KeRanger: Il primo Mac Ransomware in the Wild Discovered

Il 4 marzo 2016, Palo Alto Networks, una nota azienda di sicurezza, ha pubblicato la scoperta del ransomware KeRanger ransomware che infetta Transmission, il popolare client BitTorrent per Mac. Il malware vero e proprio è stato trovato all’interno del programma di installazione di Transmission versione 2.90.

Il sito web di Transmission ha rapidamente eliminato l’installatore infetto e sta esortando chiunque utilizzi Transmission 2.90 ad aggiornare alla versione 2.92, che è stata verificata da Transmission per essere libera da KeRanger.

La trasmissione non ha discusso di come il programma di installazione infetto sia stato in grado di essere ospitato sul loro sito web, né Palo Alto Networks è stata in grado di determinare come il sito della trasmissione sia stato compromesso.

KeRanger Ransomware

Il ransomware KeRanger funziona come la maggior parte dei ransomware, crittografando i file sul vostro Mac, e poi richiedendo il pagamento; in questo caso, sotto forma di un bitcoin (attualmente valutato circa 400 dollari) per fornirvi la chiave di crittografia per recuperare i vostri file.

Il ransomware KeRanger viene installato dall’installatore della trasmissione compromessa. Il programma di installazione si avvale di un certificato valido di sviluppatore di app per Mac, che consente l’installazione del ransomware per superare la tecnologia Gatekeeper di OS X, che impedisce l’installazione di malware sul Mac.

Una volta installato, KeRanger imposta la comunicazione con un server remoto sulla rete Tor. Poi va a dormire per tre giorni. Una volta risvegliato, KeRanger riceve la chiave di cifratura dal server remoto e procede alla cifratura dei file sul Mac infetto.

I file crittografati includono quelli nella cartella /Users, il che fa sì che la maggior parte dei file utente sul Mac infetto diventi crittografata e non utilizzabile. Inoltre, Palo Alto Networks riferisce che la cartella /Volumes, che contiene il punto di montaggio per tutti i dispositivi di memorizzazione collegati, sia locali che in rete, è anch’essa un bersaglio.

Al momento, ci sono informazioni contrastanti riguardo ai backup di Time Machine che vengono criptati da KeRanger, ma se la cartella /Volumes viene presa di mira, non vedo perché un’unità Time Machine non dovrebbe essere criptata. La mia ipotesi è che KeRanger sia un pezzo di ransomware così nuovo che le segnalazioni miste su Time Machine sono semplicemente un bug nel codice del ransomware; a volte funziona, a volte no.

Reagisce Apple

Palo Alto Networks ha segnalato il riscatto del KeRanger sia alla Apple che alla Transmission. Entrambe hanno reagito rapidamente; Apple ha revocato il certificato di sviluppatore di app per Mac utilizzato dall’app, permettendo così a Gatekeeper di fermare ulteriori installazioni della versione attuale di KeRanger. Apple ha anche aggiornato le firme di XProject, permettendo al sistema di prevenzione del malware OS X di riconoscere KeRanger e di impedire l’installazione, anche se GateKeeper è disabilitato, o è configurato per un’impostazione a bassa sicurezza.

Transmission ha rimosso Transmission 2.90 dal loro sito web e ha rapidamente ristampato una versione pulita di Transmission, con un numero di versione 2.92. Possiamo anche supporre che stiano esaminando come il loro sito web sia stato compromesso e che stiano prendendo misure per evitare che si ripeta.

Come rimuovere KeRanger

Ricordate che scaricare e installare la versione infetta dell’app Trasmissione è attualmente l’unico modo per acquisire KeRanger. Se non si utilizza Transmission, attualmente non è necessario preoccuparsi di KeRanger.

Finché KeRanger non ha ancora crittografato i file del vostro Mac, avete il tempo di rimuovere l’applicazione e impedire che la crittografia si verifichi. Se i file del Mac sono già crittografati, non c’è molto che si possa fare, tranne sperare che anche i backup non siano stati crittografati. Questo indica un’ottima ragione per avere un’unità di backup che non è sempre collegata al Mac. Per esempio, uso Carbon Copy Cloner per fare un clone settimanale dei dati del mio Mac. L’alloggiamento dell’unità che clona non viene montato sul mio Mac finché non è necessario per il processo di clonazione.

Se mi fossi imbattuto in una situazione di riscatto, avrei potuto recuperare recuperando dal clone settimanale. L’unica penalità per l’utilizzo del clone settimanale è avere file che potrebbero essere scaduti anche di una settimana, ma è molto meglio che pagare un riscatto a qualche malvagio cretino.

Se vi trovate nella sfortunata situazione che KeRanger ha già fatto scattare la sua trappola, non conosco altra via d’uscita se non quella di pagare il riscatto o ricaricare OS X e ricominciare da capo con un’installazione pulita.

Rimuovere la trasmissione

Nel Finder, navigare su /Applicazioni.

Trovare l’applicazione Trasmissione, quindi fare clic con il tasto destro del mouse sulla sua icona.

Dal menu a comparsa, selezionare Mostra contenuto del pacchetto.

Nella finestra Finder che si apre, navigare su /Contents/Resources/.

Cercare un file con l’etichetta General.rtf.

Se è presente il file General.rtf, è installata una versione infetta di Transmission. Se l’applicazione Trasmissione è in esecuzione, chiudere l’applicazione, trascinarla nel cestino e poi svuotare il cestino.

Rimuovere KeRanger

Lanciare il Monitor di attività, che si trova a /Applicazioni/Utilità.

In Activity Monitor, selezionare la scheda CPU.

Nel campo di ricerca dell’Activity Monitor, inserire quanto segue:

 kernel_service 
e poi premere "Return".

Se il servizio esiste, sarà elencato nella finestra dell'Activity Monitor.

Se presente, fare doppio clic sul nome del processo in Activity Monitor.

Nella finestra che si apre, fare clic sul pulsante Apri file e porte.

Prendete nota del percorso del kernel_servizio; probabilmente sarà qualcosa di simile:

 /utenti/nome_cartella/biblioteca/servizio_del_servizio_del_servizio_del_servizio_del_servizio_del_servizio_del_servizio_del_servizio_del_servizio 
Selezionare il file, quindi fare clic sul pulsante Quit (Esci).

Ripetere quanto sopra per i nomi dei servizi kernel_time e kernel_complete .

Anche se hai abbandonato i servizi all'interno di Activity Monitor, devi anche eliminare i file dal tuo Mac. Per farlo, usate i percorsi dei file che avete preso nota per navigare verso i file kernel_service, kernel_time e kernel_complete. (Nota: potreste non avere tutti questi file presenti sul vostro Mac.)

Poiché i file da cancellare si trovano nella cartella Library della vostra cartella home, dovrete rendere visibile questa speciale cartella. Potete trovare le istruzioni per farlo nell'articolo di OS X Is Hiding Your Library Folder.

Una volta che avete accesso alla cartella Library, cancellate i suddetti file trascinandoli nel cestino, quindi fate clic con il tasto destro del mouse sull'icona del cestino e selezionate Empty Trash (Cestino vuoto).

Deja un comentario