Apple får sin första dos av Ransomware som 6.500 användare träffade med krypteringsvirus

Om du var en av de olyckliga många på fredagen för att ladda ner och installera den nya versionen av Transmission, en nedladdning av torrent, är det idag din dag för reckoning: Din information och din mycket tillgång till din egen pelare kan ställas in för lösen.

Mac-användare har aldrig tidigare blivit utsatta för fullt realiserad ransomware, och med god anledning: Apple-produkter har varit relativt starka mot virus. Men den här installatören försåg det skadliga programmet KeRanger, och gav det en tre dagars vilotid. Överföring är en av de mer populära, förenklat och intuitiva BitTorrent-klienterna och gör det väldigt enkelt för användare att ladda ner torrenter, det vill säga torrenter av album, program, filmer eller liknande.

På den ödesdigra tredje dagen - som råkar vara idag - de som installerade Transmission version 2.90 och haft tre jubilanta dagar med torrbunden godhet, möttes med en oförskämd lösenkundsanmälan klockan 2 p.m. Östtid: KeRanger krypterade innehållet i de olyckliga Macarna och krävde 1 bitcoin-ekvivalent, idag till cirka 409 dollar - för att dekryptera nämnda data. Och med över 300 olika typer av filtillägg krypterade, sparades mycket lite.

John Clay på Transmission gav Omvänd en fylligare historia:

"Vi skickar ett meddelande under de närmaste dagarna med mer information, men vårt bästa gissning är att cirka 6 500 smittade diskbilder hämtades (av tiotusentals legitima nedladdningar av den här versionen tidigare). Av dem är vår presumtion att många inte kunde springa den smittade filen på grund av att Apple snabbt återkalla certifikatet som användes för att signera binäret, samt uppdatera XProtect-definitionerna. Vi väntar på bekräftelse från Apple på det.

"Den automatiska uppdateringsmekanismen för Sparkle har inte äventyras, och skulle ha misslyckats med att uppdatera till det infekterade binäret som hash var annorlunda. Vidare äventyras inte vår tredje cacheminne (CacheFly), vilket är där många av programuppdateringswebbplatser länkar till (MacUpdate et al). Vi har också bekräftat att en användare med en infekterad version kan automatiskt uppdatera till de legitima versionerna 2.91 eller 2.92, med 2.92 försöker man aktivt ta bort skadlig programvara."

Om du använder Sändning, här är hur du kontrollerar om din egen dator var infekterad:

• Öppna den inbyggda Aktivitetsmonitorn i Program / Verktyg.
• På fliken "Disk" letar du efter "kernel_service". ("Kernel_task" är oskyldig och en viktig del av OSX; om du ser att processen körs, var inte panik.)

Ransomnoten, som är märkligt artig med tanke på dess skapares otroligt ledsen själar, kan ses här. Det börjar, "Din dator har blivit låst och alla dina filer har sic krypterats med 2048-bitars RSA-kryptering."

Överföringen svarade snabbt och uppdaterade installationsprogrammet för att utesluta och påstås ta bort KeRanger från infekterade datorer.

En av forskarna som upptäckte ransomware - Claud Xiao - var aktiv med att sprida ordet:

Människor, det här är den enda gången jag ber om din hjälp att sprida nyheterna. #KeRanger är utformad för att börja kryptering nästa måndag morgon!

- Claud Xiao (@claud_xiao) 6 mars 2016

#Transmission tryckte bara 2.92 uppdatering som innehåller kod för att upptäcka och ta bort #KeRanger ransomware. Uppdatera det före måndag 11:00.

- Claud Xiao (@claud_xiao) 6 mars 2016

Den varnade också alla som uppdaterade programmet:

Apple svarade också genom att ta bort den versionen av installationsprogrammets certifiering - en certifiering som gjorde det möjligt för ransomware att kringgå den normalt strikta GateKeeper och XProtect som håller Mac-skivor säkra.

Palo Alto Networks exponerade säkerhetsbrottet. För hela rapporten och en självskyddshandbok, kolla här.