image

Mac OS X-ransomware stopt na herstarten computer

maandag 7 maart 2016, 15:11 door Redactie, 5 reacties
Laatst bijgewerkt: 07-03-2016, 15:36

De KeRanger-ransomware die dit weekend in het installatieprogramma van het BitTorrentprogramma Transmission voor Mac OS X werd aangetroffen stopt na een herstart van de computer. Dat meldt beveiligingsbedrijf Malwarebytes. De ransomware, die allerlei bestanden op de computer, alsmede aangesloten externe harde schijven en netwerkschijven versleutelt, blijkt de computer niet permanent te infecteren.

Zodra gebruikers de besmette versie (Transmission 2.90) installeren start er een proces in de achtergrond genaamd 'kernel_service'. Na drie dagen wordt de malware echter pas actief en begint met versleutelen. Doordat de malware ook externe harde schijven en netwerkschijven versleutelt, kunnen ook Time Machine-back-ups versleuteld raken. Het is echter de vraag hoeveel slachtoffers KeRanger heeft gemaakt.

De malware beschikt namelijk niet over een mechanisme om de computer permanent te infecteren. Als de computer wordt herstart stopt het kernel_service-proces. Pas als gebruikers de besmette Transmission-app weer starten wordt het proces geheractiveerd. Malwarebytes adviseert getroffen gebruikers om de app te verwijderen en de computer opnieuw op te starten.

In het geval van versleutelde bestanden adviseert Malwarebytes om het gevraagde losgeld van 1 bitcoin (370 euro) niet te betalen. "In de Windowswereld kan het betalen van ransomware soms een sleutel opleveren waarmee de bestanden kunnen worden ontsleuteld. Het kan ook voorkomen dat er geen sleutel komt of een sleutel die niet goed werkt omdat de ransomware slecht is gemaakt", aldus de beveiliger.

Torrents

Daarnaast volgt er ook nog een advies wat betreft het gebruik van torrents. "Het is niet de eerste keer dat Mac-gebruikers besmet raken door het downloaden van een torrentprogramma, hoewel in het verleden dergelijke infecties vaak alleen adware waren. Wees dan ook verzichtig met het gebruik van torrents in de toekomst", besluit analist Thomas Reed.

Tijd

Mikko Hypponen van het Finse anti-virusbedrijf F-Secure stelt via Twitter dat gebruikers die de besmette Transmission-versie hebben gedownload en geïnstalleerd nog enkele uren hebben voordat de ransomware tot het versleutelen van bestanden overgaat. Daarnaast zou deze versie van KeRanger alleen lokale bestanden versleutelen en Time Machine-back-ups ongemoeid laten, aldus de Finse virusexpert.

Reacties (5)
07-03-2016, 15:55 door Anoniem
Wat ik weer eens mis in de berichtgeving is het volgende: Admin account of Standaard account?

Als ik het zo lees is de app wel heel vervelend maar vanuit een standaard account draaiende (en dus ook geïnstalleerd onder een standaard account) heeft het beperkte rechten en kan het mijns inziens ook een heleboel niet versleutelen omdat het daartoe de rechten niet heeft.

Geen rechten om te deleten
- andere user accounts
- allerlei bestanden op root niveau
- time machine backups aantasten

Draaiden de onderzoekers de app vanuit het admin account?

Of betreft dit soms een pkg installer van Transmission, dus een installer waarbij er allerlei extra's in de root directory worden gezet?
Heb de app nog niet geopend in een testomgeving om het zelf te kunnen bekijken (met dummie ogen ;).

Tip1; Wat je kan doen (en natuurlijk nooit gaat doen ;) is 'aparte' apps als o.a. p2p software alleen gebruiken onder een apart (extra) standaard account.
Heb je stront met dit soort apps, dan heb je hoge kans dat je dat alleen onder dat aparte standaard account hebt en alleen de bestanden daar aantast (plus de extra aangesloten usb etc disks natuurlijk).

Tip 2; knal daarbij wel je shared folder dicht onder dat account om te voorkomen dat malware vanaf daar door kan naar andere accounts.
07-03-2016, 16:39 door Anoniem
07-03-2016, 17:10 door Anoniem
Ik heb er geen last van gehad,ik gebruik avast antivirus voor de Mac.
07-03-2016, 20:20 door Briolet
Door Anoniem: Ik heb er geen last van gehad,ik gebruik avast antivirus voor de Mac.

Maar of dat aan avast ligt, weet je niet. Op mijn MacBook was de XProtect file al afgelopen zaterdagavond geüpdate met:

<dict>
<key>Description</key>
<string>OSX.KeRanger.A</string>
<key>LaunchServices</key>
<dict>
<key>LSItemContentType</key>
<string>com.apple.application-bundle</string>
</dict>
……

Hield avast het toen al tegen?
08-03-2016, 11:35 door Anoniem
Door Anoniem: Wat ik weer eens mis in de berichtgeving is het volgende: Admin account of Standaard account?

Als ik het zo lees is de app wel heel vervelend maar vanuit een standaard account draaiende (en dus ook geïnstalleerd onder een standaard account) heeft het beperkte rechten en kan het mijns inziens ook een heleboel niet versleutelen omdat het daartoe de rechten niet heeft.


Lijkt me eigenlijk niet zo heel relevant. De gemiddelde gebruiker heeft alles wat hij/zij waardevol acht in zijn eigen home-directory staan. Geloof me, er zijn genoeg mensen die het versleutelen van hun complete home-directory (email, foto's documenten) anders ervaren dan "heel vervelend" en dan vervolgens blij zijn dat de systeem-files niet geraakt zijn.

Ok, als je je computer deelt met anderen is het een iets ander verhaal. Maar op een gedeelde computer waar iedereen een eigen account heeft, heeft logischerwijs ook iedereen een standaard-account en is er een apart beheer-account. Juist als je de computer in je eentje gebruikt is die kans wat kleiner, maar ach, wat staat er dan buiten je home-dir dat van waarde is? OS en apps kun je zo herinstalleren, dat is wat ik zou noemen "heel vervelend", maar je home-dir met alles van waarde kwijtraken is gewoon harde paniek.

(Voor de mensen die hun backups op orde hebben is het natuurlijk nooit erger dan "heel vervelend", maar dat is niet de doelgroep van ransomware)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.