Mac OS X-ransomware stopt na herstarten computer
De KeRanger-ransomware die dit weekend in het installatieprogramma van het BitTorrentprogramma Transmission voor Mac OS X werd aangetroffen stopt na een herstart van de computer. Dat meldt beveiligingsbedrijf Malwarebytes. De ransomware, die allerlei bestanden op de computer, alsmede aangesloten externe harde schijven en netwerkschijven versleutelt, blijkt de computer niet permanent te infecteren.
Zodra gebruikers de besmette versie (Transmission 2.90) installeren start er een proces in de achtergrond genaamd 'kernel_service'. Na drie dagen wordt de malware echter pas actief en begint met versleutelen. Doordat de malware ook externe harde schijven en netwerkschijven versleutelt, kunnen ook Time Machine-back-ups versleuteld raken. Het is echter de vraag hoeveel slachtoffers KeRanger heeft gemaakt.
De malware beschikt namelijk niet over een mechanisme om de computer permanent te infecteren. Als de computer wordt herstart stopt het kernel_service-proces. Pas als gebruikers de besmette Transmission-app weer starten wordt het proces geheractiveerd. Malwarebytes adviseert getroffen gebruikers om de app te verwijderen en de computer opnieuw op te starten.
In het geval van versleutelde bestanden adviseert Malwarebytes om het gevraagde losgeld van 1 bitcoin (370 euro) niet te betalen. "In de Windowswereld kan het betalen van ransomware soms een sleutel opleveren waarmee de bestanden kunnen worden ontsleuteld. Het kan ook voorkomen dat er geen sleutel komt of een sleutel die niet goed werkt omdat de ransomware slecht is gemaakt", aldus de beveiliger.
Torrents
Daarnaast volgt er ook nog een advies wat betreft het gebruik van torrents. "Het is niet de eerste keer dat Mac-gebruikers besmet raken door het downloaden van een torrentprogramma, hoewel in het verleden dergelijke infecties vaak alleen adware waren. Wees dan ook verzichtig met het gebruik van torrents in de toekomst", besluit analist Thomas Reed.
Tijd
Mikko Hypponen van het Finse anti-virusbedrijf F-Secure stelt via Twitter dat gebruikers die de besmette Transmission-versie hebben gedownload en geïnstalleerd nog enkele uren hebben voordat de ransomware tot het versleutelen van bestanden overgaat. Daarnaast zou deze versie van KeRanger alleen lokale bestanden versleutelen en Time Machine-back-ups ongemoeid laten, aldus de Finse virusexpert.
Als ik het zo lees is de app wel heel vervelend maar vanuit een standaard account draaiende (en dus ook geïnstalleerd onder een standaard account) heeft het beperkte rechten en kan het mijns inziens ook een heleboel niet versleutelen omdat het daartoe de rechten niet heeft.
Geen rechten om te deleten
- andere user accounts
- allerlei bestanden op root niveau
- time machine backups aantasten
Draaiden de onderzoekers de app vanuit het admin account?
Of betreft dit soms een pkg installer van Transmission, dus een installer waarbij er allerlei extra's in de root directory worden gezet?
Heb de app nog niet geopend in een testomgeving om het zelf te kunnen bekijken (met dummie ogen ;).
Tip1; Wat je kan doen (en natuurlijk nooit gaat doen ;) is 'aparte' apps als o.a. p2p software alleen gebruiken onder een apart (extra) standaard account.
Heb je stront met dit soort apps, dan heb je hoge kans dat je dat alleen onder dat aparte standaard account hebt en alleen de bestanden daar aantast (plus de extra aangesloten usb etc disks natuurlijk).
Tip 2; knal daarbij wel je shared folder dicht onder dat account om te voorkomen dat malware vanaf daar door kan naar andere accounts.
Maar of dat aan avast ligt, weet je niet. Op mijn MacBook was de XProtect file al afgelopen zaterdagavond geüpdate met:
<key>Description</key>
<string>OSX.KeRanger.A</string>
<key>LaunchServices</key>
<dict>
<key>LSItemContentType</key>
<string>com.apple.application-bundle</string>
</dict>
……
Hield avast het toen al tegen?
Als ik het zo lees is de app wel heel vervelend maar vanuit een standaard account draaiende (en dus ook geïnstalleerd onder een standaard account) heeft het beperkte rechten en kan het mijns inziens ook een heleboel niet versleutelen omdat het daartoe de rechten niet heeft.
Lijkt me eigenlijk niet zo heel relevant. De gemiddelde gebruiker heeft alles wat hij/zij waardevol acht in zijn eigen home-directory staan. Geloof me, er zijn genoeg mensen die het versleutelen van hun complete home-directory (email, foto's documenten) anders ervaren dan "heel vervelend" en dan vervolgens blij zijn dat de systeem-files niet geraakt zijn.
Ok, als je je computer deelt met anderen is het een iets ander verhaal. Maar op een gedeelde computer waar iedereen een eigen account heeft, heeft logischerwijs ook iedereen een standaard-account en is er een apart beheer-account. Juist als je de computer in je eentje gebruikt is die kans wat kleiner, maar ach, wat staat er dan buiten je home-dir dat van waarde is? OS en apps kun je zo herinstalleren, dat is wat ik zou noemen "heel vervelend", maar je home-dir met alles van waarde kwijtraken is gewoon harde paniek.
(Voor de mensen die hun backups op orde hebben is het natuurlijk nooit erger dan "heel vervelend", maar dat is niet de doelgroep van ransomware)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
