Ransomware w Transmission dla OS X
Użytkownicy popularnego klienta sieci BitTorrent znaleźli się na celowniku cyberprzestępców. W wydanej pod koniec lutego aktualizacji tego programu do wersji 2.90 znalazło się chyba pierwsze w historii systemu OS X oprogramowanie typu ransomware.
Chodzi o zaszyty w Transmission program KeRanger, który po trzech dniach od instalacji szyfruje całą zawartość dysku twardego i następnie żąda okupu za jego odszyfrowanie (stąd nazwa tego typu oprogramowania - ransomware).
Twórcy wspomnianego klienta sieci BitTorrent nawołują użytkowników, by jak najszybciej zaktualizowali Transmission do wersji 2.92. Na problem zareagowało już także Apple, aktualizując czarną listę aplikacji o felerną wersję programu, których uruchomienie zostanie zatrzymane przez systemowe narzędzie bezpieczeństwa - GateKeeper.
Niestety istnieje pewna grupa użytkowników, którzy zainstalowali Transmission w wersji 2.90 przed zablokowaniem jej w GateKeeper. Warto zatem sprawdzić w Monitorze Aktywności, czy w tle działają jakieś procesy nazwie "kernel_service". Jeśli w systemie działa tego typu proces należy sprawdzić go dokładnie.
Po dwukrotnym kliknięciu w niego na liście aktywnych procesów i otwarciu okna ze szczegółowymi informacjami należy wybrać "Otwarte pliki i porty". Tam należy sprawdzić czy danemu procesowi odpowiada plik "/Users//Library/kernel_srvice". Zdaniem twórców Transmission to właśnie jest KeRanger.
Z kolei Palo Alto Networks sugeruje by sprawdzić, czy w pakiecie programu Transmission (po zaznaczeniu aplikacji Transmission.app należy wybrać z menu kontekstowego "Pokaż zawartość pakietu") w folderze "Tramisssion.app/Contents/Resources", znajduje się plik "General.rtf". Jeśli faktycznie się tam znajduje, znaczy, że aplikacja jest zainfekowana wspomnianym ransomware.
Warto też sprawdzić, czy w folderze Library (Biblioteka) znajdują się następujące pliki: "kernel_pid", "kernel_time", "kernel_complete" lub "kernel_service" i następnie je usunąć.
Źródło: Palo Alto Networks, Transmission