Блог
Регистрация
Наверх
8 марта Вторник

Первый малвер-вымогатель на OS X: как не подхватить заразу

В рубрике: Новости

Котовасия началась 4 марта, когда охранная фирма Palo Alto Networks обнаружила KeRanger — вредоносное ПО (малвер), шедшее в комплекте с обновлением популярного треккера Transmission. Прецедент заключается в том, что обновление (ver. 2.90) с малвером на борту висело на официальном сайте Transmission с действительным сертификатом Mac app development. Ничто не предвещало беды.

KeRanger находился в обновлении программы Transmission на её официальном сайте

Как объяснил Джон Клей из Transmission Project, злоумышленники взломали основной сервер сайта, подменив настоящее обновление Transmission версией с вредоносным ПО. Как это им удалось — неясно.

С момента появления Transmission ver 2.90 — 4 марта — до момента, когда Apple и Transmission предприняли меры по борьбе с малвером KeRanger — 6 марта — было поражено 6.5 тысяч компьютеров Apple. Это к слову о масштабах катастрофы. Сравните эти цифры с 230-тысячным поражением Windows-компьютеров программой-вымогателем Cryptolocker в феврале прошлого года, и 800-тысячным поражением вымогателем Locky в феврале этого года. Да, пользователей Apple Mac в мире не так много, как Windows-систем, однако KeRanger нельзя назвать повальным и вездесущим.

KeRanger — корень бед — нельзя назвать “вирусом”, ибо самостоятельно данное вредоносное ПО не распространяется, а, попав в систему, не заражает другие программные продукты. Если знакомым “посчастливилось” загрузить Transmission ver 2.90, не спешите удалять из списка друзей и обещать больше никогда не ходить к ним в гости с флешкой :-)

Чем опасен KeRanger для Mac? Малвер шифрует расширения файлов, в том числе видео, аудио, документов. Однако зашифровать файлы, отвечающие за функционирование системы, KeRanger не способен, т.е. запускается поражённый Mac, как и раньше, без проблем.

Поражению, среди прочих, подвержены:

Файлы, подверженные шифровке, на Mac OS X

За то, чтобы вы снова получили доступ к зашифрованным файлам KeRanger и просит позолотить ручку. Хочет вымогатель, чтобы вы с ним расплатились одним Bitcoin, а это 405 долларов.

KeRanger устроен хитро: “просыпается” ПО не сразу по установке обновления Transmission ver. 2.90, а спустя три дня. И к тому же умудряется шифровать бекап Time Machine, чтобы вы, наивно обрадовавшись, не решили на скору руку избавиться от вымогателя банальным восстановлением файлов. На сайте Transmission уже навели порядок и вывесили новую версию программы, без малвера. Так что если обновляетесь, смело загружайте сразу ver. 2.92.

Курс лечения: как избежать поражения и как удалить KeRanger, если уже поставил ver. 2.90?

Проверьте, нет ли малвера на вашем Mac:

  1. Если вы НЕ ЗАГРУЖАЛИ Transmission ver. 2.90, то остерегаться нечего. Ещё раз повторяем: это не вирусная программа, а значит сама по себе она взяться на вашем компьютере или попасть от вашего ПК на другие устройства не может!
  2. Если вы оказались в числе тех 6.5 тысяч загрузивших обновление с малвером, используйте Terminal или Finder и проверяем /Applications/Transmission.app/Contents/Resources/ General.rtf или /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf. Если файл General.rtf существует, поздравляем — это и есть вредоносное ПО, только маскирующиеся под RTF-файл.

Вредоносное ПО маскируется под RTF файл

  1. Удалите Transmission с вашего Mac.
  2. Используя Activity Monitor — приложение установлено на все Mac-устройства — проверьте, не запущен ли процесс kernel_service. Если есть такой, двойной клик по процессу — выберите Open Files and Ports и проверьте, есть ли файл с именем /Users/<username>/Library/kernel_service. Если есть такой, настоятельно рекомендуем его деактивировать с помощью команд Quit -> Force Quit.
  3. Проверяем наличие файлов “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service” в ~/Library directory. Удалите их немедленно.

Ищем и деактивируем процесс kernel_service

ВАЖНО! Apple позаботилась о том, чтобы вы не стали жертвой злоумышленников, потому при попытке загрузить ver. 2.90 теперь вам выпадет предупреждение, что файл навредит вашему ПК, а потому запущен не будет. Рекомендуем удалить установочный файл.  

Подробный разбор принципов действия и деактивации малвера читайте на сайте Palo Alto вот тут (только на английском). Инструкцию по обеззараживанию Мака от малвера мы взяли оттуда.

Маки, не болейте и с весной вас!

Читайте также: Стоят ли ноутбуки Apple своих денег?

The following two tabs change content below.

Елизавета

Без зазрений совести спрашиваю «телефончик» у малознакомых парней и девушек. За тем, чтобы проверить удобно ли кнопка блокировки ложится под палец и быстро ли срабатывает автофокус :) Хотела бы побывать на MWC и вести лайв-блог из гущи событий.
Назад
Комментарии
  • Мошенники становятся всё более изобретательными. Хотя, я думаю, среди пользователем Маков много продвинутых людей, которые не станут быстро платить немалую сумму денег вымогателям.

    Ответить
    • Ответ Виталий:

      Не знаю почему, но в отчетах указано, что «злоумышленники добились выкупа от некоторых пользователей», но точное количество не указывают. Как думаете, сколько заплативших?

      Ответить
      • Ответ Елизавета:

        Если ничего не упустил, с одной стороны 6500 скачавших, это не мало, а с другой 405 долларов, далеко не каждый заплатит. Но уверен среди этих документов были и такие за которые люди были вынуждены заплатить, так что сумма будет не маленькая. Всего 100 заплативших это уже 40к долларов, что нехило.

        Ответить
        • Ответ Jazzman:

          Считаю что Jassman прав мошенники неплохо заработали на этой операции,, Если бы было иначе то эта история не получила бы такой резонанс во всём мире.

          Ответить
          • Ответ Алекс:

            История получила резонанс не потому, что кто-то нажился на н-ную сумму денег. А потому, что это был первый факт проникновения малвера на компьютеры Apple, имевшего сертификат безопасности. Тут не о деньгах речь, а о прецинденте.

  • Спасибо автору за столь исчерпывающую информацию о столь неприятном инциденте для любителей техники Aple. Я слышал о нём вскольз из СМИ и даже написал в комментарии к вашей статье где сравнивались смартфоны iPhone 6s и Samsung GALAXY S7.

    Ответить
  • Сам не любитель техники Aple, но не раз сталкивался с такими программами на винде, и удалить их довольно сложно, антивирусники многие их не видят. Теперь ещё и додобрались. Мне интересно, преступники которые занимаются вот такими преступлениями хоть раз понесли наказание или нет, а так же фирмы, в данном случае Aple компенсирует убытки своим пользователям.

    Ответить
Ответить