KeRanger, il primo ransomware per il Mac

Transmission 2.90 e KeRanger

La settimana scorsa anche OS X è capitolato, dimostrandosi vulnerabile ai terribili ransomware. Potrei aggiungere che prima o poi doveva succedere, ma non è così, queste cose su un sistema Unix non dovrebbero succedere.

Innanzi tutto cos’è un ransomware? Il ransomware è attualmente la forma più pericolosa e più dannosa di attacco informatico. Una volta penetrato in un computer, cripta tutti i documenti del malcapitato utente in modo tale che non possano assolutamente essere decodificati, a meno di non pagare un vero e proprio riscatto al creatore dell’attacco.

Insomma, un ricatto bello e buono, fatto persino intelligentemente (ammesso che si possa considerare intelligente una cosa del genere). La cifra richiesta per lo sblocco in genere non è eccessiva, e chi viene infettato è quasi sempre disposto a pagare pur di non perdere dei documenti, che siano di lavoro o personali, unici e spesso irrecuperabili da altre fonti. Pagano perfino i poliziotti.

Il ricattatore è comunque (dal suo punto di vista) onesto e, una volta ottenuto il pagamento, invia sempre il codice di sblocco corretto. Ma solo perché non farlo sarebbe controproducente e ridurrebbe la probabilità che gli altri malcapitati chinino la testa e paghino come richiesto.

La facilità di guadagno e il rischio bassissimo di essere scoperti (il pagamento avviene tramite bitcoin non tracciabili) spinge a produrre nuovi ransoware sempre più pericolosi, creando una spirale di minacce e relativi pagamenti che è difficile spezzare.

Purtroppo contro i ransomware il backup non serve a niente, soprattutto se il disco di backup è sempre collegato al computer, come succede con Time Machine. Il ransomware non si fa problemi, e infetta tranquillamente tutti i dischi esterni e perfino quelli connessi in rete, come i NAS. Anche Dropbox e simili non servono a molto: i file criptati vengono salvati su Dropbox e, anche se sono disponibili le versioni precedenti in chiaro dei file, in caso di infezione sarebbe una vero problema doversele andarsele a cercare ad una ad una.

Finora i ransomware si sono limitati ad infettare Windows e, in qualche caso, anche Android. Fra tutti, il più famoso e diffuso è di sicuro CryptoLocker, con cui ho (purtroppo!) avuto anch’io a che fare un anno fa, dopo che aveva infettato il computer di una conoscente (ma questa è un’altra storia).

Ora dopo alcune dimostrazioni di fattibilità praticamente inoffensive, alla fine anche su OS X è arrivato un ransomware vero, OSX.KeRanger.A, che ha infettato Transmission, uno dei programmi più usati sul Mac per scambiare i file tramite il protocollo BitTorrent.

Le versioni infette di Transmission sono quelle scaricate dal sito web ufficiale fra le 20:00 del 4 marzo e le 4:00 del mattino del 6 marzo. Non è chiaro se possono essere infette anche le versioni aggiornate tramite rete nello stesso periodo.

In ogni caso, chi usa Transmission sul suo Mac (io sono fra questi) deve affrettarsi a controllare la versione installata, senza però lanciarla (le precauzioni non sono mai troppe).

Per farlo, basta cliccare con il tasto destro sull’icona di Transmission e selezionare la voce Chiedi Informazioni (oppure, da tastiera, cmd + I). La sezione Generale della finestra riporta il numero di versione dell’applicazione.

Se la versione installata di Transmission è la 2.90 si deve immediatamente cancellare l’applicazione dal Mac, magari usando uno strumento come AppCleaner che rimuove anche i file associati. Fatto questo, si può reinstallare la versione 2.92 di Transmission, non affetta dal ransomware, scaricandola dal sito ufficiale. Questa versione controlla ed eventualmente rimuove il ransomware presente sul Mac (sperando che non sia ormai troppo tardi), quindi è consigliabile installarla comunque, anche se si è deciso di non usare più Transmission.

Se invece la versione installata di Transmission è precedente alla 2.90, è sufficiente aggiornarla automaticamente alla 2.92 tramite rete.

Transmission 2.92

Per ulteriori approfondimenti, consiglio di leggere questa pagina del forum di Transmission. Maggiori dettagli tecnici sull’infezione si trovano invece in questa pagina.

Un consiglio: cimentatevi ad analizzare il contenuto dell’applicazione, e a verificare che sia o meno infetta, solo se sapete esattamente cosa fare e, soprattutto, come evitare guai. Per tutti gli altri, la pulizia automatica è decisamente la strada più sicura.

Annunci
Tagged with: , , , ,
Pubblicato su software
4 comments on “KeRanger, il primo ransomware per il Mac
  1. frix ha detto:

    Ottima informativa di servizio…
    La RAI è un sacco di enti pubblici dovrebbero obbligare i loro amminstratori di sistema (???) a leggerlo prima dei pasti per una settimana almeno.
    Volendo fare un giochino di parole (tieni però conto che ho dormito poco) sarebbe un articolo da far prendere per os
    🙂

    Mi piace

  2. Nino360° ha detto:

    L’ha ribloggato su Wor(l)d mCell 5G Mobile Revolution … DigitalStress-DigitalSOSe ha commentato:

    Nessun “Sistema Operativo” può essere considerato “Immune” al 100% … la precauzione non è mai troppa !

    Mi piace

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Informativa
Questo sito utilizza cookie di terze parti per inviarti pubblicità e servizi in linea con le tue preferenze. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, clicca qui. Scorrendo questa pagina, cliccando su un link o su qualunque altro elemento o proseguendo la navigazione in altra maniera, acconsenti all'uso dei cookie.
Follow MelaBit on WordPress.com
Categorie
Archivi
%d blogger hanno fatto clic su Mi Piace per questo: