KeRanger, tutti i dettagli sul ransomware che colpisce il Mac: da dove viene, come funziona, come liberarsene

di |
macgpic-1457292662-292721156072456-jpt

Arrivano informazioni su come KeRanger, il primo vero Ransomware per Mac, funziona. Ecco come colpisce, come evitarlo e come liberarsi di questo pericoloso malware.

La scoperta del ransomware KeRanger, che si nasconde nell versione 2,90 di Transmission, un popolare e molto apprezzato software per Torrent, ha messo in movimento tutti gli attori principali della vicenda, dallo sviluppatore dell’applicazione, fino ad Apple. Gli ultimi sviluppi della vicenda, che suscita grande preoccupazione perchè il ransomware è in grado di colpire molto seriamente il mondo Apple, arrivano sia da Palo Alto Networks, che ha scoperto il malware, sia da Transmission.

In primo luogo Transmission, dopo avere eliminato da suoi server la versione infetta dell’installer e averne collocata una “pulita”, nel giro di poche ore ha aggiornato nuovamente l’applicazione. Ora la versione 2,92 all’atto dell’installazione cerca la presenza del ransomware e si accerta che sia stato correttamente rimosso. Non sembra che siamo di fronte, comunque, ad una applicazione che è in grado di rimuovere indipendentemente da una azione dell’utente, il malware.

Palo Alto Inc. da parte sua ha pubblicato numerose informazioni tecniche sul malware. Alcune, pur tralasciando quelle più specifiche, che riguardano la modalità con il KeRanger funziona (in linea generale comunque vengono criptati da remoto tutti i principali file che si trovano nel Mac, immagini, mail, documenti di test e fogli di calcolo per un totale di 300 differenti estensioni), alcune sono di largo interesse.

In particolare si apprende che l’installer sarebbe stato infettato dopo le 11:00 di mattina, ora del Pacifico (le otto di sera in Italia) dello scorso venerdì 4 marzo. L’installer infetto è stato rimosso alle 19 del 5 marzo, ora del Pacifico (le 4 di mattina di oggi, domenica 6 marzo in Italia). Chi ha scaricato prima o dopo l’applicazione, non dovrebbe avere problemi.

Chi ha installato, invece, il software in questo arco di tempo deve seguire queste procedure

  1. Usando il terminale o il finder, cercare /Applications/Transmission.app/Contents/Resources/ General.rtf o /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf. Se uno di quest file è esistente, avete installato Tramission in versione infetta.
  2. Usando “Montoraggio attività” controllate se esiste un processo denominato “kernel_service” . Se esiste controllare il processo (cmd+I)e scegliere porte e file aperti e verificare se c’è un file denominato “/Users/<username>/Library/kernel_service”. Questo è il processo principale di KeRanger. Forzate la sua uscita.
  3. Dopo questi passaggi, si raccomanda di verificare se esistono in ~/Library  file con questi nomi: “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service”. Se esistono, cancellateli

fig12-500x358

Come accennato nel nostro precedente articolo, Apple ha revocato il certificato di installazione quindi una ersione infetta di Transmission non passa il controllo di GateKeeper. Parallelamente Apple ha già aggiornato in queste ore, silenziosamente e direttamente su tutti i Mac connessi ad Internet, Xprotect, il software “antivirus” di serie. In questo modo non dovrebbe essere installata nessun’altra applicazione colpita da KeRanger.

In questo momento non è chiaro come sia stato colpito l’installer. Palo Alto Neworks afferma che trattandosi di un progetto open source, i pirati potrebbero avere ricompilato l’applicazione e poi avere depositato la versione con il malware dentro ai server di Transmission, ma questa è solo una ipotesi.

Uno degli aspetti più preoccupanti che emergono dalla relazione di Palo Alto Networks è che il malware sembra essere in corso di sviluppo. Pare che i pirati abbiano già terminato una versione capace di infettare anche i backup di Time Machine, in questo modo non sarebbe più possibile recuperare i dati usando il back up. Questa funzione non è però ancora attiva. Una seconda funzione maligna, riguarda l’apertura di una backdoor le cui funzioni non vengono specificate.

  • maurizio

    Che coincidenza! Proprio adesso che Apple sta conducendo la sua strenua battaglia contro le pretese del FBI che vorrebbe che Cupertino mettesse di default una backdoor negli iPhone a disposizione dei federali, arriva un malware potenzialmente in grado di mettere una backdoor nei Mac.

