iPon Hírek

Túszul ejti a fájlokat egy vírus, majd váltságdíjat kér

Dátum | 2016. 03. 08.
Szerző | J.o.k.e.r
Csoport | SZOFTVER

Az elmúlt hét folyamán jelent meg a Transmission BitTorrent kliens legújabb, 2.91-es kiadása, ami sok kellemetlenséget okozott a Maces felhasználóknak, ugyanis a szoftverbe malware került. A szóban forgó kártékony programkód a Palo Alto Networks szakemberei szerint a KeRanger nevet viseli, működése pedig meglehetősen alattomos. A Transmission fertőzött, 2.90-es kiadásának telepítését követő harmadik napon titkosítja a konfiguráció rendszerlemezén található különböző fájlokat, majd tájékoztatja a felhasználót, hogy túszul ejtette fájljait, de némi váltságdíjért cserébe újra szabaddá tehető a hozzáférés. Hasonló rosszindulatú támadások Windows alatt már többször is előfordultak, de a Mac OS X most először került a támadók célkeresztjébe.
A vírus az alábbi fájltípusokat teszi elérhetetlenné: •Dokumentumok: .doc, .docx, .docm, .dot, .dotm, .ppt, .pptx, .pptm, .pot, .potx, .potm, .pps, .ppsm, .ppsx, .xls, .xlsx, .xlsm, .xlt, .xltm, .xltx, .txt, .csv, .rtf, .tex •Képek: .jpg, .jpeg, •Audió és videó tartalmak: .mp3, .mp4, .avi, .mpg, .wav, .flac •Tömötített állományok: .zip, .rar., .tar, .gzip •Forráskódok: .cpp, .asp, .csh, .class, .java, .lua •Adatbázisok: .db, .sql •Email: .eml •Tanúsítványok: .pem Az Apple a veszély felismerését követően azonnal gondoskodott róla, hogy gátat szabjon a malware terjedésének, ebben pedig a GateKeeper biztonsági rendszer nyújtott hathatós segítséget. A beavatkozást követően a Transmission 2.90-es fertőzött változata ugyan letölthető az adott Mac-re, de telepítését már nem engedélyezi a rendszer, így újabb áldozatokat már aligha szed a KeyRanger – ez persze sovány vigasz mindazoknak, akik pórul jártak.
A rendszer már nem engedi telepíteni a fertőzött appot.
A Transmission fejlesztői azonnal felhívták a felhasználók figyelmét, hogy azonnal frissítsék a klienst a 2.91-es verzióra, vagy töröljék a 2.90-es kiadást. Időközben már 2.92-es változat is elérhető, ami ugyancsak biztonságos, telepítése pedig kiemelten ajánlott, hisz ez a változat telepítése során eltávolítja a KeyRanger vírust. Hogy mi történik, ha aktiválódik a kártékony kód? Az adattároló tartalmának jelentős része titkossá válik, a feloldáshoz szükséges kódot azonban csak akkor kapja meg a felhasználó, ha a vírusíró követelésnek eleget tesz, azaz kifizeti a feloldás díját – ezt egyfajta váltságdíjként is felfoghatjuk. A biztonságtechnikai szakemberek szerint nem szabad engedni a zsarolásnak, ugyanis egyrészt nincs rá garancia, hogy a pénz átutalása után valóban megkapja a felhasználó a titkosítás feloldásához szükséges utasításokat; másrészt nem lehet tudni, hogy a sikeres feloldást követően később megismétlődik-e az eset. Ugyanis a támadók felbátorodhatnak, ha azt látják, sokan fizetnek, mert így aljas húzásuk remek bevételi forrásnak bizonyulhat.
A váltságdíjat Bitcoin alapon fizethetjük ki. NE TEGYÜK!
A vírust egyelőre csak az OSX-re írt Transmission kliens 2.90-es változatában találták meg, egyéb módon egyelőre nem fertőz. Aki letöltötte az említett appot, és nem biztos benne, hogy veszélyben van-e, az Aktivitás Monitort elindítva nézze meg, fut-e olyan folyamat, amely a kernel_service nevet viseli. Ha igen, akkor az adott Mac is fertőzött – a megtévesztő folyamatnév pont a gyanú elaltatását szolgálja. Ebben az esetben ajánlott visszaállítani a rendszert a Transmission 2.90 telepítése előtti állapotra, ha van ilyen biztonsági mentésünk, ugyanis ez a legjobb módja a kártékony szoftver eltávolításának.
A jelenlétre utaló kernel_service folyamat
A Palo Alto Networks szakemberei ennél részletesebben is kivesézik a vírus technikai részleteit, illetve elárulják, mely könyvtárakban kell keresni a jelenlétre utaló nyomokat. Ezeket a fájlokat minden esetben törölni kell, ahogy a leírás javasolja. Alternatív módon a Trasmission 2.92-es verziójának telepítése is segíthet, hisz az beágyazott algoritmusaival képes a vírus törlésére – és ez a módszer ráadásul egyszerűbb, gyorsabb, kényelmesebb, mint különböző fájlok után kutatni, majd egyenként törölni őket. A vírusmentesítéssel érdemes sietni, hisz a Transmission 2.90 telepítése utáni harmadik napon aktiválódik.
Új hozzászólás írásához előbb jelentkezz be!

Eddigi hozzászólások

6. Rimagras
2016.03.08. 09:17
Elég aktív időszak van, Linux Mint szerverét is feltörték és feltettek egy ferzőzött .iso-t, Szerencsére a current disztro elég régi és nem nagyon volt szerintem letöltés, meg észre is vették igen hamar.
 
Válasz írásához előbb jelentkezz be!
5. istvankiss...
2016.03.08. 09:52
"Időközben már 2.92-es változat is elérhető, ami ugyancsak biztonságos, telepítése pedig kiemelten ajánlott"

Minden bizonnyal egy kicsit se rendülne meg a bizalmam a transmission készítői iránt, de lehet hogy a töretlen bizalom ellenére egy másik cég termékét telepíteném.
 
Válasz írásához előbb jelentkezz be!
4. Bloodx
2016.03.08. 12:27
Hogyan lehetett volna felhasznalokent eszrevenni a hibat?
- Az oldalon feltuntetett SHA2 hash-ek is le lettek cserelve a tamadok altal?
- Digitalis alairas tekinteteben mi tortent (hasznalnak valamit a keszitok, es ala is volt irva a kerdeses verzio / nem szoktak alairni a release-eket)?
Vagy nem is az oldalra kirakott letoltheto allomany lett lecserelve a fertozottre, hanem a hivatalos release volt fertozott?
 
Válasz írásához előbb jelentkezz be!
3. martinair Blood...
2016.03.08. 13:14
Ha a hivatalos volt fertőzött, az elég nagy cumi lesz a készítőkre nézve...
Aki meg nem "megbízható" forrásból szerzi be a szoftvereket, az ne csodálkozzon.

*
Amúgy most néztem, ez teljesen free app, szóval aki még az ingyenes alkalmazást sem a hivatalos oldalról szerzi be, annak gratulálni tudok csak.
 
Válasz írásához előbb jelentkezz be!
2. Norbert_B Blood...
2016.03.08. 21:53
Nekem is kb. ez volt az első, ami eszembejutott. Hiányoltam a cikkből!
 
Válasz írásához előbb jelentkezz be!
1. zabapper
2016.03.08. 22:38
Ez nem vírus, mert nem terjed tovább a gépedről. Csak egy kártékony szoftver, leginkább olyan, mint egy rootkit.
 
Válasz írásához előbb jelentkezz be!