Via Lupariello, 44
82032 Cerreto Sannita (BN)

+39.0824.816.268
Fax +39.0824.860137
posta@eurekasistemi.com

Scovato KeRanger, il primo virus che blocca un Mac e poi chiede il riscatto. Ecco come comportarsi

Sono finiti i tempi in cui un computer Apple tiene al riparo dai malware? Forse. Secondo alcune notizie diffuse qualche ora fa sui media di settore, infatti, è stato riscontrato il primo ransomware completo per sistemi Mac OS X. Si chiama KeRanger e pare abbia già colpito con “successo” alcune macchine made in Cupertino, lasciando agli utenti un'unica schermata con le modalità di pagamento per sbloccare il computer. A scoprirlo sono stati ricercatori dell'azienda di sicurezza Palo Alto Networks.

 

Una storia che in orbita Microsoft è consolidata da anni e che invece aveva risparmiato, finora, la galassia Apple. Qui le scuole di pensiero sono almeno due. La prima è che Apple sia rimasta all'ombra dagli attacchi informatici perché i suoi sistemi così chiusi sono molto più difficili da bucare. La seconda è che, essendo quello dei malware un vero e proprio business, gli attacchi si siano concentrati sempre sugli ambienti Windows per un fatto di numeri e diffusione (più macchine uguale più utenti potenzialmente infettati). Potrebbero essere vere entrambe, anche perché a sostegno della seconda ipotesi c'è la forte diffusione di device Apple negli ultimi anni. Ma andiamo con ordine.

Cos'è un ransomware 

Quando parliamo di ransomware ci troviamo davanti a un tipo di malware che, per qualche ragione, si installa illegalmente sul computer dell'utente, senza che questo abbia dato un'autorizzazione. Gli effetti sono dannosi. I cracker (termine coniato da Richard Stallman per indicare gli hacker cattivi), grazie al ransomware riescono a prendere possesso della macchina (o di alcuni file) e a bloccarla. Per l'utente il risultato è una finestra aperta in pop-up che chiede il pagamento di una somma di danaro per sbloccare il computer. Una sorta di riscatto. La beffa (oltre al danno) è che molto spesso anche dietro al pagamento del “riscatto” non corrisponde lo sblocco del computer.
Come si è diffuso KeRanger
Il ransomware che ha colpito i Mac si è diffuso, come trojan, attraverso un client torrent: il Trasmission. Si tratta di uno di quei software che servono per scaricare contenuti dalla Rete con protocollo p2p. Più precisamente, il malware era presente nell'installer della versione 2,90. E non è ancora chiaro in che modo i cyber criminali siano riusciti a bucare l'applicazione. Si sa con certezza, invece, che l'infezione ha avuto luogo il 4 marzo scorso, data di rilascio della versione 2,90. Mentre meno di 24 ore più tardi Apple era già al corrente dell'accaduto. Chiariamo subito che sia l'azienda di Cupertino che la stessa società produttrice di Trasmission hanno risolto il caso quasi subito. Gli ingegneri di Apple hanno ritirato il certificato digitale del programma (rendendolo dunque non più installabile), mentre di Trasmission è già stata diffusa la versione 2,92 debellata dal virus.
Cosa possono fare gli utenti Mac
I possessori di un Mac, comunque, possono controllare se il loro sistema è infetto attraverso qualche rapido passaggio, riportato dai diversi siti settoriali. Innanzitutto è bene cercare se esiste un file su General.rtf, (e in caso affermativo eliminarlo il prima possibile spostandolo nel cestino e svuotando quest'ultimo, nda) scandagliando nelle cartelle /Applications/Transmission.app/Contents/Resources/ e /Volumes/Transmission/Transmission.app/Contents/Resources/. Questo file utilizza un'icona che assomiglia a un file RTF normale, ma in realtà è un file eseguibile Mach-O compresso con UPX 3.91. È inoltre noto che la prima volta che lo si esegue, KeRanger crea tre file “.kernel_pid”, “.kernel_time” e “.kernel_complete” nella directory / Library. Il malware sarà poi dormiente per tre giorni prima di attaccare il sistema. C'è da aggiungere che gli utilizzatori di Trasmission possono semplicemente scaricare la versione 2.92. L'update, infatti, non solo rimuove i file della vecchia versione ma anche il malware.