(Foto: Apple, Kaspersky Lab. Montasje: digi.no)

Kryptovirus

Kryptovirus rammet OS X

Omgikk sikkerheten i operativsystemet.

For første gang skal det ha blitt funnet et eksempel på at fullt fungerende utpressingsvare har blitt spredt til OS X. Sikkerhetsselskapet Palo Alto Networks oppdaget dette «kryptoviruset» den 4. mars og har gitt det navnet KeRanger.

KeRanger ble spredt gjennom en infisert utgave av installasjonsverktøyet til bittorrent-programmet Transmission. Transmission er et åpen kildekode-prosjekt, og det mistenkes at prosjektets offisielle nettsted har blitt kompromittert, slik at installasjonsfilene har blitt erstattet med rekompilerte, ondsinnede filer.

Signert

Fordi også den KeRanger-infiserte utgaven av Transmission var blitt signert med et gyldig app-utviklersertifikat for Mac, ble ikke installasjonen eller kjøringen av den infiserte programvaren stoppet av Apples Gatekeeper-funksjon.

Etter installasjonen ligger KeRanger i dvale i tre dager før den oppretter kontakt med kommando- og kontrollservere via Tor-nettverket. Deretter begynner det å kryptere visse dokumenter og datafiler.

Angivelig forsøker KeRanger også å kryptere backupfilene til Time Machine for å hindre brukeren å få tilgang til filene uten å betale.

Ifølge Palo Alto Networks krever skurkene at ofrene betaler én bitcoin, nærmere 3500 kroner. Da kan det være at man gis tilgang til nøkkelen som skal til for å dekryptere filene igjen. Men det finnes ingen garanti for at dette faktisk vil bli gjort.

Sperret

Både Apple og Transmission-prosjektet skal ha reagert raskt etter at de ble varslet om kryptoviruset sist fredag. Apple skal ha oppdatert signaturfilene til XProtect og trukket tilbake det aktuelle utviklersertifikatet, mens Transmission-prosjektet skal ha slettet de infiserte filene fra prosjektets nettsted.

Brukere som har lastet ned Transmission-programvaren den 4. eller 5. mars, kan fjerne skadevaren igjen ved å følge en oppskrift som er beskrevet nesten nederst på denne siden.

Den berørte versjonen av Transmission har versjonsnummeret 2.90. Alle brukere bes nå oppdatere til den nyeste versjonen, 2.92, som også skal kunne fjerne den infiserte utgaven.

Det er ikke kjent hvor mange som kan være berørt av denne skadevaren.

Til toppen