    • Macuser

      Hai ragione … fa pensare.

      • paolo russo

        Si, in effetti è una coincidenza molto molto curiosa. Però non ci sono elementi reali per pensare che sia più di questo.

      • paolo russo

        Si, in effetti è una coincidenza molto molto curiosa. Però non ci sono elementi reali per pensare che sia più di questo.

        • Macuser

          Non ti ho risposto perché non avevo nulla né da aggiungere né da obiettare. Però ora che si scopre che questo ransomware è un piatto porting di un esistente prodotto per Linux (www. macitynet. it/keranger-il-ransomware-per-mac/) la totale assenza di elementi reali si incrina. Da dietologo impenitente (cui prodest …; cui bono …) io reputo che le note conoscenze in argomento dell’FBI, e la sua altrettanto nota spregiudicatezza nell’impiegarle, abbiano avuto molte probabilità d’essere all’origine di questo “fattaccio” fin troppo tempestivo in questo quadro di avvenimenti e di interessi in gioco.

          • paolo russo

            La tempistica è molto sospetta, però siamo sempre nell’ambito delle prove circostanziali. Io mi affido molto alla statistica. Al mondo ci sono di gran lunga più cretini che delinquenti e di gran lunga più delinquenti che cospiratori dell’FBI. La probabilità che si stia parlando di qualche povero deficiente in cerca dei suoi 15 minuti di notorietà o di semplici criminali rimane molto alta.

          • Macuser

            Hai pienamente ragione e la mia è una illazione dietrologia.
            Proseguendo mi fa piacere che “chiunque” sia il responsabile sarà restato decisamente scornato per una pronta reazione che nel giro di 48 ore ha “completamente” debellato almeno questa prima emersione della problematica.

    • Macuser

      Hai ragione … fa pensare.

    • Macuser

      Hai ragione … fa pensare.

    • yoda

      potrebbe anche mettere una backdoor, ma lo scopo sicuramente non è quello, se ti cripta tutti i dati rendendoli inutilizzabili è a scopo di lucro

      • Ringy74

        In questi casi si dice: better to be wrong than sorry.

        Non sapendo con certezza se l’installer abbia o meno effettuato altre modifiche, è più sicuro re-installare da un clone backup precedente.

  • Roberto

    Comunque Apple ha già provveduto ad inserire la versione di Transmission 2.90 nell’elenco dei malware del sistema di sicurezza Gatekeeper di OS X.

  • marco

    Uso uTorrent da sempre, non sapevo nenche esistesse sto Transmission…

    • Hollander_65

      Io invece uso da sempre Transmission e l’apprezzo molto. Per questo mi si sono rizzati i capelli quando ho scoperto di aver installato la famigerata versione 2.90. Ma ho ovviamente rimediato, e del malware pare non esserci traccia.

      • Ringy74

        Non si è ancora ben capito se oltre al ransomware apra anche una backdoor.

        Se hai un backup clone dell’intero sistema precedente all’installazione di questo malware, forse ti conviene ripristinare quello.

        Massima solidarietà :/

        • Hollander_65

          Grazie per il suggerimento!

          • Ringy74

            Figurati! Spero tu riesca a risolvere senza troppi intoppi.

    • pietrodn

      Purtroppo tempo fa l’installer di uTorrent installava adware e toolbar inutili, per cui nemmeno quello è al sicuro. Ed è il motivo per cui sono passato a Transmission. (sigh)

  • bravodillo

    Questo ransomware arriva giusto per sottolineare che i device Apple sono i più sicuri del mondo…!

    • Gygerch

      Mitomane e opportunista. Mio Dio, sei un mostro.

    • Ringy74

      beh dovresti preoccuparti anche tu, visto che dici di scrivere da un MBPro.
      Non mi sembra ci sia tanto da bearsi se anche il tuo sistema diventa meno sicuro.

      • bravodillo

        Infatti sono preoccupatissimo, specialmente dopo quello che ha dichiarato Federighi, la pace nel mondo è a rischio. Una guerra termonucleare globale si cela nel vaso di Pandora che l’FBI vorrebbe scoperchiare. Zio peppino non sa più dove nascondere il PIN per prelevare la sua pensione. Alle armi!!!!!!

