De KeRanger-ransomware die dit weekend in het installatieprogramma van het BitTorrentprogramma Transmission voor Mac OS X werd aangetroffen stopt na een herstart van de computer. Dat meldt beveiligingsbedrijf Malwarebytes. De ransomware, die allerlei bestanden op de computer, alsmede aangesloten externe harde schijven en netwerkschijven versleutelt, blijkt de computer niet permanent te infecteren.
Zodra gebruikers de besmette versie (Transmission 2.90) installeren start er een proces in de achtergrond genaamd 'kernel_service'. Na drie dagen wordt de malware echter pas actief en begint met versleutelen. Doordat de malware ook externe harde schijven en netwerkschijven versleutelt, kunnen ook Time Machine-back-ups versleuteld raken. Het is echter de vraag hoeveel slachtoffers KeRanger heeft gemaakt.
De malware beschikt namelijk niet over een mechanisme om de computer permanent te infecteren. Als de computer wordt herstart stopt het kernel_service-proces. Pas als gebruikers de besmette Transmission-app weer starten wordt het proces geheractiveerd. Malwarebytes adviseert getroffen gebruikers om de app te verwijderen en de computer opnieuw op te starten.
In het geval van versleutelde bestanden adviseert Malwarebytes om het gevraagde losgeld van 1 bitcoin (370 euro) niet te betalen. "In de Windowswereld kan het betalen van ransomware soms een sleutel opleveren waarmee de bestanden kunnen worden ontsleuteld. Het kan ook voorkomen dat er geen sleutel komt of een sleutel die niet goed werkt omdat de ransomware slecht is gemaakt", aldus de beveiliger.
Daarnaast volgt er ook nog een advies wat betreft het gebruik van torrents. "Het is niet de eerste keer dat Mac-gebruikers besmet raken door het downloaden van een torrentprogramma, hoewel in het verleden dergelijke infecties vaak alleen adware waren. Wees dan ook verzichtig met het gebruik van torrents in de toekomst", besluit analist Thomas Reed.
Mikko Hypponen van het Finse anti-virusbedrijf F-Secure stelt via Twitter dat gebruikers die de besmette Transmission-versie hebben gedownload en geïnstalleerd nog enkele uren hebben voordat de ransomware tot het versleutelen van bestanden overgaat. Daarnaast zou deze versie van KeRanger alleen lokale bestanden versleutelen en Time Machine-back-ups ongemoeid laten, aldus de Finse virusexpert.
Deze posting is gelocked. Reageren is niet meer mogelijk.