Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Arriva il primo ransomware che cripta il Mac e chiede il riscatto

07 Marzo 2016 459

Allarme rosso per gli utenti Mac che fanno abituale uso del client BitTorrent opensource Transmission: la versione 2.90 rilasciata lo scorso è venerdì stata infettata da un 'ransomware'. Questa tipologia di malware, in continua diffusione in ambiente Windows, fa la sua prima comparsa nel mondo OS X nella sua variante più infausta: battezzato "KeRanger", questo ransomware cripta il contenuto dell'hard disk del Mac con algoritmi RSA e AES e richiede un bitcoin (ora intorno ai 410$) per la chiave di decifratura.

Sul blog dei ricercatori che hanno scoperto la minaccia, viene spiegato che KeRanger è nascosto all'interno dell'installer di Transmission, firmato con certificato autentico rilasciato da Apple agli sviluppatori. L'eseguibile malevolo è camuffato da file di testo .rtf; se cliccato lancia il processo "kernel_service", che resta dormiente per 3 giorni e nel frattempo richiede ogni 5 minuti ad un server remoto le chiavi per cifrare il disco.

Una volta in possesso della chiave, KeRanger passa all'attacco e scansiona tutte le cartelle radice "/Users" e "/Volumes" alla ricerca di oltre 300 differenti estensioni di file (comprese tutte le più popolari .doc, .xls, .jpg, .mp3 ecc), cercando di cifrare anche i file di backup di Time Machine. La richiesta di riscatto arriva sotto forma di file di testo (vedi sotto) e si appoggia su un website Tor per il trasferimento di bitcoin.


Per fortuna l'installer infetto è stato online per poco più di 24 ore tra il 4 e il 5 marzo, prima di esser rimosso dal team di sviluppo del progetto opensource. È stato successivamente rilasciato una nuova versione 2.92 di Transmission (link per il download) che rimuove automaticamente i file infetti dal disco. Nel frattempo Apple ha revocato il certificato compromesso e tramite Gatekeeper ha reso impossibile la procedura di installazione. Qui i dettagli tecnici per verificare se il vostro Mac è stato infettato.

Secondo i ricercatori, si tratterebbe del "primo ransomware pienamente operativo visto su piattaforma OS X". Tuttavia già nel 2013 un ransomware browser-based richiedeva un riscatto per evitare l'apertura automatica di una fastidiosa finestra su Safari. In quel caso non veniva però eseguita nessuna cifratura del disco, operazione diventata l'incubo per gli utenti Windows con la massiccia diffusione dei trojan CryptoLocker e suoi derivati.


459

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Antonio Mariani

ciuccia-Belfiore è la prima volta che lo sento...da una settimana non ridevo tanto
direi che di fantasia non difetti...

Antonio Mariani

uno spettacolo di commento eh ? Sono queste cose che riaggiustano la giornata :D

franky29

Ci può stare però tieni presente che ormai quasi tutti i gestori mail hanno la possibilità di creare delle caselle e filtri in modo che tu possa mettere gli indirizzi che conosci in caselle sicure no?

Paolo Panzeri

Devi contare che non tuti hanno un pc con un gran quantitativo di dati e magari acceso spesso e con bassi carichi di lavoro. Penso ad esempio pc usato in amministrazione o sanità. Elaboratori che non hanno momenti di sprint, ma dati pochi ed importanti. con quelli in pochi istanti fai incetta di dati senza farti notare. Poi tu dai per scontato che mi possa permette il lusso di perdere una parte di dati e che durante la criptazione tu abbia il tempo per agire. spesso è già troppo tardi.A casa, mi arriva l'email di dhelatpostadotit che mi dice lo stato d'ordine di un pacco mai richiesto, vedo subito che è una boiata, a lavoro, dove vedo tantissime lettere al giorno ed ho tempi stretti può capitare qualche errore di ditrazione.O magari se il virus ti arriva dai tuoi consulenti o fornitori. e se ho archivi importanti, anche se riuscissi a fermarlo quasi subito, il problemi vengono da quel quasi, devo comunque recuperare quel quasi. e non faccio il backup ogni 30 minuti..

