Cum acţionează KeRanger, virusul care face ravagii în computerele Apple

Îţi place? Dă
şi

cum-ataca-virusul-KeRanger

virusul KeRanger, care criptează datele de pe calculatoarele Mac, este o adaptare a celei mai recente versiuni ale amenințării de tip ransomware Linux.Encoder, care a atacat sistemul de operare Linux în repetate rânduri, în cursul anului 2015, infectând mii de servere, relevă datele unei cercetări realizate de specialiștii Bitdefender.

BANNER_gadget

KeRanger este prima amenințare de tip ransomware complet funcțională pe sistemul de operare Mac OS X, prima care se distribuie prin intermediul unei actualizări software provenite de la un dezvoltator legitim și, totodată, primul ransomware care funcționează pe mai multe sisteme de operare.

„Utilizatorii de Mac OS X se pot proteja de amenințarea ransomware KeRanger numai prin folosirea unei soluții de securitate destinate acestui sistem de operare, capabile să depisteze comportamentele fișierelor și după momentul în care acestea se instalează pe terminale”, declară Cătălin Coșoi, Chief Security Strategist, Bitdefender.

Cum acționează KeRanger

Cea mai importantă funcționalitate de securitate a sistemului de operare Mac OS X este Gatekeeper, sistem care restricționează sursele din care utilizatorii își instalează aplicații, pentru a reduce riscul descărcării de aplicații periculoase. Setările din fabrică îi permit utilizatorului să instaleze programe numai din magazinul de Mac App Store și de la alți dezvoltatori verificați de Apple.

Pentru a ocoli Gatekeeper, atacatorii au introdus amenințarea ransomware KeRanger într-o actualizare a programului de descărcat fișiere Transmission, un client BitTorrent similar uTorrent sau BitComet. Potrivit Apple, atacatorii au folosit un certificat legitim al unei companii din Turcia, capabil să treacă de filtrele de securitate Gatekeeper. Noul certificat Digital cu care era semnată aplicația Transmission diferă de cel folosit la semnarea versiunilor precedente ale programului.

Odată ce fișierul infectat se execută, amenințarea se conectează la centrul de comandă și control prin TOR și furnizează un cod de criptare. După ce procesul de criptare se finalizează, KeRanger creează un fișier README_FOR_DECRYPT.txt care explică utilizatorului cum să efectueze plata și cum să decripteze apoi informațiile.

„ALGoritmii de criptare sunt identici, iar funcțiile au aceleași denumiri cu cele folosite de amenințarea ransomware pe care am descoperit-o pe Linux anul trecut – Linux Encoder”, a mai declarat Cătălin Coșoi.

Ransomware atacă tot mai multe sisteme de operare

Dacă în urmă cu șase luni, ransomware era o amenințare doar pentru utilizatorii de Windows și Android, în decembrie atacurile s-au extins și către sistemul de operare Linux, reușind să cripteze datele de pe mii de servere web. În noiembrie 2015, Bitdefender a fost primul furnizor de soluții de securitate IT care a pus la dispoziția utilizatorilor un set de instrumente de decriptare pentru fișierele afectate de prima versiune a virusului ransomware ce rulează pe Linux, menite să readucă fișierele compromise la versiunea inițială. Acum dezvoltatorii din spatele Linux Encoder și-au extins vectorii de atac și către sistemul de operare Mac OX X sau au pus la dispoziția altor grupări de criminalitate cibernetică tehnologia dezvoltată inițial pentru atacarea Linux.

Expansiunea ransomware către terminalele Mac confirmă previziunile Bitdefender pentru 2016, publicate la finele anului trecut.

Scrie un comentariu