Aplikacja Transmission dla OS X zarażona ransomware “KeRanger” (sprawdź, jak usunąć)

Marek Twejn   7 marca 2016

transmission-29

Aktualizacja: Transmission udostępniło aktualizację 2.92, która usuwa szkodliwe oprogramowanie.

Pierwszy raz w historii* aplikacja na OS X została zarażona szkodliwym ransomware. Ten popularny ostatnio typ malware został znaleziony w służącej do obsługi torrentów aplikacji Transmission.

Ransomware (od ang. ransom – okup) to złośliwe oprogramowanie, które po wniknięciu do komputera zaszyfrowuje znajdujące się na twardym dysku dane, a następnie żąda od użytkownika zapłaty za ich odszyfrowanie.

Ransomware znaleziony w udostępnionej przed tygodniem aktualizacji Transmission został już nazwany “KeRanger”. Uaktywnia się po trzech dniach od instalacji, zaszyfrowuje dane na komputerze, po czym wyświetla informację domagając się zapłaty w kwocie 1 bitcoinu (około 400 dol.) w zamian za odszyfrowanie danych.

Wszystkim, którzy zainstalowali feralną aktualizację w wersji 2.90, twórcy aplikacji zalecają natychmiastową aktualizację do najnowszej, udostępnionej wczoraj wersji 2.91.

Sposób na sprawdzenie, czy zainstalowana wersja 2.90 zawierała ransomware jest następujący:

  • używając aplikacji Terminal lub Finder sprawdź, czy w komputerze znajdują się pliki

/Applications/Transmission.app/Contents/Resources/ General.rtf

lub

/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf

Jeśli któryś z plików jest obecny, oznacza to, że aplikacja Transmission jest zainfekowana przez KeRanger i należy ją jak najszybciej usunąć.

Następnie należy sprawdzić, czy na komputerze aktywny jest proces “kernel_service”:

  • otwórz Monitor Aktywności i sprawdź, czy na liście aktywnych procesów znajduje się “kernel_service”;
  • jeśli tak, kliknij w niego dwukrotnie, wybierz “Otwarte pliki i porty” i sprawdź, czy znajduje się tam plik “/Users/<username>/Library/kernel_service”
  • jeśli tak, zamknij proces “kernel_service” klikając w “Zakończ -> Wymuś zakończenie”.

Trzeba też sprawdzić, czy w katalogu ~/Library  znajdują się pliki “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service”. Jeśli tak, należy je skasować.

Jeśli złośliwe oprogramowanie zdążyło już zaszyfrować Twoje dane, nie zaleca się płacenia “okupu”, jako że nie ma żadnej gwarancji, że po zapłacie dane zostaną rzeczywiście odszyfrowane.

Więcej szczegółowych informacji znajdziesz w artykule ekspertów z Palo Alto Networks.

Podłącz się do ThinkApple na TwitterzeFacebooku lub Google+ żeby nie przegapić żadnych informacji ze świata Apple.

Źródło: MacRumors

* Ransomware został znaleziony w OS X już wcześniej – w 2014 r., ale z uwagi na to, że był niedokończony, był zupełnie nieszkodliwy – nie mógł wyrządzić żadnych szkód na komputerze.

ZGSklpe-jcpal-lightning

BLACK DEALS - mega oferty na APPLE w LANTRE

Podłącz się do nas na Twitterze lub Facebooku, żeby nie przegapić żadnych informacji ze świata Apple.

Poprzedni post:

Następny post: