Apple получила первую дозу вымогателей, так как 6 500 пользователей получили вирус шифрования

Если вы были одними из тех, кому не повезло в пятницу загрузить и установить новую версию Transmission, торрент-приложения для загрузки, сегодня ваш день расплаты: ваша информация и ваш доступ к самому себе может быть выставлен на выкуп.

Пользователи Mac никогда ранее не сталкивались с полностью реализованным программным обеспечением вымогателей, и на то есть веская причина: продукты Apple являются относительной опорой для борьбы с вирусами. Но этот установщик скрыл вредоносную программу KeRanger и дал ей трехдневный период покоя. Передача является одним из наиболее популярных, упрощенных и интуитивно понятных клиентов BitTorrent и позволяет пользователям очень легко загружать торренты, будь то торренты альбомов, программ, фильмов и т. Д.

В тот роковой третий день, который случается сегодня, те, кто установил версию Transmission 2.90 и три дня ликовали от счастья, были встречены с грубым выкупом в 2 часа дня. Восточное время: KeRanger зашифровал содержимое компьютеров Mac для несчастных и потребовал 1 биткойн, эквивалентный сегодня примерно 409 долларам, для расшифровки указанных данных. И с более чем 300 различными типами расширений файлов зашифрованы, очень мало было сэкономлено.

Джон Клэй в передаче дал обратный более полная история:

«В ближайшие несколько дней мы опубликуем уведомление с дополнительной информацией, но в настоящий момент мы предполагаем, что было загружено примерно 6 500 зараженных образов дисков (из десятков тысяч законных загрузок этой версии ранее). Из них мы предполагаем, что многие не смогли запустить зараженный файл из-за того, что Apple быстро отозвала сертификат, используемый для подписи двоичного файла, а также обновила определения XProtect. Мы ждем подтверждения от Apple на этот счет.

«Механизм автоматического обновления Sparkle не был скомпрометирован и не смог бы выполнить обновление до зараженного двоичного файла, поскольку хэш-код был другим. Кроме того, наш сторонний кеш (CacheFly) не был скомпрометирован, и именно на него ссылаются многие сайты обновления программного обеспечения (MacUpdate et al). Мы также подтвердили, что пользователь с зараженной версией может успешно автоматически обновиться до законных выпусков 2.91 или 2.92, при этом 2.92 активно пытается удалить вредоносное ПО ».

Если вы используете Transmission, вот как проверить, заражен ли ваш компьютер:

• Откройте встроенный монитор активности в разделе «Приложения / Утилиты».
• На вкладке «Диск» найдите «kernel_service». («Kernel_task» безобиден и является жизненно важной частью OSX; если вы видите, что этот процесс запущен, не паникуйте.)

Здесь можно просмотреть записку с требованием выкупа, которая странно вежлива, учитывая несомненную жалость ее создателей. Он начинается так: «Ваш компьютер заблокирован, и все ваши файлы sic были зашифрованы с использованием 2048-битного RSA-шифрования».

Transmission быстро отреагировала и обновила установщик, чтобы исключить и предположительно удалить KeRanger с зараженных компьютеров.

Один из исследователей, которые обнаружили вымогателей - Клод Сяо - активно распространял слово:

Люди, это единственный раз, когда я прошу вашей помощи для распространения новостей. #KeRanger предназначен для запуска шифрования утром следующего понедельника!

- Клод Сяо (@claud_xiao) 6 марта 2016 г.

#Transmission только что загрузил обновление 2.92, которое включает код для обнаружения и удаления программы-вымогателя #KeRanger. Обновите его до 11:00 понедельника.

- Клод Сяо (@claud_xiao) 6 марта 2016 г.

Также предупредили всех, кто обновлял программу:

Apple также отреагировала удалением этой версии сертификата установщика - сертификата, который позволял программам-вымогателям обойти обычно строгие GateKeeper и XProtect, обеспечивающие безопасность компьютеров Mac.

Palo Alto Networks разоблачила брешь в безопасности. Полный отчет и руководство по самозащите смотрите здесь.