarede også ved at fjerne den version af installatørens certificering - en certificering, der gjorde det muligt for ransomware at omgå den normalt strenge GateKeeper og XProtect, der holder Mac'erne sikre.

Palo Alto Networks udsatte sikkerhedsbruddet. For den fulde rapport og en selvbeskyttelsesguide, se her.