Scovato un ransomware che colpisce i Mac. Si chiama KeRanger e colpisce attraverso Torrent, il programma peer to peer per lo scambio di file. Niente panico: ecco come proteggersi.
Il ransomware si è diffuso nei Mac attraverso un client di BitTorrent: il Transmission. Il virus era stato inserito nella versione 2.9 del client che si è aggiornato già alla versione 2,92 dove la minaccia è stata risolta. Nonostante la velocità con cui sono intervenuti sia BitTorrent che Apple (ha rimosso il certificato digitale, il programma non è più installabile) il codice KeRanger è riuscito ad accedere ai Mac infettandoli.
Il ransomware crittografa tutti i file del Mac e quindi richiede circa $ 400 per sbloccarli. Un vero e proprio ricatto il cui pagamento non assicura la soluzione del problema
Cosa si può fare
I file infetti sono stati scaricati tra venerdì e domenica scorsi. Se pensi di avere un Mac a rischio ecco cosa consigliano i ricercatori della società di sicurezza Palo Alto Networks che ha scovato il virus:
- Primo passo
Controlla, tramite terminale o Spotlight, se esiste uno di questi file:
/Applications/Transmission.app/Contents/Resources/General.rtf /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
- Passo due
Se questi file si trovano sul Mac allora avete scaricato la versione infetta di Trasmission e dovrete eliminare l’applicazione dopo aver seguito i passi successivi.
- Passo tre
Avviare Activity Monitor e cercare di vedere se è in esecuzione un processo chiamato ‘kernel_service’.
- Passo quattro
Se è in esecuzione kernel_service fare doppio clic su di esso per vedere ulteriori informazioni sul processo e quindi selezionare il riquadro ‘Apri File e Porte’ a destra.
- Passo cinque
In Apri file e porte verificare se è presente un file del tipo: ‘/Users/<nomeutente>/Library/kernel_service’. Se questo esiste, allora avete trovato il processo principale di KeRanger.
- Passo sei
Terminare il processo utilizzando Uscita> Uscita forzata
- Passo sette
Ora utilizzare Spotlight per scoprire se uno dei seguenti file è presente nella directory ~ / Library:
- .kernel_pid,
- .kernel_time,
- .kernel_complete
- kernel_service
Se li trovate, eliminateli.
Si dovrebbe anche eliminare questa versione dell’app. Farlo utilizzando un’applicazione come AppCleaner, che troverà ed eliminerà anche tutti i file associati.
Ora potete dormire sonni tranquilli