Scovato KeRanger, il primo virus che blocca un Mac e poi chiede il riscatto. Ecco come comportarsi.

Sono finiti i tempi in cui un computer Apple tiene al riparo dai malware? Forse. Secondo alcune notizie diffuse qualche ora fa sui media di settore, infatti, è stato riscontrato il primo ransomware completo per sistemi Mac OS X. Si chiama KeRanger e pare abbia già colpito con “successo” alcune macchine made in Cupertino, lasciando agli utenti un’unica schermata con le modalità di pagamento per sbloccare il computer. A scoprirlo sono stati ricercatori dell’azienda di sicurezza Palo Alto Networks.

Una storia che in orbita Microsoft è consolidata da anni e che invece aveva risparmiato, finora, la galassia Apple. Qui le scuole di pensiero sono almeno due. La prima è che Apple sia rimasta all’ombra dagli attacchi informatici perché i suoi sistemi così chiusi sono molto più difficili da bucare. La seconda è che, essendo quello dei malware un vero e proprio business, gli attacchi si siano concentrati sempre sugli ambienti Windows per un fatto di numeri e diffusione (più macchine uguale più utenti potenzialmente infettati). Potrebbero essere vere entrambe, anche perché a sostegno della seconda ipotesi c’è la forte diffusione di device Apple negli ultimi anni.

Come si è diffuso KeRanger

Il ransomware che ha colpito i Mac si è diffuso, come trojan, attraverso un client torrent: il Trasmission. Si tratta di uno di quei software che servono per scaricare contenuti dalla Rete con protocollo p2p. Più precisamente, il malware era presente nell’installer della versione 2,90. E non è ancora chiaro in che modo i cyber criminali siano riusciti a bucare l’applicazione. Si sa con certezza, invece, che l’infezione ha avuto luogo il 4 marzo scorso, data di rilascio della versione 2,90. Mentre meno di 24 ore più tardi Apple era già al corrente dell’accaduto. Chiariamo subito che sia l’azienda di Cupertino che la stessa società produttrice di Trasmission hanno risolto il caso quasi subito. Gli ingegneri di Apple hanno ritirato il certificato digitale del programma (rendendolo dunque non più installabile), mentre di Trasmission è già stata diffusa la versione 2,92 debellata dal virus.

Cosa possono fare gli utenti Mac

I possessori di un Mac, comunque, possono controllare se il loro sistema è infetto attraverso qualche rapido passaggio, riportato dai diversi siti settoriali. Innanzitutto è bene cercare se esiste un file su General.rtf, scandagliando nelle cartelle /Applications/Transmission.app/Contents/Resources/ e /Volumes/Transmission/Transmission.app/Contents/Resources/. Questo file utilizza un’icona che assomiglia a un file RTF normale, ma in realtà è un file eseguibile Mach-O compresso con UPX 3.91. È inoltre noto che la prima volta che lo si esegue, KeRanger crea tre file “.kernel_pid”, “.kernel_time” e “.kernel_complete” nella directory / Library. Il malware sarà poi dormiente per tre giorni prima di attaccare il sistema.

Per una analisi tecnica si veda l’articolo di Palo Alto Networks comprensivo anche dei domini da bloccare.

[Fonte: http://tinyurl.com/ju4y53f]