Allarme rosso: ecco il primo ransomware per Mac distribuito con Transmission

di |
virus

Brutto weekend per gli utenti Mac, colpiti da un ransomware distribuito con Transmission. Cripta tutti i file contenuti sulla macchina e chiede un riscatto.

Ora la faccenda è seria: in circolazione si trova il primo ransomware per Mac. Ad individuarlo sono stato i tecnici di Palo Alto Networks, una società che si occupa di sicurezza, che hanno immediatamente dato l’allarme su un “virus” che potrebbe avere conseguenze devastanti

Il ransomware per Mac, opera come i Ransomware per PC: prende in ostaggio il computer e chiede, come dice il nome, un riscatto per liberarlo. Nel caso specifico il ransomware, “KeRanger”, apparso venerdì, è stato distribuito con l’applicazione Transmission 2.90, un software torrent la cui nuova versione era stata annunciata alcuni giorni fa. Chiunque ha installato questa versione deve attendersi entro tre giorni la cifratura, con blocco mediante password, del proprio disco fisso e l’apparizione di un messaggio con cui si chiede il pagamento di una cifra, non ancora quantificata, per liberarlo.

unspecified

Apple, secondo quanto si apprende da Reuters, ha già revocato il certificato digitale che permetteva l’installazione di Transmission, ma a questo punto chi l’ha scaricato e installato potrebbe essere nei guai.

Usando “Montoraggio attività” controllate se esiste un processo denominato “kernel_service” . Se esiste controllare il processo (cmd+I) e scegliere porte e file aperti e verificare se c’è un file denominato “/Users/<username>/Library/kernel_service”. Questo è il processo principale di KeRanger.

La prima cosa da fare sarà forzare la chiusura del processo in esecuzione anche se potreste non essere ancora al sicuro. La cosa migliore è ripristinare il sistema operativo da un precedente back up.

È possibile che a breve possa essere distribuito un applicativo che sterilizza il Mac e rende effettivamente non efficace il ransomware, ma il fatto che in circolazione ci sia questo tipo di applicativo malevolo, determina un rischio latente e diffuso. È possibile che chi ha infettato Transmission possa fare la stessa cosa (o avere già fatto la stessa cosa) con altri programmi.

Malware TransmissionOvviamente se siete stati colpiti dal ransomware la cosa migliore è non cedere al ricatto per differenti ragioni. Principalmente per non dare occasione di ritenere questa pratica conveniente ed incentivare a simili azioni future, secondariamente perchè non sarete affatto certi che i malintenzionati diano corso alla promessa di sbloccare il vostro Mac.

Le modalità con cui opera KeRanger sono simili, in maniera inquietante, a quelle di Mabouia, un “proof of concept”, di fatto un esperimento da laboratorio, di un ricercatore brasiliano che lo scorso autunno aveva dimostrato che era possibile, come si vede qui sotto, creare un ransomware per Mac in grado di cifrare directory e anche l’intero disco fisso con una password e mostrare successivamente un messaggio con il quale viene richiesto un riscatto. Esattamente quel che fa il ransomware scoperto oggi.

 

  • chojin999

    La vera domanda è CHE CAVOLO CI FA UN VIRUS CRIPTATORE NEI FILE DI INSTALLAZIONE UFFICIALI DI UN CLIENT TORRENT IN USO IN TUTTO IL MONDO DA ANNI ED INSTALLATO ANCHE SU TANTISSIMI NAS DAI PRODUTTORI ?
    Questa è la vera cosa che non si spiega. Chi cavolo c’è davvero dietro questi virus?

    • bravodillo

      James Bond!

      • chojin999

        Sniffatore.

        • bravodillo

          Non so se James Bond fosse sniffatore. Appena lo incontro glielo chiedo e te lo riferisco. Ciao!

    • Daniele

      samsung

    • Phelipe de Sterlich

      La vera domanda è un’altra: cosa ci fa un programma usato nel 99% dei casi per scaricare contenuti diciamo così “non proprio legali” su dei Mac, dove (al contrario di quei puzzoni degli utenti Windows che rubano dal mattino alla sera) sono tutti bravissimi bellissimi, onestissimi e non hanno problemi a spendere fior di soldoni per app, film e musica tutto legale? Questa è la vera cosa che non si spiega …
      Chi c’è davvero dietro a questi ignari utenti che installa software brutto e cattivo sui loro luccicanti computer perfetti?

      Scusate, ma non sono riuscito a resistere …

  • Macuser

    Aggiornare sarà anche utile in chiave sicurezza, ma farlo sempre freneticamente non appena è possibile oppure addirittura in automatico a me, da sempre, pare piuttosto azzardato.