franky29

voglio dire anche se non si maschera nel task manager ci starà un processo che mentre non fai niente usa quel 1% di cpu e quel 1% di disco che tu non sai cosa è xD un dubbio ti viene....

shud4

boh! forse mascherato

franky29

Ma il processo appare nel task manager oppure no ?

franky29

E la medonna ahaha che post per rispondere a una semplice domanda XD comunque allora chi prende il virus è doppiamente babbeo dato che dovrebbe accorgersi dei continui rallentamenti del PC un dubbio dovrebbe venirgli

Paolo Panzeri

Il tuo rar è come una casa, per riparati dai ladri ci metti una porta blindata (password). 'sti zozzoni però non sono ladri a cui interessa il gioiello custodito in casa.. Questi ti mettono un bel sarcofago sulla casa. Loro non sano cos'hai dentro casa, potresti avere conto e password per un conto bancrio a 7 zeri. e non lo avranno mai, perchè la tua porta li blinda fuori. in compenso tu non puoi raggiungre la porta, perchè il sarcofago ti blocca. l'uso della cpu non è per ispezionarti casa, ma speso per erigere il sarcofago.

shud4

da quanto ho leggicchiato ci mettono vari giorni proprio per non farsi vedere, quelli che criptano davvero sanno il fatto loro di sicuro. mi soprendo che gli antivirus non si accorgano di un software che fa ste cose per giorni...chissà che si sono inventati.

shud4

a sto punto c'avrai ragione, basta che la finiamo. viva i forum di utenti avanzati.

ma avanzati poi non vuol dire che sono avanzi? ba-dum-tss....

LaVeraVerità

Dormi tranquillo che tanto i due pornazzi che hai sul pc li puoi riscaricare quando vuoi.

EmEr

Nooooo, ovvio che non ha una connotazione dispregiativa. Ma che scherzi! Decine di parole diverse per esprimere quello che (forse) avevi in mente (ad es: esperti, tecnici, utenti avanzati...), ma fra tutte "fissati".
My fault, sorry.

franky29

Infatti se io so che luigi@gmail.con mi deve mandare uno zip tramite mail , non è che arriva prima una mail con lo zip e io non leggendo che arriva da ticriptiamo@mail.ru la apro ma dai è da ... Non ho parole XD

franky29

Ma sscusa nel momento del criptaggio il virus non USA le risorse del PC al massimo ?

franky29

Se fanno le spesa è buono XD

franky29

Ma perché scaricano l'allegato omg

franky29

Mamma mia da babbei proprio purtroppo certa gente dovrebbe svolgere un corso di informatica almeno per le cose base

Stephen

come i babbei purtroppo, gli arriva una mai che parla o di spedizione dhl o fattura accredito invoice, aprono il file zip ed eseguono il file javascript, purtroppo c'è gente così.

franky29

Che poi per criptare tutti i file il virus non deve utilizzare CPU e disco al massimo per un bel po di tempo ?

franky29

Ma come li prendono i tuoi clienti te lo han detto ?

franky29

Ma come cavolo li prendono ?

franky29

Ma chi è che prende sti crptolocker non ho mai sentito uno prendere sta roba , do stanno ? Boh

Dryblow

Gente che paga per un kernel che possiede a sua volta i moduli sviluppati singolarmente per ogni singolo componente hardware, sisi poco intelligente.

Giorgio Aresu

Ok.. Intanto continuo a informarmi e mi sa che un giro di prova lo faccio. Meglio provarlo tenendolo sotto controllo...

Sgnapy

mappatelo come unità e togli l'everyone dai diritti.
E rimuovi le credenziali salvate, siamo a livello di paranoia ma visto quello che succede non guasta, sinceramente mi scoccerebbe molto perdere tutte le mie foto

Giorgio Aresu

Io attualmente non mappo nessuno share, accedo sempre e solo da rete, quindi \\server\share ma lascio che windows salvi la password. Così è sicuro? Quindi l'ftp è sicuro solo per la password, se come faccio attualmente non sono sicuro posso continuare a usare anche NFS basta che non salvi le credenziali, no?

