Transmission OS X malware

Itt az első váltságdíjat követelő kártevő OS X-re

#HÍREK
2016. 03. 07.
A kártékony alkalmazások egyik csoportját a „ransomware”-ek alkotják: ezek olyan zsarolós szoftverek, amik például egyes fájlok vagy mappák titkosításával „túszul ejtik” a felhasználó eszközét, majd pénzt követelnek azok feloldásáért. Most megérkezett az első Macre is.

Biztos sokan vannak azok, akik napi rendszerességgel töltenek le különböző Linux-disztribúciókat, melyeknek egyik fő terjesztési fórumát a BitTorrent kommunikációs protokoll jelenti. Egy részük örülhetett, amikor múlt héten két év után meglepetésszerűen megjelent az egyik népszerű OS X-es torrentkliens, a Transmission legújabb változata. Az öröm azonban néhányak számára néhány nap után komoly idegeskedésbe csaphatott át.

A Transmission 2.90-es verziója ugyanis néhány felhasználó esetében tartalmazta az OSX.KeRanger.A nevű kártevő kódját is. A kódot a Palo Alto Networks biztonsági cég vette észre március 4-én reggel a transmissionbt.com oldalról letölthető Transmission-2.90.dmg fájlban. A szakemberek egyelőre nem tudják hogyan kerülhetett a kártékony kód az alkalmazásba, elképzelhetőnek tartják, hogy feltörték a weboldalt és kicserélték a szóban forgó fájlt.

A Palo Alto Networks egyből értesítette az Apple-t, akik órákon belül visszavonták az alkalmazás tanúsítványát, valamint frissítették az OS X beépített vírusvédelmét, az XProtectet is, így ezután a kártevővel fertőzött Transmission-verzió már nem tudott feltelepülni a Macekre. Minden jel arra mutat, hogy azok, akik közvetlenül az alkalmazásból telepítették a frissítést, nem érintettek a fertőzésben, csak azok, akik közvetlenül a Transmission honlapjáról szerezték be a telepítőt.

Kép forrása: Palo Alto Networks
Már nem tud telepüni a kártékony kód. | Kép forrása: Palo Alto Networks

Ők a telepítéssel egy időben elindították a OSX.KeRanger.A-t is. Ez három napig várt az érintett Maceken, majd a Tor hálózaton keresztül kapcsolódott egy szerverre. Ezután elkezd titkosítani egyes fájltípusokat a számítógépen, majd amint sikerrel jár, feldob egy üzenetet a felhasználónak, miszerint 1 Bitcoinért (kb. 115 000 Ft) cserébe feloldja a titkosítást, így újból hozzáférhetünk a szóban forgó fájlokhoz. A szakemberek szerint a KeRanger jelenleg is fejlesztés alatt áll, a cél, hogy a kártevő egy későbbi verziója a Time Machine biztonsági mentéseket is hasonló módon elérhetetlenné tegye.

A Transmission fejlesztői reagáltak az eseményekre, jelenleg a 2.92-es a legújabb verzió az alkalmazásból. A korábban kiadott 2.91-ből is eltávolították a OSX.KeRanger.A-t, a számítógépünkről azonban a 2.92-es verzió távolítja el teljesen, így mindenkinek, aki használja a Transmission torrentklienst erősen ajánlott a legfrissebb verzió telepítése.

Kép forrása: 9to5Mac
Kép forrása: 9to5Mac

Egyéb esetekben a Palo Alto Networks leírása szerint az alábbi lépésekkel tudjuk megnézni, hogy érintettek vagyunk-e, és így távolíthatjuk el a kártevőt:

  1. A Terminal vagy a Finder segítségével nézzük meg, hogy az /Applications/Transmission.app/Contents/Resources/ General.rtf vagy a /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf megtalálható-e a számítógépen. Ha bármelyikbe belefutunk, akkor a gépünk fertőzött és azonnal töröljük a Transmissiont.
  2. Az Activity Monitor segítségével nézzük meg, hogy fut-e a „kernel_service” nevű folyamat. Ha igen, kattintsunk rá duplán, válasszuk ki az „Open Files and Ports” fület, és keressük a „/Users/<felhasználónév>/Library/kernel_service” sort. Ha van ilyen, akkor a KeRanger fut. Zárjuk be a Force Quit paranccsal.
  3. Ezután keressük meg a felhasználó Library mappájában a „.kernel_pid”, „.kernel_time”, „.kernel_complete” vagy „kernel_service” fájlokat és töröljük őket.

Ha megtörtént a baj, és nem férünk hozzá a fájljainkhoz, akkor állítsuk vissza a Transmission letöltése előtti utolsó Time Machine biztonsági mentést.

Forrás: The Verge, 9to5Mac, Palo Alto Networks.