Megjelent az első OS X ransomware

2016. március 08.
8991
Figyelem! Ez a hír már több, mint egy éves! A benne lévő információk elavultak lehetnek!
Figyelem! Ez a hír a régi androgeek rendszerből lett átmentve, ezért képek és szövegformázások hiányozhatnak belőle!
Hanziness profilja, adatai
Hanziness
Befutott az első, fájlokat lekódoló és váltságdíjat követelő program az OS X-re, amely az OSX/KeRanger-A nevet kapta.

Windows felhasználók már hallhattak az ilyen programokról, de egyre csak úgy tűnik, hogy minél jobban híresztelik az OS X pártiak, hogy az ő rendszerük sebezhetetlen, annál többször bukkan fel egy hír, ami erre rácáfol (természetesen a Linux sem kivétel ez alól).

Az OS X rosszindulatú szoftver-palettája most egy teljes kategóriával bővült ki, a ransomware-rel. Aki nem ismerné ezt a fajta programot, a lényege az, hogy valahogy ráveszi a felhasználót, hogy telepítse fel a gépére, majd minden egyes felhasználói fájlt (OS X-en Users mappa) lekódol egy, a szervertől kapott kulccsal és a fájlok dekódolásához egy viszonylag nagy pénzösszeg befizetését követeli egy bizonyos határidőn belül. Ez a metodika általánosságban működik, operációs rendszertől függetlenül (mert hogy "az emberi figyelmetlenségre nincs frissítés"). A terjesztés lényege, hogy megbízható szoftvernek álcázzák a rosszindulatú programot, amit e-mailben (csatolmányként) vagy különféle weboldalakon tesznek közzé - legalábbis ez az általános formula, amit Windowson legtöbbet használtak.

A KeRanger-A programot úgy tűnik, hogy felszerelték mindenféle kényelmi funkcióval (amit már lényegében a Windowsos társak is tudnak), ugyanis amellett, hogy a dark web oldalára (egy tor linkre) küldi a felhasználót, az összeg (1 bitcoin ~= $400+) befizetésének státusza mellett lehetőség van "support ticket"-eket beküldeni (mint ahogy a szoftvergyártók oldalán segítséget kérni), valamint a Windowson is közhellyé vált módon egyetlen fájlt dekódoltatni, ami bizonyítja, hogy ez nem valami átverés. Sőt, még egy GYIK (Gyakran Ismételt Kérdések) is van azok számára, akik nem tudnák, hogy hogyan lehet bitcoint vásárolni, mi történik a befizetés után és hasonlók (bár őszintén szólva elég gyenge angol nyelvtannal rendelkezik ez a szekció). Az összeg befizetése után a tor oldalon felvillan a "dekódoló csomag letöltése" gomb, ami elvileg futtatást követően visszaállítja a fájljainkat.

Ennek a ransomware-nek a terjesztése egy kicsit eltér a fentebb említett e-mail csatolmányos módszertől: a "gyártók" feltörték a népszerű Transmission BitTorrent-kliens letöltőszerverét és létrehoztak egy hamis 2.90-es verziójú klienset. A telepítő kódját minimálisan módosították, hogy futtassa az ártatlannak tűnő General.rtf fájl, ami valójában egy igazi, futtatható OS X fájl volt, és ezt igazából egy úgyszintén kevésbé feltűnő kernel_service név alatt futtatta a Transmission kliens.

A rosszindulatú programban van egy "lappangási idő" is - ez 3 nap: ez után kezdi csak el lekódolni a fájlokat (így nyilván több embert érhettek el a módosított telepítővel, mert csak később derült ki, hogy valami nem stimmel). A Transmission csapata gyorsan kiadta a frissített telepítőcsomagot (2.92), ami már nem tartalmazta a rosszindulatú programot, valamint azok, akik a Transmissiont a beépített frissítővel frissítették, nem voltak érintettek. A vírus ellen jelenleg nincs konkrét eszköz, tehát ha lekódolta a fájlokat, akkor azokat (a program eltávolítását követően) legfeljebb egy biztonsági másolatból lehet visszaállítani (Windowson már több ilyen programra létezik dekódoló, amiért nagyon mérges is lett az egyik írója). Azt javasoljuk a Mac felhasználóknak hogy ezentúl ők is vegyék fontolóra egy vírusvédelem telepítését, ez ugyanis képes megállítani az ilyen programokat még a településük előtt. Megjegyeznénk azt is, hogy tévhitnek számít az, hogy csak akkor lehet vírusprobléma a számítógépen, ha megjelenik a jelszókérő ablak: ez a program például nem igényel rendszergazdai hozzáférést, hiszen ha a felhasználó, aki futtatta, eléri a saját fájljait, a program is eléri azokat (éppen ezért képes teljesen észrevétlenül tevékenykedni a fertőzött gépen).

Forrás: Sophos NakedSecurity
nincs még hozzászólás