KeRanger, il primo ransomware per il Mac

Mon, 07 Mar 2016 21:00:00 +0000

La settimana scorsa anche OS X è capitolato, dimostrandosi vulnerabile ai terribili ransomware. Potrei aggiungere che prima o poi doveva succedere, ma non è così, queste cose su un sistema Unix non dovrebbero succedere.

Innanzi tutto cos’è un ransomware? Il ransomware è attualmente la forma più pericolosa e più dannosa di attacco informatico. Una volta penetrato in un computer, cripta tutti i documenti del malcapitato utente in modo tale che non possano assolutamente essere decodificati, a meno di non pagare un vero e proprio riscatto al creatore dell’attacco.

Insomma, un ricatto bello e buono, fatto persino intelligentemente (ammesso che si possa considerare intelligente una cosa del genere). La cifra richiesta per lo sblocco in genere non è eccessiva, e chi viene infettato è quasi sempre disposto a pagare pur di non perdere dei documenti, che siano di lavoro o personali, unici e spesso irrecuperabili da altre fonti. Pagano perfino i poliziotti.

Il ricattatore è comunque (dal suo punto di vista) onesto e, una volta ottenuto il pagamento, invia sempre il codice di sblocco corretto. Ma solo perché non farlo sarebbe controproducente e ridurrebbe la probabilità che gli altri malcapitati chinino la testa e paghino come richiesto.

La facilità di guadagno e il rischio bassissimo di essere scoperti (il pagamento avviene tramite bitcoin non tracciabili) spinge a produrre nuovi ransoware sempre più pericolosi, creando una spirale di minacce e relativi pagamenti che è difficile spezzare.

Purtroppo contro i ransomware il backup non serve a niente, soprattutto se il disco di backup è sempre collegato al computer, come succede con Time Machine. Il ransomware non si fa problemi, e infetta tranquillamente tutti i dischi esterni e perfino quelli connessi in rete, come i NAS. Anche Dropbox e simili non servono a molto: i file criptati vengono salvati su Dropbox e, anche se sono disponibili le versioni precedenti in chiaro dei file, in caso di infezione sarebbe una vero problema doversele andarsele a cercare ad una ad una.

Finora i ransomware si sono limitati ad infettare Windows e, in qualche caso, anche Android. Fra tutti, il più famoso e diffuso è di sicuro CryptoLocker, con cui ho (purtroppo!) avuto anch’io a che fare un anno fa, dopo che aveva infettato il computer di una conoscente (ma questa è un’altra storia).

Ora dopo alcune dimostrazioni di fattibilità praticamente inoffensive, alla fine anche su OS X è arrivato un ransomware vero, OSX.KeRanger.A, che ha infettato Transmission, uno dei programmi più usati sul Mac per scambiare i file tramite il protocollo BitTorrent.

Le versioni infette di Transmission sono quelle scaricate dal sito web ufficiale fra le 20:00 del 4 marzo e le 4:00 del mattino del 6 marzo. Non è chiaro se possono essere infette anche le versioni aggiornate tramite rete nello stesso periodo.

In ogni caso, chi usa Transmission sul suo Mac (io sono fra questi) deve affrettarsi a controllare la versione installata, senza però lanciarla (le precauzioni non sono mai troppe).

Per farlo, basta cliccare con il tasto destro sull’icona di Transmission e selezionare la voce Chiedi Informazioni (oppure, da tastiera, cmd + I). La sezione Generale della finestra riporta il numero di versione dell’applicazione.

Se la versione installata di Transmission è la 2.90 si deve immediatamente cancellare l’applicazione dal Mac, magari usando uno strumento come AppCleaner che rimuove anche i file associati. Fatto questo, si può reinstallare la versione 2.92 di Transmission, non affetta dal ransomware, scaricandola dal sito ufficiale. Questa versione controlla ed eventualmente rimuove il ransomware presente sul Mac (sperando che non sia ormai troppo tardi), quindi è consigliabile installarla comunque, anche se si è deciso di non usare più Transmission.

Se invece la versione installata di Transmission è precedente alla 2.90, è sufficiente aggiornarla automaticamente alla 2.92 tramite rete.

Per ulteriori approfondimenti, consiglio di leggere questa pagina del forum di Transmission. Maggiori dettagli tecnici sull’infezione si trovano invece in questa pagina.

Un consiglio: cimentatevi ad analizzare il contenuto dell’applicazione, e a verificare che sia o meno infetta, solo se sapete esattamente cosa fare e, soprattutto, come evitare guai. Per tutti gli altri, la pulizia automatica è decisamente la strada più sicura.

Transmission on Melabit

KeRanger, il primo ransomware per il Mac