KeRanger: ecco il primo vero ramsonware per Mac OS X. KeRanger è il primo ransomware che funziona su Mac. KeRanger, il primo ransomware per Mac

KeRanger, tutti i dettagli sul ransomware che colpisce il Mac: da dove viene, come funziona, come liberarsene

fig1-500x284

Ecco come difendersi da KeRanger

Pensavate che i Mac fossero al sicuro da virus e malware? Eravate certi del fatto che nessun virus o malware potesse attaccare il vostro Mac? Ho brutte notizie per voi! KeRanger è infatti il primo vero Ransomware per Mac, che funziona per davvero. Ecco come colpisce, come evitarlo e come liberarsi di questo pericoloso malware.

Finora, gli utenti Apple erano stati trascurati dai cybercriminali che sfruttano i ransomware per far soldi, ma KeRanger è il primo ramsonware pienamente funzionante rintracciato su Mac OS X.

Cosa è KeRanger?

KeRanger è un nuovissimo ransomware per Mac, una sorta di virus che prende in ostaggio i file archiviati sul vostro Mac e chiede un riscatto (soldi veri) per liberarli. In particolare, il malware chiede 1 bitcoin come riscatto per sbloccare i file; per il momento, la minaccia è stata scongiurata. Ecco i dettagli.

KeRanger è il primo ransomware per Mac che funziona sul serio, cifra i vostri file e chiede un riscatto.

Il vettore dell’infezione è una versione modificata del programma Transmission, celebre client BitTorrent multipiattaforma. In pratica KeRanger si nasconde nell versione 2,90 di Transmission e indubbiamente suscita grande preoccupazione perchè è in grado di colpire molto seriamente il mondo Apple.

Come funziona KeRanger?

Molto semplice: il ransomware resta inattivo in memoria per 3 giorni, dopodiché cifra i file e chiede il pagamento di un riscatto di 1 bitcoin per ri-ottenerne l’accesso.

In particolare, KeRanger è programmato per criptare file con oltre 300 estensioni diverse presenti nelle directory  “/Users” e “/Volumes”. Per farvi un’idea del tipo di file che viene codificato, riportiamo di seguito una lista parziale delle estensioni prese di mira:

  • Documenti: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex
  • Immagini: .jpg, .jpeg,
  • Audio e video: .mp3, .mp4, .avi, .mpg, .wav, .flac
  • Archivi: .zip, .rar., .tar, .gzip
  • Codici sorgenti: .cpp, .asp, .csh, .class, .java, .lua
  • Database: .db, .sql
  • Email: .eml
  • Certificati: .pem

Sia Apple che i responsabili del progetto Transmission sono già stati allertati e quindi la casa della mela ha già provveduto a ritirare il certificato digitale che permetteva l’installazione del malware, mentre la versione 2.91 di Transmission è già stata resa disponibile per sostituire il file infetto.

Dopo che il virus è stato scoperto, dunque, Transmission ha eliminato dai suoi server la versione infetta dell’installer e ne ha collocata una “pulita”. Successivamente ha aggiornato l’applicazione.

Non è chiaro come sia avvenuto il contagio, ma la cosa più probabile è che i cybercriminali abbiano preparato accuratamente l’operazione trovando un modo per bucare il sito ufficiale dell’applicazione e studiando come incorporare il codice del ransomware in tempi brevi nell’ìnstaller lecito. In pratica, appena la versione 2.90 di Transmission è stata rilasciata, i criminali hanno ricompilato il tutto includendo il loro malware e sostituendo l’installer originale con quello modificato.

Tutto questo però ha creato la prima vera infezione di Ransomware su Mac OS X, anche se i ricercatori di Paloalto Networks hanno rilevato la minaccia in tempi molto brevi e hanno provveduto ad avvisare chi di dovere.

Come controllare e scoprire se KeRanger è presente sul Mac

Prima di tutto, nella gestione attività di  Mac OS X, controllate se è in esecuzione un processo chiamato “kernel_service”.

Poi, per verificare se il vostro sistema è pulito, andate a controllare tramite Terminal o Finder se esistono i due file /Applications/Transmission.app/Contents/Resources/ General.rtf oppure /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf e più in generale se appare un file “General.rtf” sospetto in qualche altro percorso.

Infine, verificate se sul disco fisso, nella cartella “~/Library” abbiamo uno dei seguenti file: “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service”.

Come rimuovere KeRanger dal Mac

Se, per vostra sfortuna, avete già installato KeRanger sul vostro Mac, ecco come potete fare per rimuoverlo completamente.

  1. Usando il terminale o il finder, cercare /Applications/Transmission.app/Contents/Resources/ General.rtf o /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf. Se uno di quest file è esistente, avete installato Tramission in versione infetta.
  2. Usando “Montoraggio attività” controllate se esiste un processo denominato “kernel_service” . Se esiste controllare il processo (cmd+I)e scegliere porte e file aperti e verificare se c’è un file denominato “/Users/<username>/Library/kernel_service”. Questo è il processo principale di KeRanger. Forzate la sua uscita.
  3. Dopo questi passaggi, si raccomanda di verificare se esistono in ~/Library  file con questi nomi: “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service”. Se esistono, cancellateli

Ad ogni modo, per tutelare i propri utenti, Apple ha revocato il certificato di installazione quindi una versione infetta di Transmission non passa il controllo di GateKeeper. Parallelamente Apple ha già aggiornato in queste ore Xprotect, il software “antivirus” di serie. In questo modo non dovrebbe essere installata nessun’altra applicazione colpita da KeRanger.

Insomma, per il momento la minaccia è scongiurata, ma sapere che qualcuno è riuscito a creare un ransomware funzionante per OS X è sicuramente preoccupante. Mac OS X non è più così sicuro come si pensava!

Se questa pagina di YourLifeUpdated.net ti è piaciuta e ti è stata d’aiuto, non perdere tempo, condividila sui social network! Clicca "Mi Piace" sulla pagina ufficiale di YourLifeUpdated su Facebook, seguici su Twitter Google+ per ricevere tante informazioni e consigli utili!