Instalator klienta sieci torrent Transmission zainfekowany ransomware na OS X
Trudno traktować do końca poważnie argumenty na rzecz korzystania z innych systemów niż Windows ze względu na „brak wirusów”. Oczywiście liczba zagrożeń w przypadku na przykład Linuksa, z reguły jest mniejsza proporcjonalnie do popularności. Często podobne stwierdzenia dotyczą komputerów Apple, wiadomo już jednak, że na OS X-ie zdarzył pierwszy udokumentowany przypadek masowego rozpowszechniania programu typu ransomware.
Popularność szkodników typu ransomware rośnie. Zapewne przede wszystkim ze względu na dużą skuteczność ataków: po zaszyfrowaniu dysku, użytkownik otrzymuje od hakera żądanie okupu. Atakujący deklaruje, że po uzyskaniu pieniędzy umożliwi użytkownikowi odszyfrowanie dysku. W innym wypadku dostęp do danych zostanie na zawsze utracony. Z reguły atakujący pozostają rozsądni w wysokości żądanych okupów, dzięki czemu liczba osób, które „dla świętego spokoju” zapłacą za dostęp do danych, jest całkiem spora.
Wiadomo już, że na celowniku są także użytkownicy OS X-a. Otóż w ostatniej wersji programu w naszej bazie.
Nie będzie to jednak pomocne dla osób, na dyskach których znajduje się już KeRanger. Nie wiadomo jeszcze ile jest takich przypadków, brakuje także doniesień o żądaniach okupu. Niemniej istnieją sposoby, aby sprawdzić, czy na danym Maku znalazło się szkodliwe oprogramowanie. W pierwszej kolejności należy sprawdzić, czy w zawartości pakietu Transmission znajduje się plik General.rtf. Jeżeli komputer jest zagrożony, to będzie on widoczny w folderze /Applications/Transmission.app/Contents/Resources.
Ponadto KeRanger jest również widoczny jako proces w CPU. Można go odnaleźć w Monitorze Aktywności pod nazwą kernel_service. W takim przypadku konieczne jest wymuszenie jego zatrzymania. Jeżeli natomiast pliki, zostały już zaszyfrowane, to pozostaje przywrócenie kopii zapasowej. O pracach nad rozwiązaniem problemu poinformowało już samo Apple: certyfikat, który pozwolił na ominięcie GateKeepera, został wyłączony, zaktualizowana została także baza certyfikatów XProtect. Nie ma jak dotąd informacji o zainfekowaniu instalatorów Transmission przeznaczonych na inne systemy operacyjne.
