MacOsx: c’è il primo virus crittografico

0

Alla fine tanto tuonò che piovve. Le avvisaglie già c’erano state, ma ora è ufficiale: anche MacOsx, ha il suo primo cripto-ransomware. Chi riteneva di dormire sonni tranquilli usando un PC non-windows ora ha la riprova che gli allarmi lanciati dagli specialisti di sicurezza in questi  ultimi mesi non erano assolutamente infondati.

Il virus si chiama KeRanger ed è stato distribuito utilizzando come vettore delle copie alterate di Transmission, il noto client bittorrent. La versione interessata è la 2.90, distribuita a partire dal 4 marzo. Il codice è firmato digitalmente con una chiave legittima, sia pure diversa da quella usata per il progetto originale, quindi la sua installazione non ha sollevato allarmi di sorta.

Dopo l’installazione il virus attraversa una fase di incubazione di tre giorni prima di collegarsi via tor al centro di controllo ed avviare la crittografazione dei file.

Nel frattempo Apple ha revocato il certificato usato per firmare digitalmente la copia contraffatta di Transmission, per cui oggi l’installazione della versione 2.90 provoca un errore, che e bene non ignorare.

Chi ha scaricato ed installato la versione 2.90 potrebbe essere stato invece infettato dal ransomware, in tal caso il produttore suggerisce di seguire questi passaggi:

  • Se sono presenti i file:
    /Applications/Transmission.app/Contents/Resources/General.rtf e/o
    /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf
    la versione installata è infetta ed andrebbe immediatamente disinstallata. La verifica può essere fatta sia usando il finder che direttamente via terminale.
  • Avviare Monitoraggio Attività e verificare se è presente un processo chiamato kernel_service. Se è presente cliccare sul pulsante ‘Porte e documenti aperti’ e verificare se è presente:
    /Users/<username>/Library/kernel_service
    Se presente, è il nucleo del virus KeRanger. Il suggerimento è quello di terminarlo immediatamente con Esci dal processo, selezionando l’opzione Uscita Forzata.
  • Se il virus è presente è raccomandato verificare l’esistenza dei file:
    .kernel_pid
    .kernel_time
    .kernel_complete
    kernel_service
    Nella directory  ~/Library.
    E’ opportuno cancellare questi file, qualora dovessero essere presenti.

Una analisi tecnica è sul sito di paloaltonetworks.

Condividi:

L'autore

Consulente Informatico, blogger, problem solver, radioamatore. Ho iniziato la mia attività nel 1977 sviluppando sistemi di calcolo nell'area energie alternative e rinnovabili e da allora mi sono sempre interressato delle frontiere della tecnologia. Nel 1984 sono stato fra i pionieri delle BBS, i primi servizi telematici pubblici, e l'anno successivo ho portato in Italia Fidonet, la prima rete pubblica mondiale, che ho coordinato sino al 1994. Sono attivamente su Internet agli inizi degli anni 90, Nel 1998 sono stato fra i primi a credere nella convergenza digitale, arricchendo internet con materiale multimediale, come audio e video, anni prima del Web 2.0. Continuo da sempre ad occuparmi di informatica e di tecnologia con un occhio attento al futuro che ci attende. Continuo a lavorare come consulente informatico, con una specifica competenza in sicurezza, reti di comunicazione, sistemi operativi e tecnologie di virtualizzazione.

Lascia un commento