Ново поколение вируси, искащи откуп (ransomware), засяга и собствениците на Mac. Първите сигнали за атаката се появиха в петък, 4 март, а оттогава заразените потребители не спират да се увеличават. Те са жертва на KeRanger – първият ransomware за Mac OS. Заразата се осъществява чрез торент клиента Transmission – и въпреки бързата реакция и публикувани патч, заразата е факт. Според Антон Черепанов, анализатор в ESET, зловредният код се разпространява чрез компрометираната версия 2.90 на иначе безобидния BitTorrent клиент Transmission. Версията на софтуера, съдържаща KeRanger, е била достъпна за сваляне в периода 4-5 март и е съдържала легитимен сертификат на производителя.Същата тази версия е изтрита на 5 март от официалния уебсайт на Transmission. Междувременно от Apple премахват подвеждащия сертификат за легитимност, за да се избегнат нови инсталации на компрометирания файл.До момента KeRanger не е изисквал откуп от засегнатите потребители. Според Черепанов обаче, това не трябва да успокоява потребителите. Анализът сочи, че KeRanger остава неактивен в рамките на 3 дни, преди да криптира данни на устройството. Неговото присъствие може да засечеш по следния начин:Ако някой от следните файлове съществува на машината, изтрий ги и деинсталирай Transmission клиента:
- /Applications/Transmission.app/Contents/Resources/ General.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
- %HOME_DIR%/Library/kernel_service
- %HOME_DIR%/Library/.kernel_pid
- %HOME_DIR%/Library/.kernel_time
KeRanger не позволява декриптиране на заключените данни. Алгоритъмът RSA-2048 and AES-256), използван за криптиране на файловете, на практика е непробиваем.За да се предпазят файловете и личните данните, е необходимо адекватно решение за информационна сигурност. Потребителите на ESET са защитени чрез ESET Cyber Security. Решението защитава от вируси, шпионски софтуер, фишинг и др. Препоръчително е да се прави и чест бекъп на файловете, за да се избегнат невъзвратими загуби.Техническият анализ сочи, че заразеният торент клиент съдържа валиден дигитален подпис от 4 март. Подписът използва названието POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI, докато верифицираният клиент съдържа Digital Ignition LLC сертификат.Веднъж активирано, инфектираното Transmission приложение проверява дали зловредният модул kernel_service съществува на машината и функционира. Ако той липсва, се генерира изпълним файл, маскиран като General.rtf в директория %HOME_DIR%/Library/kernel_service.Kernel_service е типичен ransomware, криптиращ данни чрез AES и RSA алгоритми, след което изисква откуп. Зловредният код остава скрит 3 дни, преди да се задейства. Броячът, отчитащ времето, се намира във файла .kernel_time file. Когато стане време да се активира, той се свързва с 1 от 6 сайта, хоствани в TOR мрежата. От там той изтегля текстово съобщение и публичен RSA ключ. Връзката с TOR се извършва посредством TOR2WEB гейтове. Троянецът OSX/Filecoder.KeRanger.A набелязва всички файлове в папки /Users и /Volumes, след което прави опит да ги криптира. Процедурата използва сложна криптография, избирайки случаен 256-битов код за AES алгоритъма. Новият файл се криптира допълнително чрез RSA алгоритъма, като след това се запазва във оригиналния файл. Така различни файлове ползват различни криптиращи ключове. Ransomware вирусът може да криптира до 300 типа файлове, включително документи, снимки, клипове, архиви и др. След като даден файл е криптиран, неговото разширение се сменя на .encrypted. Зловредният код генерира текстови файлове с искане за подкуп, които се локализират в папки, съдържащи засегнати файлове. Кибер-престъпниците имат постоянен достъп до текстовите файлове и могат да сменят текста в тях по тяхно желание. Това значи, че размерът на исканата сума за откуп може да бъде променяна непрестанно. Съобщението не се показва на потребителя, ако той сам не го отвори.