KeRanger è il nome del primo ransomware OSX ufficiale che attacca i computer della famiglia Mac sequestrando i file ( Cryptolocker ), che possono essere perciò sbloccati solo attraverso un meccanismo che prevede, similmente ad una reale situazione analoga, il pagamento di un riscatto per la loro decodifica e quindi per poter tornare alle condizioni di normale utilizzo. Un malware che si diffonde attraverso Transmission 2.90 sui computer targati Apple. Vediamo di scoprire qualcosa in più in merito a questo famigerato nuovo virus.
Ransomware Mac, e variante Cryptolocker
I file infettati attraverso il software malevolo subiscono una codifica che si de-materializza solo a seguito del versamento del corrispettivo in denaro sulla base delle istruzioni fornite dal malintenzionato. In tutto e per tutto il comportamento di un vero e proprio ransomware cryptolocker già visto su analoghe piattaforme PC Windows.
Come al solito la fonte è Palo Alto Network, un’autorità nel campo dell’individuazione virus. In particolare si è scoperto che alcune copie del noto client torrent Transmission 2.90 veicolavano il virus che rende inaccessibili i file degli utenti che possono perciò decriptarli solo a seguito del pagamento del riscatto virtuale.
Gli sviluppatori del software hanno prontamente provveduto a rilasciare un aggiornamento per la loro applicazione intimando l’immediata installazione del nuovo prodotto a tutti i propri utenti. Nello specifico viene indicato di procedere all’immediata disinstallazione dell’attuale versione a favore dell’aggiornamento alla versione Transmission 2.9.
In tal caso la sicurezza dei propri file e dati può essere garantita. Infatti, il team ha provveduto alla revoca dei certificati di attendibilità per KeRanger sulle nuove versioni del programma. Fatto che garantisce in un certo tal modo una certa sicurezza. 
Ad ogni modo non vi è modo di verificare l’entità del danno e la presenza o meno del ransomware in questione a meno di intraprendere una specifica procedura rilasciata dagli esponenti di Palo Alto Network che hanno posto sotto analisi il malware.
Per procedere alla verifica dell’infezione sul proprio Mac, occorre seguire la seguente procedura:
- Aprite una finestra Terminale o Finder al fine di verificare la presenza del file
/Applications/Transmission.app/Contents/Resources/ General.rtf o /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
In caso di riscontro positivo alla ricerca sappiate che siete infetti oltre ogni ragionevole dubbio. Occorre in tal caso rimuovere quanto più presto possibile l’applicazione imputata. - Aprite Monitoraggio Attività e operate un controllo sull’attività del file di processo kernel_service.
Se attivo, premete due volte sulla relativa voce e portatevi su Porte e File Aperti. - Nella lista verificate la presenza di /Users/<nomeutente>/Library/kernel_service.
In caso affermativo KeRanger ransomware è attivo e dovrete forzosamente killare il processo. Arrestatelo e proseguite. - A seguito della precedente procedura controllate eventualmente anche la presenza dei file:
kernel_pid, kernel_time, kernel_complete e kernel_service contenuti all’interno della cartella ~/Library directory. Se i rilevamenti danno esito positivo procedete all’immediata eventuale eliminazione di detti file.
Leggi anche: Come proteggere il vostro Mac dai Virus Ransomware
Bene, siete così riusciti ad eliminare la minaccia. Ricordatevi di procedere tempestivamente all’eliminazione del software in questione nonché al suo aggiornamento ed al conseguente rispetto della procedura vista in precedenza onde evitare di cadere nella trappola del ransomware che cripterà i vostri file senza possibilità di intervento se non a seguito del rispettivo pagamento richiesto. Difendetevi subito. Lasciateci tutte le vostre impressioni nel caso in cui sospettiate un tentativo di infezione o nel caso in cui siate già caduti vittima della minaccia. VIA