Sgnapy

Sicuro nel senso che ti chiede la password e senza quella non vai.
Potresti prevedere un utente per il nas con accesso solo in lettura. Per la scrittura usi un altro utente. Ti puoi fare un batch da tenere sul desktop.
Vado a memoria: net use x: \\nomeserver\share /user:username password /persistent:no
Lo lanci quando serve in scrittura e rimani in read only se non ti fidi, potrebbe essere una idea

Giorgio Aresu

Grazie dell'info, dovrò rivedere tutta la configurazione dell'accesso al nas dalla rete, una rottura enorme (a quanto leggo dai commenti sotto, è sicuro solo l'ftp, giusto?). Immagino santi e madonne, li tirerei giù in abbondanza anche io. Dovrò iniziare a informarmi meglio, finora mi hanno solo preso di striscio nel senso che so di gente che li ha presi, ma pensavo di essere al riparo. Meglio scoprire di non esserlo con le buone

Sgnapy

La domotica non mi pare una cosa assurda, pensa se ti hackerano il frigorifero :-)

Sgnapy

Tutto quello accessibile viene criptato, Se il disco è accessibile, che sia rete o usb viene criptato. Addirittura questi maledetti bloccano pure le shadow copy. A quello che ha inventato il crytolocker spero che spenda i soldi in medicine. Viste i santi che ho scomodato quando mi ha criptato delle cartelle sul server di rete.

Giorgio Aresu

Mi interessa molto, se io non monto automaticamente nessuno share ma ho windows impostato per farlo su \\quellocheè\\qualchecartella con credenziali salvate rischio qualcosa? Mi preoccupa molto anche se credo di essere abbastanza al sicuro, sono molto tentato di creare un ambiente isolato di test per fare delle prove procurandomi qualche link infetto

shud4

figlioli, se non sapete le situazioni tacete. C'ho una laurea in informatica (a doppio titolo,non l'ho scelta come carriera,mi piaceva più l'altro titolo), secondo te non posso chiamare fissati i miei colleghi? ma siete seri? ma l'autoironia è cosa così rara?
perchè poi, gente che seppur lavorandoci passa le giornate sui forum di virus non è fissata? Non sono fissato io con alcune cose (il perdere tempo sui blog a rispondere a gente strana, i manga, l'IA e alcune branche del mio lavoro) ?
Tu manco hai la più pallida idea di cosa sia la sintassi e fai il superiore! chi sbaglia i congiuntivi (oltre il buon senso della informalità), o l'ordine dell parole nelle frasi, non conosce la sintassi, non chi non sa il lessico. la sintassi è l'ordine delle proposizioni e delle parole (e consecutio tempororum per estensione)... abbi pietà della tua prof di italiano.
Non sono fissato di lessicologia (o a fare i fissati, di semasiologia?) ? Manco te,gnègnègnè!
ma fammi ridere, e anzi, ridi pure te e facciamola finita :)

loripod

che due ball sti ransomware, mi preoccupano molto

DAVIDE

Leggo commenti su commenti e sparate fatte a caso.....al momento la situazione non è semplice, per OSX da poco e per MS già da tempo.

Purtroppo sia per MS che per OSX il problema è il recupero dati, NON la "pulizia" del ransom di per se è la cosa più semplice.

Al momento per il mondo MS questi tipi di ransom criptano tutto quello che trovano collegato, e per collegato si intende anche quello che può essere usb, condiviso in rete, e la stessa cosa vale per quello che è dropbox, gdrive, ....
Mi spiego meglio il ransom cripta la cartella locale di dropbox,gdrive,... e se il daemon è aperto ovviamente anche i file online venngono aggiornati con la versione locale criptata

Al momento l'unica certezza di non perdere backup vari è quella di farli tramite servizi che possano richiedere un'autenticazione per essere utilizzati (es. ftp), ottimo il discorso del nas ma se poi salvo la password dello share samba o uso una condivisione nfs aperta, non c'e' nas che tenga anche i file in rete vengono criptati

Per la mia modesta esperienza e per parare il colpo personalmente dai purtroppo pochi clienti che hanno capito il problema utilizzo un backup tramite ftp di solito su server linux che a sua volta copia quiotidianamente il backup effettuato dall'utente in una cartella non condivisa.

