Apple får sin første dose av Ransomware som 6.500 brukere, som er truffet med krypteringsvirus

Hvis du var en av de uheldig mange på fredag ​​for å laste ned og installere den nye versjonen av Transmission, et torrent nedlastingsprogram, er det i dag din regningsdag: Din informasjon, og din egen tilgang til din søyle, kan bli satt opp for løsepenger.

Mac-brukere har aldri før blitt utsatt for fullstendig realisert ransomware, og med god grunn: Apple-produkter har vært relativt sterke mot virus. Men denne installatøren sluppet det ondsinnede programmet KeRanger, og ga det en tre-dagers hvileperiode. Transmisjon er en av de mest populære, forenklede og intuitive BitTorrent-klientene, og gjør det veldig enkelt for brukere å laste ned torrenter, det være seg torrenter av album, programmer, filmer eller lignende.

På den skjebnefulle tredje dagen - som tilfeldigvis er i dag - de som installerte Transmission versjon 2.90 og likte tre jubilante dager med torrent godhet ble møtt med en uhøflig løslatelse notat klokken 14.00. Østtid: KeRanger krypterte innholdet til de uheldige Mac-ene og krevde 1 bitcoin-ekvivalent, i dag til rundt 409 dollar - for å dekryptere dataene. Og med over 300 forskjellige typer filutvidelser kryptert, var det svært lite spart.

John Clay på Transmission ga Omvendt en fyldigere historie:

"Vi legger inn et varsel i løpet av de neste dagene med mer informasjon, men vårt beste gjetning på dette tidspunktet er at ca. 6500 infiserte diskbilder ble lastet ned (av titusenvis av legitime nedlastinger av denne versjonen tidligere). Av dem er vår formodning at mange ikke klarte å kjøre den infiserte filen på grunn av at Apple raskt revokert sertifikatet som ble brukt til å signere binæret, samt å oppdatere XProtect-definisjonene. Vi venter på bekreftelse fra Apple på det.

"Maskinen for automatisk oppdatering av Sparkle ble ikke kompromittert, og ville ikke ha oppdatert til infisert binær som hash var annerledes. Videre ble vår tredjepartsbuffer (CacheFly) ikke kompromittert, noe som er der mange av programvareoppdateringsnettene knytter til (MacUpdate et al.). Vi har også bekreftet at en bruker med en infisert versjon kan lykkes automatisk oppdatering til legitime utgivelser på 2.91 eller 2.92, med 2.92 aktivt forsøker å fjerne malware."

Hvis du bruker Overføring, kan du sjekke om din egen datamaskin var infisert:

• Åpne den innebygde aktivitetsmonitoren i Applications / Utilities.
• Under "Disk" -fanen, søk etter "kernel_service". ("Kernel_task" er uskadelig og en viktig del av OSX; hvis du ser at prosessen kjører, ikke bli panikk.)

Romsom notatet, som er merkelig høflig gitt sine skapere 'utrolige beklager sjeler, kan ses her. Det begynner, "Datamaskinen din er låst og alle filene dine har blitt kryptert med 2048-bit RSA-kryptering."

Transmisjonen reagerte raskt og oppdaterte installasjonsprogrammet for å ekskludere og angivelig fjerne KeRanger fra infiserte datamaskiner.

En av forskerne som oppdaget ransomware - Claud Xiao - var aktiv for å spre ordet:

Folk, dette er den eneste gangen jeg ber om hjelp til å spre nyheten. #KeRanger er designet for å starte kryptering neste mandag morgen!

- Claud Xiao (@claud_xiao) 6. mars 2016

#Transmission bare presset 2.92 oppdatering som inneholder kode for å oppdage og fjerne #KeRanger ransomware. Oppdater det før mandag klokken 11.00.

- Claud Xiao (@claud_xiao) 6. mars 2016

Den advarte også alle som oppdaterte programmet:

Apple reagerte også ved å fjerne den versjonen av installatørens sertifisering - en sertifisering som tillot ransomware å omgå den normalt strenge GateKeeper og XProtect som holder Mac-er sikre.

Palo Alto Networks avslørte sikkerhetsbrudd. For hele rapporten og en selvbeskyttelsesguide, se her.