Megvan az első teljes funkcionalitású zsaroló program (ransomware) Mac OS X-re – jelentette be a Palo Alto Networks a hétvégén. A KeRanger néven futó károkozó egy népeszrű nyílt forráskódú BitTorrent kliensen, a Transmissionön kerszetül fertőzi meg az Apple gépeket.

Két éve már egyszer felbukkant egy Mac OS X-specifikus zsaroló, a Kaspesky Lab által felfedezett FileCoder, az azonban még egy meglehetősen kezdetleges károkozó volt, fertőzése nem is okozott komolyabb károkat. A KeRanger azonban már a Windowsokon és az Androidon is egyre népszerűbb károkozótípus kifejlett példánya.

A Transmission fejlesztői nagyon gyorsan reagáltak az incidensre: honlapjukon felhívták a felhasználók figyelmét, hogy a program OS X-es változatának a 2.90-es verziója fertőzött, ezért mindenki frissítsen a 2.91-esre, sőt azóta már a 2.92-est ajánlják. A 2.91-es ugyan nem volt fertőzött – írják –, de a zsaroló eltávolítására nem alkalmas, a 2.92-es viszont már el is távolítja a zsarolót.

1 bitcoint kér a feloldásért

A KeRanger első körben 72 órára zárja ki a felhasználót a gépéből. A zárolás feloldásáért 1 bitcoint kér, ez aktuális árfolyamon valamivel több mint 400 dollár (mintegy 115 ezer forint).

A Palo Alto Networks kutatási igazgatója, Ryan Olson az Ars Technikának azt mondta, hogy alapvetően meglepő, hogy ilyen fejlett zsaroló jelent meg Macen. Eddig ugyanis ezekkel a programokkal főleg a windowsos rendszereket és a mobil platformokat támadták. Olson szerint most a zsarolás a kiberbűnözők legnépszerűbb üzleti modellje. Az pedig, hogy egy viszonylag elterjedt alkalmazáson keresztül volt képes fertőzni a KeRanger, arra utal, hogy OS X-en is el fognak szaporodni a hasonló támadások.

A KeRanger ezért tudta megkerülni az Apple Gatekeeper védelmét, mert érvényes tanúsítvány használt az alkalmazás aláírására. Az Apple azóta már eltávolította a kompromittált tanúsítványt.

Települ, vár, titkosít

A KeRager akkor fut le, ha a felhasználó a BitTorrent-kliens felrtőzött változatát telepíti. De hogy ne keltsen feltűnést, vár három napot, mielőtt kapcsolatba lépne a vezérlőszerverével (ezeket a vezérlőszervereket aTor hálózatban rejtik el a támadók). Ha felvette a kapcsolatot, titkosít bizonyos fájlokat, majd pedig értesíti a felhasználót, hogy fizessen, különben nem jut hozzá a fájljaihoz.

A Palo Alto Networks kutatói a malware vizsgálatakor több olyan információra is bukkantak, ami arra utal, hogy a KeRangert jelenleg is fejlesztik. Például olyan funkciókra utaló jeleket találtak, amely a backup állományok titkosítását célozza.Jelenleg dokumentumfájlokat (doc, docx, dot, ppt, pptx, xls, xlsx stb.), képfájlokat (jpg, jpeg), zenei és videoállományokat, tömörítvényeket, forráskódokat, sql adatbázis-állományokat, valamint leveleket és tanúsítvány fájlokat is titkosít.

Ha a zsaroló még nem zárolta a gépet, legegyszerűbb, ha törlik a Transmission régebbi verzióját, és a tiszta 2.92-est telepítik helyette. A fertőzésre utal, ha a gépen fent van az /Applications/Transmission.app/Contents/Resources/ General.rtf vagy a /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf állomány.