Троян в установщике Transmission

Palo Alto Networks сказала об обнаружении первой всецело рабочей программы-вымогателя для семейства операционных совокупностей Apple OS X. Компания назвала его KeRanger (OSX.KeRanger.A).

KeRanger распространяется вместе с приложением Transmission 2.9 и содержится в его установщике.

В последних числах Февраля 2016 г. разработчики Transmission выпустили первое обновление за два года — версию 2.9, а в первых числах Марта исследователи поняли, что дистрибутив (файл DMG) содержит троян. Они утвержают, что он попал в том направлении не сходу. Transmission — популярное приложение для загрузки торрентов.

В то время, когда троян попал в установщик

Хакеры поместили троян в установщик Transmission 2.9 спустя пара дней по окончании публикации новой версии, 4 марта 2016 г. Исходя из этого тревожиться имеется суть лишь тем, кто загрузилTransmission 2.9 в данный сутки либо позднее. 5 марта 2016 г. разработчики Transmission удалили зараженный дистрибутив.

Вредоносный процесс kernel_service в «Мониторинге совокупности»

Как троян остался незамеченным

В OS X существует пара механизмов защиты от вирусов. Один из них именуется Gatekeeper. Он не пропускает файлы, скачанные со сторонних источников (любых не считая магазина Mac App Store).

KeRanger обошел эту защиту благодаря наличию подписи действующего цифрового сертификата.

Что троян делает

По окончании того как пользователь установил Transmission из зараженного дистрибутива, троян помещается в оперативную память и присутствует в том месте в виде фонового процесса kernel_service. Через три дня он связывается с командно-контрольным сервером преступников через неизвестную сеть Tor и начинает шифровать на компьютере файлы определенных типов. По окончании того как данный процесс закончен, троян требует с обладателя компьютера 1 биткоин за дешифровку данных (около $400).

По словам исследователей, KeRanger до сих пор находится в разработке и он пробует зашифровать резервные файлы кроме этого в Time Machine чтобы у пользователя не было возможности вернуть зашифрованные файлы по большей части дисковом разделе.

Уведомление Apple

Palo Alto Networks уведомила Apple о проблеме. По окончании чего Apple удалила цифровой сертификат, применяемый KeRanger, и обновила базы сигнатур встроенного в OS X антивируса XProtect.

Со своей стороны, разработчики KeRanger удалили зараженный дистрибутив и выпустили дистрибутив Transmission 2.92, что удаляет «заразу» из совокупности. Обновиться до версии 2.92 необходимо кроме этого и тем, у кого установлена версия 2.91, говорится на сайте приложения.

Что еще возможно сделать

Эксперты Palo Alto Networks создали комплекс мер для независимого удаления KeRanger. Он обрисован на сайте компании (ссылка, раздел How to Protect Yourself).

Для начала они советуют проверить наличие файла General.rtf в папках /Applications/Transmission.app/Contents/Resources и /Volumes/Transmission/Transmission.app/Contents/Resources/. Наличие этого файла будет свидетельствовать о присутствии трояна в совокупности.

После этого необходимо отыскать процесс kernel_service в «Мониторинге совокупности» и принудительно завершить его.

Затем нужно отыскать и удалить файлы .kernel_pid, .kernel_time и .kernel_complete либо kernel_service в папке ~/Library.

Увлекательные записи:

• В продажу вышло устройство за $170 для взлома любого iphone
• В россии будут собирать дешевые тв-приставки
• В россии будут выпускаться диски dvd-audio

Best Bittorrent Clients 2016-2017