Il ransomware per OS X arriva con Transmission

Nella versione ufficiale del celebre software era contenuto il trojan che cifra l'hard disk degli utenti Mac.

Articolo multipagina1 / 2
- 1. Il ransomware per OS X arriva con Transmission
- 2. Spaventati per il malware che ricatta gli utenti Mac?

[ZEUS News - www.zeusnews.it - 07-03-2016]

Finora il dorato mondo dei Mac sembrava essere stato risparmiato dall'epidemia di ransomware che di questi tempi imperversa invece tra gli utenti di Windows.

Il primo malware di questo tipo (se si eccettua la minaccia costituita per un certo periodo nel 2014 da FileCoder) è infatti stato avvistato dai ricercatori di Palo Alto Networks, che l'hanno battezzato KeRanger.

Per assicurare a KeRanger la massima diffusione, i suoi autori hanno violato i server di Transmission, il popolare client BitTorrent open source, e hanno infettato il programma di installazione della versione 2.90, uscita pochi giorni fa.

Leggi anche:

Mac infettati da malware per colpa di Transmission

Mi conviene pagare gli autori di Cryptolocker?

Ospedale USA paga 17.000 dollari di riscatto

Il ransomware che cifra l'hard disk si diffonde nei documenti Word

Chiunque l'abbia scaricata e installata rischia di vedersi all'improvviso chiuso fuori dal proprio Mac: il ransomware non agisce infatti immediatamente, ma entro tre giorni dall'installazione.

L'effetto dell'infezione è il solito: il contenuto del disco viene cifrato e un messaggio chiede di versare 1 Bitcoin (attualmente scambiato a circa 370 euro) per ottenere la password in grado di sbloccare il computer.

Per sapere se si è stati infettati non è necessario attendere l'inevitabile: se il Monitoraggio attività mostra la presenza del processo kernel_service che usa il file /Users//Library/kernel_service vuol dire che KeRanger è lì in attesa di colpire.

In attesa di uno strumento che consenta la rimozione sicura del malware, la cosa più sicura è riportare il Mac a uno stato precedente l'installazione di Transmission, ripristinando il sistema da un backup.

Se non si ha a disposizione un backup si può procedere uccidendo il processo Kernel_service e cancellare i file .kernel_pid, .kernel_time, .kernerl_complete o kernel_service nella directory /Users//Library.

Per aiutare gli utenti a proteggersi, Apple ha revocato il certificato a Transmission 2.90 e aggiornato le firme XProtect: così, se qualcuno avesse scaricato la versione infetta di Transmission ma non l'avesse ancora installata, all'apertura verrebbe accolto da un messaggio che invita a cestinare il file.

Gli autori di Transmission hanno nel frattempo rilasciato la versione 2.92 che non è infetta, che se installata mentre è ancora presente la versione 2.90 si occupa anche di rimuovere correttamente il ransomware.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Spaventati per il malware che ricatta gli utenti Mac?

Articolo multipagina
- 1. Il ransomware per OS X arriva con Transmission
- 2. Spaventati per il malware che ricatta gli utenti Mac?

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
© RIPRODUZIONE RISERVATA