        • Ringy74

          Seriamente: hai grossi problemi cognitivi.

        • Ringy74

          Seriamente: hai grossi problemi cognitivi.

    • canarinonero

      commento che rivela l’intelligenza di un proclamatosi utente apple di vecchissima data! con il cervello in vacanza da una vita

      • edu

        Questo qui proclama tante cose 😉
        La cosa più divertente è quando dice che ha una “vita” oltre al suo trollare su macity 🙂

        • bravodillo

          Ma che dici? Io oltre a trollare qui (come dici tu) passo la vita con il cervello in vacanza (detto da calimero qui sopra). Poi come dice Gygione qui sotto, sono un mitomane, opportunista e, udite udite, un “mostro”! WAAAAAA! LOOOL! Grazie, grazie per i vostri feedback così calorosi, sinceri e gentili. Se non ci foste voi……… le azioni AAPL varrebbero $2. Aaaaaah ah ah ah ah ah!

      • bravodillo

        Si, io in vacanza da una vita, mentre tu lavori come un asino… ah ah ah ah.

      • bravodillo

        Tu al massimo potresti parlare del latte Apple e dell’app-biberon. E sciacquati la bocca prima di parlare, che puzza ancora di latte.

    • Roberto

      Infatti Apple è già intervenuta in remoto aggiornando su tutti i Mac collegati ad Internet il file di sistema XProtect (che include l’elenco dei malware), al quale è stato aggiunto la definizione di OSX.KeRanger per impedire l’installazione di Transmission 2.90 compromesso.

    • Gygerch

      Il CEO di Apple, Tim Cook, sarà la prossima settimana in Israele per inaugurare il nuovo ufficio di Herzeliya. Durante la visita Cook incontrerà varie figure istituzionali, tra cui l’ex Presidente Shimon Peres, e alcuni esperti del settore Hi-Tech israeliano. Non è stato ancora stabilito se ci sarà un colloquio con il Primo Ministro Benjamin Netanyahu ma i due si sono già conosciuti lo scorso anno al quartier generale di Cupertino in California.

      L’edifico di 12,500 metri quadri ospiterà il centro di sviluppo israeliano di Apple, la divisione marketing e il reparto vendite con 800 israeliani che beneficeranno di nuovi remunerativi posti di lavoro, 150 dei quali erano stati licenziati lo scorso anno dalla Texas Instrument. Il centro di sviluppo si basa sulle acquisizioni dello sviluppatore di memoria flash Anobit, costata 390 milioni di dollari nel 2012, e del sensore di movimento PrimeSense, acquistato nel 2013 per 300 milioni di dollari. Si tratta del secondo centro della compagnia americana dopo quello aperto nel 2012 a Haifa che si occupa di assumere esperti di chip.

      Capito Mitomane? Niente sede Apple a Nazareth, come tu invece sostieni. Occhio che la Monaca nana è sempre più vicina.

      • bravodillo

        Quindi oltre a credere che Apple abbia aperto un centro a Nazareth tu credi anche che usi la cifratura in aramaico. No, dico, perché ho scritto pure quello nello stesso post. Diciamo che sei “inqualificabile”? Ti sembra abbastanza politically correct?

        • Gygerch

          Detto da un mitomane come te lo prendo come un complimento. E si che di cazzate inqualificabili ne scrivi tante.

          • bravodillo

            Dai, stai calmino, mica ti ho insultato 🙂 Ho detto solo che è difficile incontrare uno che prende per vera un’affermazione del tipo “Apple ha aperto un centro a Nazareth… criptato in aramaico…”. Tu ci sei riuscito. E mi hai anche risposto! Io sono esterrefatto. LOL!

          • Gygerch

            Non è affatto quello che hai scritto. Ma comunque hai ragione, non bisogna prendere sul serio quello che scrivi.

          • bravodillo

            Ma si chiama “ironia”. Il trucco è saper leggere tra le righe. In fondo non è difficile. Se l’affermazione suona irreale, impossibile, esagerata… è uno scherzo. Facile. Stay tuned.

          • Ringy74

            Uhhh ora vuoi anche dare lezioni di vita, bavaglino? Lo sai come si dice no? Chi si loda…

          • bravodillo

            Ehhhh addirittura! Lezioni di vita! Di vita! Era una lezione, ironica, sull’ironia.

