Come difendersi dal primo virus ransomware su OS X

Il sito di transmission con l'avviso del virus.

I possessori di computer Mac sono a rischio di vedersi crittografati i propri dati a causa del virus KeRanger.

di MC (articolo) e Mattia Gaglio (video)

8 marzo 2016 05:30

Non perdere le ultime news

Clicca sull’argomento che ti interessa per seguirlo. Ti terremo aggiornato con le news da non perdere.

Apple

Video del Giorno: L'Isola dei Famosi, Zuccarello a Vezzali: 'Non ti abbiamo isolato'

Il primo vero ransomware infetta i computer della Apple:KeRanger è il nome del pericoloso virus che può attaccarei Mac i cui possessori abbiano scaricato e installato Transmission 2.90 per OS X. Transmission è un client BitTorrent (un programma per la distribuzione e condivisione in rete peer-to-peer). Fino ad ora i ransomware si erano diffusi sui sistemi Microsoft attraverso le email; OS X invece è a rischio infezione perché gli hacker criminali hanno "bucato" il sito ufficiale di Transmission e sono riusciti a sostituire il software ufficiale con una versione modificata.

Per superare e raggirare i sistemi di protezione della Applel'applicazione KeRanger è stata firmata con un certificato di sviluppo applicazioni per Mac valido.

Le conseguenze dell'infezione di KeRanger

Le conseguenze dell'infezione di KeRanger sono molto serie: il programma malevolo inizia a crittografare ifile presenti sull'hard disk del Mac con pesanti conseguenze su vari formati didocumenti come Word o Excelma anchefoto, fileaudio e video. I tecnici di Palo Alto Networks hanno calcolato che ci sono più di 300 differenti estensioni colpite dal malware:

Documenti: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex
Immagini: .jpg, .jpeg,
Audio evideo: .mp3, .mp4, .avi, .mpg, .wav, .flac
Archivi: .zip, .rar., .tar, .gzip
Codice sorgente: .cpp, .asp, .csh, .class, .java, .lua
Database: .db, .sql
Email: .eml
Certificati: .pem

Dopo aver completato il processo di crittografia, KeRanger visualizza un avvisochiedendoun pagamento in bitcoin (di circa 400 $), una sorta di riscatto, per poter recuperare i propri file.

Fortunatamente il virus inizia a crittografare i file solo dopo qualche giorno dall'infezione: Apple ha già provveduto a rendere impossibile l'installazione della versione 2.90 di Transmission e, per chi l'avesse già sul proprio Mac, è già disponibile la 2.92 che automaticamente rimuoverà “OSX.KeRanger.A”.

Come difendersi in caso di infezione

Naturalmente il fatto che il ransomwaresia stato individuato nel file di installazione di Transmission non significa che non possa anche introdursi nel computer tramite altre vie. Per sicurezza i tecnici di Palo Alto Network consigliano di controllare se esistono dei file dal nome general.rtf in particolare in questi due percorsi:/Applications/Transmission.app/Contents/Resources/ General.rtf oppure/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf.

Inoltre, usando la funzionegestione attività di Mac OS X, controlliamo se è in esecuzione unprocesso chiamato "kernel_service".Fatti questi passaggi controllare chesul disco fisso, nella cartella "~/Library" non ci sia uno dei seguenti file: ".kernel_pid", ".kernel_time", ".kernel_complete" or "kernel_service".

Content sponsored by Outbrain