Itt az első OS X-re írt zsarolóvírus

Eddig a platformot elkerülték az adattitkosításban utazó támadók. A szakértők szerint ennek vége, új időszámítás kezdődik.

Bemutatkozott az első, teljes funkcionalitással bíró zsarolóprogram OS X-en. A KeRanger névre keresztelt kártevő a Transmission torrentkliensbe csomagolva talált rá első áldozataira. Két hete a Linux Mint hivatalos honlapját törte fel és cserélte le a letöltési linkeket, illetve lopta el az adatbázisokat egy hacker. Nem kellett sokáig várni a következő izzasztó esetre.

Azok, akik péntek hajnali 2 és szombat délután 1 óra között a Transmission oldaláról töltötték le az akkor legfrissebbnek számító, 2.90-es verziószámú programot, fertőzött telepítőhöz jutottak, mely egy "extra" general.rtf állománnyal vastagabb a szokásosnál. A támadók minden jel szerint bejutottak a Transmission szervereire, és lecserélték az eredeti fájlokat.

Figyelmeztetés a Transmission honlapján
Figyelmeztetés a Transmission honlapján [+]

A KeRangert tartalmazó telepítők az Apple által hitelesített tanúsítvánnyal rendelkeztek, bár az ebben szereplő fejlesztői azonosító eltér attól, amit a Transmission készítői használnak. A kártevő elemzését végző Palo Alto Networks szakértői két variánst azonosítottak, az egyik a telepítést követően három napig pihen, a másik szintén kivár, de eközben ötpercenként bejelentkezik az irányító szerverre. 72 órával a fertőzés után indul az aktív fázis és a /Users, illetve a /Volumes mappában található fájlok titkosítása.

Miután ez elkészült, a felhasználó értesítése következik, a váltságdíj 1 bitcoin (kb. 115 ezer Ft), az útmutató alapján történő átutalásra 72 órát kap az áldozat. A háttérben a Time Machine mentéseket is lekódolja a malware, nehogy egy visszaállítással kikerülhető legyen a fizetés.

Az Apple gyorsan lépett, már nem engedi elindítani a fertőzött telepítőt
Az Apple gyorsan lépett, már nem engedi elindítani a fertőzött telepítőt

A Palo Alto munkatársai azonnal értesítették a Transmission fejlesztőit és az Apple-t. Cupertinóból visszavonták a támadók által használt tanúsítványt, frissítették az XProtect antivírus adatbázisát, a torrentkliens gazdája pedig eltávolította a kompromittált telepítőket, honlapjára pedig kikerült a figyelmeztetés, illetve a 2.92-es tiszta verzió.

Az almás eszközök operációs rendszereit eddig elkerülték a zsarolóvírusok, OS X-re eddig egy alkalommal készítettek fájltitkosító kártevőt, a Kaspersky Labs által kivizsgált FileCodert azonban nem fejezték be, és ennek egyébként is lassan két éve.

  • Kapcsolódó cégek:
  • Apple

Azóta történt

Előzmények