          • Ringy74

            Beh con tutta la tua erudizione sei finita qui sopra a fare trolling tutti i giorni… in effetti hai poco da insegnare agli altri.
            Ironica la cosa, eh?

          • bravodillo

            Io ti insegno a vivere. Ma tu sei ripetente da sempre e per sempre. Sei condannato a ringhiare.

          • Ringy74

            Ahhh l’erudimento si è trasformato in rodimento… vabbè meglio del rincoglionimento, via…

          • bravodillo

            E ridaglie! Io non rosico, io mi diverto!!! Divertirsi! Ridere! Allegria! Conosci queste parole? Dai che poi ti faccio arrestare da mio padre poliziotto… LOL!

          • Ringy74

            Ah io si… tu piuttosto, mi sembri nervosetta ultimamente…

          • bravodillo

            Ah ah ah ah, ma cosa ne sai tu? Cosa ne sai tu di cosa mangiano i Greci? LOOOOL!

          • Ringy74

            …beh tu ti stai mangiando il fegato, ma tanto ricresce… tranquilla!

          • bravodillo

            Vabbe’ hai ragione tu. Hai vinto tu! Basta che mi molli il polpaccio. LOL!

          • Ringy74

            Non giochi più? Te ne vai?

          • bravodillo

            Sei monotono. E poi mi sono stancato di dartene ogni giorno. Sei un bersaglio troppo facile. Almeno allenati!

          • bravodillo

            Vabbe’ hai ragione tu. Hai vinto tu! Basta che mi molli il polpaccio. LOL!

          • Ringy74

            Uhhh ora vuoi anche dare lezioni di vita, bavaglino? Lo sai come si dice no? Chi si loda…

          • Ringy74

            Uhhh ora vuoi anche dare lezioni di vita, bavaglino? Lo sai come si dice no? Chi si loda…

          • Ringy74

            Uhhh ora vuoi anche dare lezioni di vita, bavaglino? Lo sai come si dice no? Chi si loda…

    • Krokko

      Beh, 3 malware negli ultimi 2 anni contro 70.000, direi proprio di sì, è più sicuro, e non di poco…

      • bravodillo

        Si ma non inviolabili come vogliono farci credere Federighi e Cook. La pace del mondo è in pericolo! Guerra termonucleare globale!!!! LOL!

  • mamazo

    brutta cosa…molto brutta

  • canarinonero

    all’ingegneria sociale e ai ransomware l’unica soluzione è il sandboxing di os x.
    agli sviluppatori non piace?si adattino. agli utenti non piace? si adattino.
    chi non si adatta scelga di giocare fuori dal recinto e, previo avvertimento chiaro da parte di os x, se ne prenda le responsabilità.
    apple però deve stringere ancora di più le maglie della rete di gatekeeper.

  • bellamy

    Purtroppo sono finiti i tempi quando si comprava un Mac per la sicurezza.
    Penso che il mio prossimo computer non avrà la mela dietro.

    • edu

      Se vuoi un computer sicuro prendi un qualunque computer e …spegnilo!

      • canarinonero

        tu sei drastico, la soluzione gliela ho suggerita io, anzi due possibili soluzioni.

        • edu

          ho voluto essere drastico perché alla fin fine ..
          – se il malware è contenuto dentro un’applicazione nota, fidata e FIRMATA
          – se, proprio in ragione del del punto precedente, tale applicazione viene installata consapevolmente dall’utente
          Si può davvero incolpare il mac?

          • canarinonero

            no e sì.

            no perchè è un problema generalizzato che non dipende dall’os specifico ma da un tipo molto subdolo di ingegneria sociale, con rootless buona parte dei problemi di malware e espedienti da ingegneria sociale dovrebbero essere eliminati, la stabilità del sistema dovrebbe essere garantita e le azioni degli utenti risultare meno dannose.

            sì perché os x dovrebbe dopo tutti questi anni avere una rigidità maggiore sull’uso delle sandbox. pochi giorni fa osx mi ha chiesto autorizzazioni per una app non scaricata dal MAS, mi ha chiesto di autorizzare la scrittura in una data cartella e quando gli ho detto di usare la cartella utente mi ha avvisato che quella non era una mossa furba.

            ecco os x con ogni app installata dal MAS o tramite certificato gatekeeper dovrebbe fare sempre così, le app lavorare esclusivamente nella loro sandbox, gerarchia di cartelle, e nel caso di accessi oltre quella avvisare e chiedere autorizzazioni.

            se il malware in questione per criptare i file della cartella utente avesse dovuto chiedere autorizzazione alla stessa l’utente anche si sarebbe posto la domanda “perchè?”

