Первый полностью рабочий троян для компьютеров Apple нашелся в популярном торрент-клиенте
Специалисты по информационной безопасности рапортовали об обнаружении первого полнофункционального трояна-вымогателя для платформы OS X. Вредоносное приложение распространялось в дистрибутиве торрент-клиенте Transmission 2.9.
Троян в установщике Transmission
Palo Alto Networks сообщила об обнаружении первой полностью рабочей программы-вымогателя для семейства операционных систем Apple OS X. Компания назвала его KeRanger (OSX.KeRanger.A).
KeRanger распространяется вместе с приложением Transmission 2.9 и содержится в его установщике.
В конце февраля 2016 г. разработчики Transmission выпустили первое обновление за два года — версию 2.9, а в начале марта исследователи обнаружили, что дистрибутив (файл DMG) содержит троян. По их словам, он попал туда не сразу. Transmission – популярное приложение для загрузки торрентов.
Когда троян попал в установщик
Хакеры поместили троян в установщик Transmission 2.9 спустя несколько дней после публикации новой версии, 4 марта 2016 г. Поэтому беспокоиться есть смысл только тем, кто загрузил Transmission 2.9 в этот день или позже. 5 марта 2016 г. разработчики Transmission удалили зараженный дистрибутив.
Вредоносный процесс kernel_service в «Мониторинге системы»
Как троян остался незамеченным
В OS X существует несколько механизмов защиты от вирусов. Один из них называется Gatekeeper. Он не пропускает файлы, скачанные со сторонних источников (любых кроме магазина Mac App Store). KeRanger обошел эту защиту благодаря наличию подписи действующего цифрового сертификата.
Что троян делает
После того как пользователь установил Transmission из зараженного дистрибутива, троян помещается в оперативную память и присутствует там в виде фонового процесса kernel_service. Через три дня он связывается с командно-контрольным сервером злоумышленников через анонимную сеть Tor и начинает шифровать на компьютере файлы определенных типов. После того как этот процесс завершен, троян требует с владельца компьютера 1 биткоин за дешифровку данных (около $400).
По словам исследователей, KeRanger до сих пор находится в разработке и он пытается зашифровать резервные файлы также в Time Machine для того, чтобы у пользователя не было возможности восстановить зашифрованные файлы в основном дисковом разделе.
Уведомление Apple
Palo Alto Networks уведомила Apple о проблеме. После чего Apple удалила цифровой сертификат, используемый KeRanger, и обновила базы сигнатур встроенного в OS X антивируса XProtect.
В свою очередь, разработчики KeRanger удалили зараженный дистрибутив и выпустили дистрибутив Transmission 2.92, который удаляет «заразу» из системы. Обновиться до версии 2.92 нужно также и тем, у кого установлена версия 2.91, говорится на официальном сайте приложения.
Что еще можно сделать
Специалисты Palo Alto Networks разработали комплекс мер для самостоятельного удаления KeRanger. Он описан на сайте компании (ссылка, раздел How to Protect Yourself).
Для начала они рекомендуют проверить наличие файла General.rtf в папках /Applications/Transmission.app/Contents/Resources и /Volumes/Transmission/Transmission.app/Contents/Resources/. Наличие этого файла будет свидетельствовать о присутствии трояна в системе.
Затем нужно найти процесс kernel_service в «Мониторинге системы» и принудительно завершить его.
После этого необходимо найти и удалить файлы .kernel_pid, .kernel_time и .kernel_complete или kernel_service в папке ~/Library.
По материалам сайта Cnews.ru