Появился первый в мире вирус-вымогатель под Mac

3874
5

Компания по изучению компьютерной безопасности Palo Alto Networks объявила о том, что удалось обнаружить жертв первого вируса под OS X, который шифрует жесткий диск и вымогает деньги. Ими стали пользователи BitTorrent-приложения под названием Transmission. Те, кто загрузил зараженные версии приложения, получили вирус под названием KeRanger. Он шифрует пользовательский жесткий диск через три дня после установки и вымогает деньги за восстановление доступа к данным.

«Это удивительно, поскольку вирусы-вымогатели невероятно популярны под Windows и мобильные платформы. Это одна из самых распространенных схем кибермошенничества… Но тот факт, что вирус распространялся через легальное приложение, доказывает, что мы вновь увидим такую же ситуацию», — отметил Райан Ольсон из Palo Alto Networks.

KeRanger лочит доступ к данным на 72 часа и требует за доступ плату в 1 биткоин (около $410 по текущему курсу). Вирус каким-то образом попал в инсталлятор Transmission версии 2.90. Сразу после того, как поднялся шум, команда Transmission выпустила сообщение о том, что все пользователи приложения должны немедленно обновиться до версии 2.91 или же удалить обновление 2.90.

Приложение, содержащее KeRanger, было подписано действующим сертификатом разработки (Mac app development certificate), то есть могло обойти защиту Apple Gatekeeper.

fig2-500x135

Зараженные приложения Transmission содержат дополнительный файл под названием General.rtf, в папке Transmission.app/Contents/Resources. Он использует иконку, которая выглядит как невинный RTF-файл, но по-настоящему он является исполняемым файлом, запакованным с помощью UPX 3.91. Если пользователь устанавливает зараженное приложение и запускает его, General.rtf копируется в ~/Library/kernel_service и выполняет kernel_service еще до того, как на компьютере загрузится пользовательский интерфейс программы.

fig4-500x285

KeRanger выжидает три дня, прежде чем установить соединение с управляющими серверами через анонимную сеть Tor, а затем блокирует доступ к данным. Больше технических деталей о работе вируса можно найти в статье Palo Alto Networks.

Напомним, в рейтинге «Топ-20 самых распространенных вирусов в уанете за 2015 год» лидируют рекламные модули и черное SEO.

Оставить комментарий

Комментарии | 5

Поиск