            Transmission .app oltre alla cartella di ~/Library/Downloads, sempre che quella sia la cartella autorizzata alla scrittura per i download, al massimo avrebbe potuto criptare la Library di Transmission .app contenuta in ~/Library/Containers e la/le cartelle di Download.

            os x ha un disperato bisogno di stringere le maglie della sicurezza e diventare più simile a iOS, questo non vuol dire solo app dal MAS ma vuol d ire che se vuoi un certificato per l’app l’app deve seguire rigidissime linee guida per la sicurezza.

          • edu

            Sì spero che Apple punti sulla sicurezza, anzi visto il caso di San Bernardino, la sicurezza sarà quasi certamente un tema centrale in iOS e OSX, governo USA permettendo.

            Nel caso specifico di questo malware qualcuno ha manomesso i server di Trasmission. Questa è l’origine di tutto.
            Sul fatto che un utente si possa indispettire/prendere azioni se un programma vuole scrivere fuori dalle sue aree di compenza… dubito fortemente.

          • canarinonero

            Staremo a vedere

          • Tem

            Ogni utente di qualunque mac o pc dovrebbe avere anche un back up offline… perché in questi casi o anche metti rottura dell’ hd rischi… sui server di trasmission bisogna vedere come sono entrati. . se é stata diciamo sfortuna o negligenza della loro rete…. e in questo caso vedere cosa intendono fare per ridurre il rischio che si ripeta e per riprendere fiducia nei loro clienti.

          • Tem

            Concordo nel mondo linux infatti sono più paranoici/ attenti su questi lati, anche se osx é unix-like per renderlo più friendly agli utenti hanno forse abbassato un pó la sicurezza di certi aspetti ma possono recuperare in fretta se vogliono.

            Cmq su ogni computer (anche causa guasti ) bene fare un back up offline e nn affidarsi solo ai vari nas

    • canarinonero

      bravo, ma assicurati che sia sempre spento o al massimo scollegato da internet e mi raccomando non aprire file di alcun tipo che non siano stati prodotti direttamente sul computer e dall’os che sceglierai e non installare applicazioni e aggiornamenti di applicazioni se non collegandoti a internet tramite una VM, scaricando i sorgenti dei software che andrai a installare o aggiornare, verificando ogni singola riga di codice, compilando tu stesso i software. a si non navigare sul web con un browser, fai come stallman, scarica con wget, da te compilato da sorgenti da te medesimo verificati.

      oppure smetti di scrivere panzane.

      • Tem

        Buona descrizione Nessun computer é sicuro al 100% e l’utente comune può tanto cercando di star attento che evita generalmente la maggior parte dei problemi anche su Windows.
        Dal momento che installo qualcosa se non sono sicuro di cosa é rischio… da utente comune posso fidarmi di certi produttori ma se ho la sfiga come in questo caso tutta la colpa non é ne dell’utente ne del sistema…

    • Tem

      Non si deve pensare che sia un pc invulnerabile ma va ammesso che é più facile tenersi in salute e fare manutenzione su un mac o su altri sistemi come linux che non su Windows dove la cosa richiede impegno sul lato virus

  • federipod

    no, scusate, a parte tutto, stiamo parlando di un malware, che e’ stato “in giro” per un giorno. capisco tutto, ma credo che ogni utente mac dovrebbe fare 5 mesi ogni 3 anni con un pc. smetterebbe di lamentarsi, perché sarebbe troppo impegnato a contare i gg che mancano alla fine dei 5 mesi!

    • Tem

      La questione é che può succedere anche su mac…per quanto la maniera sia più difficile.
      E per bloccarti i dati un ransomware può metterci davvero poco… quindi é importante prendere contromisure e stare sempre attenti a ciò che si installa e farsi un back up… questo da utenti.. il lato tecnico su sicurezza server e firme digitali spetta ad altri.