Con questo sistema (magari solo fortuna) ho parato il colpo ad un cliente e mi è toccato reinstallare solo i s.o., e la perdita si è limitata a qualche file che ovviamente era salvato in cartelle con path improponibili

Mario I/O

Sicuramente non sei "fissato" in lingua italiana e sintassi, altrimenti capiresti perfettamente il tono col quale hai scritto i commenti precedenti.

shud4

certo che di gente strana se ne trova online...
Che fissati ha una connotazione dispregiativa? Nerd ora sono i fan di big bang theory e non si può più usare.
Pure io son fissato in molte cose,ma non nell'hacking. Quindi?

EmEr

Tu pensa se non ci fossero stati quei "fissati".
Ma vi accorgete di quello che scrivete?

Echoing

Ci sono passato anche io e se sei anche un gamer ti dico con certezza che durerà molto poco :) I sistemi Apple purtroppo da quel punto di vista non hanno ragione di esistere.

Daniele

a me risulta che attaccano solo le unita mappate come drive. I percorsi UNC non dovrebbero essere in pericolo.

RESET!™

Logic Pro?! No no io gioco a COD!!
LOL

RESET!™

Spazzatura anche certi commenti, eh!

stramaxxa

io non amo il mondo apple.... ma se un persona lo usa e lo sceglie come scelta ragionata come hai fatto tu ne sono + che felice.... la tristezza è il mare di persone che scelgono apple perchè "mio cugino mi ha detto che è fico"

Alberto Masola

Forse ti confondi con altre tipologie di ransomware. Il trojan fake gdf, o più conosciuto come polizia di stato o carabinieri o come vuoi, compare con una schermata che blocca input e ti dice che ti restituiscono il computer solo se paghi. I Cryptomalware, che da un anno a questo parte sono molto diffusi, oltre a mostrarti una schermata che ti dice "ti abbiamo criptato tutto" ti cripta realmente i file. Non lo fa come scherzo. Forse non ne hai incontrati tanti o forse sei stato fortunato che quelle 3-4 volte non si trattava di veri e propri cryptomalware... Ma ti assicuro che ci sono migliaia di varianti al giorno tra cui: cryptolocker (.encrypted), teslacrypt (.mp3 o .micro), cryptencoder (.id<numerocasuale>@<indirizzoemail>), ctblocker (.<letterecasuali>), cryptolocky (.locky) e potrei andare avanti a citartene altri ancora. Due settimane fa hanno fatto disastri in giro per l'italia con una email del cavolo che conteneva un javascript che scaricava ed eseguiva tipologie diverse di cryptomalware. In Italia, come nel mondo, sono una seria minaccia e sono pochi che riescono a bloccarli realmente. La maggior parte paga e spera (per fortuna sono pochi i casi in cui non hanno dato il programma per decriptare)...

shud4

secondo me quelli che criptano davvero son veramente pochi, più del 50% non sono altro che pagine html aperte in qualche modo fullscreen all'avvio (bloccando poi tastiera e altri input)...che la roba criptante sia seria non lo metto in dubbio,ma deve essere anche molto rara.

shud4

boh, chi si ricorda roba presa da forum di fissati.

Stephen

hai fatto bene a passare ad apple, se uno non è pratico

Stephen

tengo d'occhio il topic su bleepingcomputer riguardo i file con estensione .micro e .mp3 ho diversi clienti che ne sono stati colpiti.. stavolta sarà più tosta del vecchio teslacrypt 2.2.0

Sgnapy

Migliorata si, ma purtroppo soffre molto di quel colabrodo di registro. Devo dire che non ricordo blue screen da win7 in poi.

Sgnapy

aveva problemi con xtube

Che anno sarà il 2024? Le nostre previsioni sul mondo della tecnologia! | VIDEO

HDblog Awards 2023: i migliori prodotti dell'anno premiati dalla redazione | VIDEO

Recensione Apple Watch Series 9: le novità sono (quasi) tutte all’interno

Recensione MacBook Pro 16 con M3 Max, mai viste prestazioni così!