    Comunque adesso sul sito www. transmissionbt. com siamo già alla versione 2.92 che si presenta come “soluzione certa” per rimuovere il ramsonware.

  • Saccente

    Dura la vita del pirata :-)))))

  • Direi che il problema è molto molto serio.

  • Alberto

    Non sono i pirati,è la redazione di macity che ha preparato l’ inghippo;) 😉
    Ieri o giù di lì l’articolo sul l’aggiornamento e le lusinghe a Transmission ,stasera ci prendono per il collo.

    Già mi vedo il Signor Contarino con la bandana da pirata
    A parte gli scherzi,con l’aggiornamento a 9.2 il problema è quasi del tutto scongiurato,chiaro non dove il blocco è già avvenuto

  • vincy78

    Non ci credo che sia cosi facile criptare un mac. Mi aspetto una risposta da parte di Apple.

    • Robertino68

      Sfatiamo una volta per tutte il mito che il Mac è immune dai virus. Ti ricordo che il primo virus creato anni fa girava in ambiente Unix.
      Tuttavia, possiamo riconoscere che Apple in certi casi provvede a tappare la falla in tempo utile e quindi a limitare i danni. Dico, in certi casi….

    • Phelipe de Sterlich

      Non criptano il computer, criptano i documenti in esso contenuti (immagini, documenti, ecc.), in pratica i tuoi dati … quello che ti rimane è una serie di file criptati, se vuoi la chiave per decodificarli paghi (o hai un backup che non è stato codificato anch’esso)

      • vincy78

        Si mi sono espresso male ma chiaramente intendevo i file so come funziona. Comunque la risposta di Apple come immaginavo è stata velocissima e risolutiva.

  • Maikid

    Non pagare? Se vai alla polizia postale ti dicono che non c’è nient’altro da fare. Esperienza personale. Chi crea ransomware ha tutti gli interessi che si sappia in giro che pagando ti si sblocca tutto. Altrimenti nessuno pagherebbe più. Addirittura ci puoi addirittura trattare e in alcuni casi ti aiutano a risolvere la situazione… Che sembra incredibile da dire, ma ad un’amica è successo così.

  • Roberto

    Non caoisco tutta questa preoccupazione, basta ripristinare da TimeMacine il punto precedente all’installazione di Transmission e tutto torna come prima.

    • Robertino68

      Occhio, che i Randomware attaccano criptando anche i dischi di backup in rete senza la possibilità di ripristinare l’OS da precedente backup.

      • Roberto

        Anche la TimeCapsule?

        • Robertino68

          Perché, non è pur sempre un disco fisso collegato in rete?

          • Phelipe de Sterlich

            le prime versioni (per ambienti Windows) sembrava agissero solo sulle unità mappate, non so se nel frattempo (e col cambio di piattaforma) si sono evolute e ora lavorino anche su unità di rete non mappate ma in qualche modo accessibili.
            A oggi l’unica protezione certa per evitare problemi in caso di “contagio” è un backup offline (inteso come su un supporto fisicamente separato dal resto della rete – come un disco esterno da collegare nel momento del backup)

          • Robertino68

            Concordo.

          • Robertino68

            Concordo.

          • Robertino68

            Concordo.

          • Roberto

            Sì, infatti la mia domanda era solo per averne conferma

  • « Se c’è scegliete file e porte aperte per verificare se c’è un file“/Users//Library/kernel_service” »
    Ehm, chi ha scritto l’articolo: Paperoga??

  • « Se c’è scegliete file e porte aperte per verificare se c’è un file“/Users//Library/kernel_service” »
    Ehm, chi ha scritto l’articolo: Paperoga??

  • Vyolence

    Bravi, bravi. Su vostra segnalazione ho aggiornato Trasmission venerdì scorso alla 2.90. Controllato stamattina ma niente…

  • Robertino68

    Oggi le rapine non si fanno più con le armi in pugno, troppo rischioso. E’ più conveniente chiedere in remoto un riscatto, pratico, veloce e forse si guadagna molto di più.
    Da una indagine è emerso che molte aziende vittime da attacchi Ramsonware preferiscono pagare il riscatto pur di liberare i PC e accedere ai propri dati. Nemmeno con una consulenza tecnica può risolvere il problema, questo perché i Ramsonware non si limitano a criptare i file dei PC, ma anche tutto ciò che è connesso in rete, come i dischi di backup.
    Il problema è molto più serio di quello che sembra.

    • Phelipe de Sterlich

      Magari la chiedessero prima la consulenza tecnica, per impostare un piano di backup serio e dare ai dipendenti un minimo di cultura informatica di base, avrebbero sicuramente meno problemi

      • Robertino68

        Concordo.