Nuovo ransomware per OS X

La notizia che molti non avrebbero voluto sentire è arrivata: il primo ransomware per OS X è attivo. Lo ha scoperto Claud Xiao e Jin Chen del sito Palo Alto i quali hanno dato il nome a questo ransomware, ovvero “Keranger“. In realtà questo è il secondo malware, dopo quello scoperto dai laboratori Kaspersky nel 2014, quella versione di ransomware, però, era incompleta ed inefficace.

L’infezione è avvenuta tramite il download da un sito apparentemente attendibile, nel quale però era stato rimpiazzato il file da scaricare con quello contenente il codice malevolo. In aggiunta, l’app dispone di un certificato valido Apple quindi bypassa senza problemi i controlli da parte del sistema e dello store stesso.

Come funziona

Dopo aver avviato il file scaricato, questa caricherà del codice in memoria che rimarrà in attesa del collegamento con un server remoto tramite la rete TOR. Dopo di che comincia la crittografia di taluni tipi di file dove al termine viene richiesto il pagamento di 1 BitCoin (ovvero  $ 400) per il recupero dei file.  Sembra che i sviluppatori del malware ora stiano cercando il modo per crittografare anche i backup eseguiti dall’utente usando Time Machine.

Ad ogni modo, Apple ha ritirato il certificato  di attendibilità, ha aggiunto la firma del malware alle definizioni Xprotect, oltre a rimuovere il file infetto dal sito dell’app che era stato modificato.

Il ransomware critta tutti i dati che si trovano nella cartella Users oltre a 300 tipi di files che si trovano sotto la voce Volumes, i tipi di file comprendono :

  • Documenti (i maggiori tipi di file, incluso i file DOC, DOCX, XLX, XLXS, PPT, PPTX)
  • Foto (*.jpg, jpeg)
  • File audio e video (*.mp3, mp4, avi, mpeg)
  • Archivi compressi (*.zip, rar, gzip, tar)
  • Codici sorgenti (*.cpp, asp, csh, class)
  • Database (*.db; *.sql)
  • Email (*.eml)
  • Certificati (*.pem)

Prevenire e meglio che curare
In ambiente OS X le accortezze sono sempre le medesime, anzi forse ancora di più visto che molto spesso gli utenti di questi sistemi si sentono in una botte di ferro, per via della mentalità tenuta in questi anni. Utilizzate l’app Activity Monitor per controllare i processi attivi ed in esecuzione nel sistema e magari manteniamo attivo un software antivirus, il quale può offrire una barriera protettiva in più nel caso di infezione. 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *