Apple Mendapat Ransomware Dosis Pertama sebagai 6.500 Pengguna Dipukul dengan Virus Enkripsi

Jika Anda adalah salah satu dari banyak yang tidak beruntung pada hari Jumat untuk mengunduh dan menginstal versi baru Transmisi, aplikasi unduhan torrent, hari ini adalah hari perhitungan Anda: Informasi Anda, dan akses Anda ke pilar diri Anda sendiri, dapat disiapkan untuk tebusan.

Pengguna Mac belum pernah terpapar pada ransomware yang sepenuhnya terealisasi, dan untuk alasan yang baik: produk Apple telah menjadi benteng relatif terhadap virus. Tetapi pemasang ini menyamarkan program jahat, KeRanger, dan memberinya masa dormansi tiga hari. Transmisi adalah salah satu klien BitTorrent yang lebih populer, sederhana, dan intuitif dan membuatnya sangat mudah bagi pengguna untuk mengunduh torrent, baik itu torrent dari album, program, film, atau lainnya.

Pada hari ketiga yang menentukan - yang kebetulan terjadi hari ini - mereka yang memasang Transmission versi 2.90 dan menikmati tiga hari yang penuh kegembiraan demi kebaikan, bertemu dengan catatan tebusan kasar pada pukul 2 malam. Waktu bagian timur: KeRanger mengenkripsi konten Mac yang malang dan menuntut 1 bitcoin - setara, hari ini, menjadi sekitar $ 409 - untuk mendekripsi data tersebut. Dan dengan lebih dari 300 jenis ekstensi file yang dienkripsi, sangat sedikit yang terhindar.

John Clay di Transmission memberi Terbalik cerita yang lebih lengkap:

“Kami akan memposting pemberitahuan dalam beberapa hari ke depan dengan informasi lebih lanjut, tetapi tebakan terbaik kami pada saat ini adalah sekitar 6.500 gambar disk yang terinfeksi telah diunduh (dari puluhan ribu unduhan sah versi ini sebelumnya). Dari mereka, anggapan kami adalah bahwa banyak yang tidak dapat menjalankan file yang terinfeksi karena Apple dengan cepat mencabut sertifikat yang digunakan untuk menandatangani biner, serta memperbarui definisi XProtect. Kami menunggu konfirmasi dari Apple untuk itu.

“Mekanisme pembaruan otomatis Sparkle tidak terganggu, dan akan gagal memperbarui ke biner yang terinfeksi karena hash berbeda. Lebih lanjut, cache pihak ketiga kami (CacheFly) tidak dikompromikan, yang mana banyak situs web pembaruan perangkat lunak yang terhubung ke (MacUpdate et al). Kami juga telah mengkonfirmasi bahwa pengguna dengan versi yang terinfeksi dapat berhasil memperbarui secara otomatis ke rilis yang sah dari 2.91 atau 2.92, dengan 2.92 secara aktif berusaha untuk menghapus malware."

Jika Anda menggunakan Transmisi, inilah cara untuk memeriksa apakah komputer Anda terinfeksi:

• Buka Monitor Aktivitas bawaan di Aplikasi / Utilitas.
• Di bawah tab "Disk", cari "kernel_service". ("Kernel_task" tidak berbahaya dan merupakan bagian penting dari OSX; jika Anda melihat proses itu berjalan, jangan panik.)

Catatan tebusan, yang anehnya sopan mengingat jiwa penciptanya yang tak dapat disangkal, dapat dilihat di sini. Itu dimulai, "Komputer Anda telah dikunci dan semua file Anda telah dienkripsi dengan enkripsi RSA 2048-bit."

Transmisi merespons dengan cepat dan memperbarui penginstalnya untuk mengecualikan dan konon menghapus KeRanger dari komputer yang terinfeksi.

Salah satu peneliti yang menemukan ransomware - Claud Xiao - aktif menyebarkan berita:

Teman-teman, ini satu-satunya saat saya meminta bantuan Anda untuk menyebarkan berita. #KeRanger dirancang untuk memulai enkripsi pada Senin pagi berikutnya!

- Claud Xiao (@claud_xiao) 6 Maret 2016

#Transmission baru saja mendorong pembaruan 2.92 yang mencakup kode untuk mendeteksi dan menghapus ransomware #KeRanger. Perbarui sebelum Senin 11:00 pagi.

- Claud Xiao (@claud_xiao) 6 Maret 2016

Itu juga memperingatkan semua yang memperbarui program:

Apple juga merespons dengan menghapus versi sertifikasi pemasang - sertifikasi yang memungkinkan ransomware untuk memotong GateKeeper dan XProtect yang biasanya ketat dan menjaga keamanan Mac.

Palo Alto Networks mengekspos pelanggaran keamanan. Untuk laporan lengkap dan panduan perlindungan diri, lihat di sini.