Il primo vero ransomware infetta i computer della Apple: KeRanger è il nome del pericoloso virus che può attaccare i Mac i cui possessori abbiano scaricato e installato Transmission 2.90 per OS X. Transmission è un client BitTorrent (un programma per la distribuzione e condivisione in rete peer-to-peer). Fino ad ora i ransomware si erano diffusi sui sistemi Microsoft attraverso le email; OS X invece è a rischio infezione perché gli hacker criminali hanno "bucato" il sito ufficiale di Transmission e sono riusciti a sostituire il software ufficiale con una versione modificata.
Per superare e raggirare i sistemi di protezione della Apple l'applicazione KeRanger è stata firmata con un certificato di sviluppo applicazioni per Mac valido.
Le conseguenze dell'infezione di KeRanger
Le conseguenze dell'infezione di KeRanger sono molto serie: il programma malevolo inizia a crittografare i file presenti sull'hard disk del Mac con pesanti conseguenze su vari formati di documenti come Word o Excel ma anche foto, file audio e video. I tecnici di Palo Alto Networks hanno calcolato che ci sono più di 300 differenti estensioni colpite dal malware:
- Documenti: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex
- Immagini: .jpg, .jpeg,
- Audio e video: .mp3, .mp4, .avi, .mpg, .wav, .flac
- Archivi: .zip, .rar., .tar, .gzip
- Codice sorgente: .cpp, .asp, .csh, .class, .java, .lua
- Database: .db, .sql
- Email: .eml
- Certificati: .pem
Dopo aver completato il processo di crittografia, KeRanger visualizza un avviso chiedendo un pagamento in bitcoin (di circa 400 $), una sorta di riscatto, per poter recuperare i propri file.
Fortunatamente il virus inizia a crittografare i file solo dopo qualche giorno dall'infezione: Apple ha già provveduto a rendere impossibile l'installazione della versione 2.90 di Transmission e, per chi l'avesse già sul proprio Mac, è già disponibile la 2.92 che automaticamente rimuoverà “OSX.KeRanger.A”.
Come difendersi in caso di infezione
Naturalmente il fatto che il ransomware sia stato individuato nel file di installazione di Transmission non significa che non possa anche introdursi nel computer tramite altre vie. Per sicurezza i tecnici di Palo Alto Network consigliano di controllare se esistono dei file dal nome general.rtf in particolare in questi due percorsi:/Applications/Transmission.app/Contents/Resources/ General.rtf oppure/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf.
Inoltre, usando la funzione gestione attività di Mac OS X, controlliamo se è in esecuzione un processo chiamato "kernel_service".Fatti questi passaggi controllare che sul disco fisso, nella cartella "~/Library" non ci sia uno dei seguenti file: ".kernel_pid", ".kernel_time", ".kernel_complete" or "kernel_service".