Tietokoneen panttivangiksi kaappaava KeRanger-haittaohjelma levisi Applen Mac OS X:lle

07.03.2016 20:32 | Petrus Laine | 1

20160307transmissionkeranger

Tietokonetta panttivankina pitävät haittaohjelmat ovat olleet tyypillisesti lähinnä Windows-käyttöjärjestelmän harmina. Nyt tilanne on kuitenkin muuttunut, sillä KeRanger-haittaohjelma on ilmestynyt myös Mac-tietokoneiden OS X -käyttöjärjestelmälle.

Palo Alto Threat Intelligencen johtajan Ryan Olsonin mukaan KeRangerin OS X:lle ilmestynyt versio on taatusti toimiva haittaohjelma, joka salaa tiedostosi ja vaatii lunnaita salausavaimen saamiseksi. KeRangerin OS X versio pääsi leviämään avoimeen lähdekoodiin perustuvan BitTorrent-ohjelma Transmissionin perjantaina julkaistun 2.90-version mukana. Koska ohjelma oli allekirjoitettu Applen virallisella Mac-kehittäjän sertifikaatilla, se pääsi liehuvin lipuin läpi OS X:n Gatekeeper-suojauksen.

Saastunut versio ohjelmasta oli jaossa ainakin Transmissionin omilla verkkosivuilla. Transmissionin ylläpitäjät poistivat saastuneen version heti, kun sen saastumisesta saatiin tieto, ja ohjelmalle on sittemmin julkaistu jo kaksi päivitettyä versiota, 2.91 ja 2.92.

Transmission suosittelee kaikkia ohjelman käyttäjiä päivittämään ohjelman välittömästi tuoreimpaan versioonsa. Saastuneen 2.90-version asentaneet voivat silti olla pulassa, sillä KeRangerin kerrotaan odottavan kolme päivää ennen aktivoitumistaan, jonka jälkeen se pyytää maksuksi salauksen avauskoodista yhden BitCoinin, eli noin 373 euroa. Aiheuttaakseen lisää harmaita hiuksia, Palo Alto kertoo KeRangerin pyrkivän salaamaan myös mahdolliset Time Machine -varmuuskopiotiedostot, ettei käyttäjä voi yksinkertaisesti palauttaa OS X:äänsä aiempaan tilaan niiden avulla.

Palo Alto Networks, New OS X Ransomware KeRanger Infected Transmission BitTorrent Client Installer

Reuters, Apple users targeted in first known Mac ransomware campaign

Keskustelu

KeRangerin OS X versio pääsi leviämään avoimeen lähdekoodiin perustuvan BitTorrent-ohjelma Transmissionin perjantaina julkaistun 2.90-version mukana.

Ja tähän oli syynä nettisivun hakkerointi ja aidon tiedoston vaihtaminen saastuneeseen.

Transmission representative John Clay told Reuters via email that the ransomware was added to disk-image of its software after the project's server was compromised in a cyber attack.

"We're not commenting on the avenue of attack, other than to say that it was our main server that was compromised," he said. "The normal disk image (was) replaced by the compromised one."

http://www.reuters.com/article/apple-ransomware-idINL1N16F17Q

Muropaketin uusimmat