Apple iegūst savu pirmo Ransomware devu kā 6 500 lietotāju ar šifrēšanas vīrusu

Ja jūs bijāt viens no neveiksmīgajiem daudzajiem piektdienā, lai lejupielādētu un instalētu jauno Transmisijas versiju, torrent lejupielādes lietojumprogramma šodien ir jūsu aprēķināšanas diena: Jūsu informācija un jūsu piekļuve jūsu pašu pīlāriem var tikt piedāvāta izpirkšana.

Mac lietotāji nekad nav bijuši pakļauti pilnībā realizētiem ransomware un labs iemesls: Apple produkti ir bijuši relatīvi spēcīgi pret vīrusiem. Bet šis uzstādītājs apvainoja ļaunprātīgo programmu KeRanger, un deva tai trīs dienu miera periodu. Pārraide ir viens no populārākajiem, vienkāršākiem un intuitīvākajiem BitTorrent klientiem, un lietotājiem tas ir ļoti viegli lejupielādēt torrentus, vai tie ir albumu, programmu, filmu vai utt.

Šajā liktenīgajā trešajā dienā - kas notiek šodien - tie, kas uzstāda Transmisijas versiju 2.90 un baudīja trīs brīnišķīgas tērzēšanas dienas, tikās ar rupju izpirkuma vēstuli plkst. Austrumu laiks: KeRanger šifrēja neveiksmīgo Mac saturu un pieprasīja 1 bitcoin - līdzvērtīgu mūsdienās - apmēram 409 ASV dolāriem - atšifrēt minētos datus. Un ar vairāk nekā 300 dažāda veida failu paplašinājumiem, kas šifrēti, ļoti maz tika iztērēti.

John Clay nosūtīja Apgrieztā pilnīgāks stāsts:

“Nākamajās dienās mēs nosūtīsim paziņojumu ar vairāk informācijas, bet mūsu labākais minējums šajā brīdī ir tas, ka tika lejupielādēti aptuveni 6500 inficētu disku attēlu (desmitiem tūkstošu likumīgu šīs versijas lejupielāžu iepriekš). No tiem mūsu pieņēmums ir tāds, ka daudzi nespēja palaist inficēto failu, jo Apple ātri atcēla sertifikātu, ko izmanto, lai parakstītu bināro, kā arī atjauninātu XProtect definīcijas. Par to mēs gaida apstiprinājumu no Apple.

„Sparkle automātiskās atjaunināšanas mehānisms netika apdraudēts, un tas nebūtu atjaunināts uz inficēto bināro, jo hash bija atšķirīgs. Turklāt mūsu trešās puses kešatmiņa (CacheFly) netika apdraudēta, proti, daudzas programmatūras atjaunināšanas vietnes ir saistītas ar (MacUpdate et al). Mēs arī esam apstiprinājuši, ka lietotājs ar inficētu versiju var veiksmīgi automātiski atjaunināt likumīgās 2.91 vai 2.92 versijas, 2.92 aktīvi mēģinot noņemt ļaunprātīgu programmatūru.

Ja lietojat pārraidi, skatiet, kā pārbaudīt, vai jūsu dators ir inficēts:

• Atveriet iebūvēto Activity Monitor lietojumprogrammās / utilītprogrammās.
• Cilnē “Disk” meklējiet “kernel_service”. (“Kernel_task” ir nekaitīgs un būtiska OSX daļa; ja jūs redzat, ka šis process darbojas, nelietojiet paniku.)

Šeit var aplūkot izpirkuma vēstuli, kas ir dīvaini pieklājīga, ņemot vērā tās radītāju neapšaubāmi žēlās dvēseles. Tas sākas, "Jūsu dators ir bloķēts un visi faili ir šifrēti ar 2048 bitu RSA šifrēšanu."

Nosūtīšana atbildēja ātri un atjaunināja instalētāju, lai izslēgtu un, iespējams, noņemtu KeRanger no inficētiem datoriem.

Viens no pētniekiem, kas atklāja ransomware - Claud Xiao - aktīvi izplatīja vārdu:

Cilvēki, šī ir vienīgā reize, kad es lūdzu jūsu palīdzību, lai izplatītu ziņas. #KeRanger ir paredzēts, lai sāktu šifrēšanu nākamajā pirmdienas rītā!

- Claud Xiao (@claud_xiao) 2016. gada 6. marts

#Transmisija tikai uzstāja 2.92 atjauninājumu, kas ietver kodu, lai noteiktu un noņemtu #KeRanger ransomware. Atjauniniet to pirms pirmdienas 11:00.

- Claud Xiao (@claud_xiao) 2016. gada 6. marts

Tā arī brīdināja visus, kas atjaunināja programmu:

Apple arī atbildēja, atceļot instalētāja sertifikācijas versiju - sertifikātu, kas ļāva ransomware apiet normāli stingro GateKeeper un XProtect, kas nodrošina Mac drošību.

Palo Alto Networks atklāja drošības pārkāpumu. Pilns ziņojums un pašaizsardzības rokasgrāmata atrodami šeit.