De versie van het torrentprogramma Transmission waar aanvallers afgelopen vrijdag ransomware voor Mac OS X in hadden verstopt is zo'n 6500 keer gedownload, zo heeft een ontwikkelaar van de software laten weten. Volgens John Clay van Transmission hebben waarschijnlijk veel gebruikers door tijdig optreden van Apple de besmette versie niet kunnen installeren.
Apple besloot de ingebouwde virusverwijdertool XProtect in Mac OS X te updaten, zodat het de ransomware herkende. Daarnaast werd het door Apple uitgegeven ontwikkelaarscertificaat, dat was gebruikt voor het signeren van de aangepaste Tranmission-versie, ingetrokken. Door de digitale handtekening accepteerde de Gatekeeper-beveiliging van Mac OS X het bestand. Standaard staat Mac OS X zo ingesteld dat alleen apps uit de Mac App Store en applicaties van bekende ontwikkelaars geïnstalleerd mogen worden.
KeRanger, zoals de ransomware wordt genoemd, versleutelt pas na drie dagen bestanden op besmette systemen en stopt met werken na een herstart. Voor Mac-gebruikers die de besmette Transmission-versie op 4 maart hadden gedownload verliep gisteren dan ook de deadline. "Van sommige mensen zullen sommige bestanden worden versleuteld, maar ik denk dat het erg zal meevallen", zegt Ryan Olson van Palo Alto Networks tegenover Threatpost. Het beveiligingsbedrijf ontdekte de ransomware. Door met Apple en Transmission samen te werken kon een groot probleem volgens hem worden voorkomen.
Hoe de aanvallers toegang tot de officiële website van Transmission wisten te krijgen en daar de aangeboden downloads konden aanpassen is nog altijd onbekend. Transmission stelt dat het maatregelen heeft genomen om de webserver te beveiligen en zal binnenkort met een update over de aanval komen. Lawrence Abrams van Bleeping Computer heeft een verwijdertool ontwikkeld die de KeRanger-ransomware kan verwijderen. Tevens geeft hij aparte instructies aan mensen die het losgeld van 1 bitcoin (370 euro) niet en wel willen betalen.
Deze posting is gelocked. Reageren is niet meer mogelijk.