BitTorrent Transmission infetta i Mac, ecco come rimuovere il ransomware

Silvia
7 Mar 2016

BitTorrent Transmission

La scorsa settimana dopo anni di silenzio, il noto software BitTorrent Transmission per Mac ha raggiunto un nuovo aggiornamento che lo porta alla versione V2.90 creando qualche complicanza alla privacy e alla sicurezza del sistema operativo di Apple Mac OS X. Con l’update di BitTorrent Transmission è arrivato anche un ransomware, un tipo di malware che limita l’accesso del dispositivo che infetta, richiedendo un riscatto (random in Inglese) da pagare per rimuovere la limitazione.

Fortunatamente il team di sviluppo a capo del progetto BitTorrent Transmission ha prontamente pubblicato un comunicato ufficiale spiegando agli utenti come rimuovere questo tipo di malware e oggi ha rilasciato un aggiornamento che mette in sicurezza i Mac infetti rimuovendo i file relativi al ransomware

BitTorrent Transmission per Mac

Ogni utente che ha in esecuzione BitTorrent Transmission 2.90 su OS X deve immediatamente ricorrere all’aggiornamento ed eseguire la versione 2,92, in quanto potrebbero avere scaricato un file infetto da malware. Questa nuovaversione farà in modo che il file “OSX.KeRanger.A” ransomware sia correttamente rimosso dal computer.

Tutti gli utenti che hanno eseguito l’aggiornamento con la versione infetta di BitTorrent Transmission sono tenuti ad aggiornare all’ultimo update il software per evitare considerevoli blocchi al sistema operativo irrimediabili. Anche gli utenti che non hanno installato la versione infetta da ransomware, se vogliono utilizzare BitTorrent Transmission per Mac, devono verificare di eseguire l’installazione della versione 2.92 che possono scaricare direttamente da qui.

In alternativa, con la precedente versione, il ransomware viene installato sul vostro Mac anche se direttamente scaricato il DMG dell’aggiornamento dal sito di BitTorrent Transmission, e se non se è stato installato l’aggiornamento rimane dentro l’applicazione stessa.

Il ransomware chiamato “KeRanger” si avvia automaticamente utilizzando la crittografia dei dischi rigidi tre giorni dopo aver infettato un Mac e poi chiedere agli utenti dei soldi per consentire loro di recuperare i propri dati. Il riscatto è di 1 Bitcoin, circa $ US400.

Mentre questo tipo di malware ransomware rappresentano minacce abbastanza comuni sui sitemi Windows, questo è il primo noto che ha colpito gli utenti Mac su larga scala.

Dal sito ufficiale di Palo Alto Research arrivano le indicazioni complete per identificare il problema ed essere sicuri di rimuovere tutte le stringhe e i file proprietari del ransomware:

Come proteggersi

Gli utenti che hanno scaricato direttamente BitTorrent Transimission dal sito ufficiale dopo le 11:00 am PST 4 marzo 2016 e prima delle 7:00 pm PST, 5 marzo 2016, potrebbero essere stati infettato dal KeRanger. Se il programma di installazione di Transmission è stato scaricato in precedenza o scaricato da siti di terzi, si consiglia inoltre agli utenti di eseguire i seguenti controlli di sicurezza. Gli utenti delle versioni precedenti di Transimission non sembrano essere stati colpiti fin d’ora, ma è meglio eseguire le opportune verifiche

Suggeriamo agli utenti adottare le seguenti misure per identificare e rimuovere il KeRanger il virus che racchiude i propri file a scopo di estorsione:

  1. Utilizzando il Terminale o Finder, verificare se /Applications/Transmission.app/Contents/Resources/ General.rtf o /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf esistono. Se uno di questi file esistono, l’applicazione di trasmissione è infetta e suggeriamo l’eliminazione di questa versione di BitTorrent Transimission.
  2. Uso di “Monitoraggio Attività” preinstallato in OS X, controllare se qualsiasi processo denominato “kernel_service” è in esecuzione. Se è così, controllare il processo, scegliere l’opzione “Apri File e Porte” e verificare se vi è un file dal nome come “/ Users / <nomeutente> / Library / kernel_service” (Figura 12). Se è così, questo processo è il processo principale di KeRanger. Vi suggeriamo di terminare il processo con “Quit -> Uscita forzata”.
  3. Dopo questi passaggi,  consigliamo di controllare gli utenti se i file “.kernel_pid”, “.kernel_time”, “.kernel_complete” o “kernel_service” esistente nella directory ~ / Library. Se sono stati creati, si dovrebbero eliminare.

fig12

Figura 12 Il processo del malware  “kernel_service”

Dal momento che Apple ha revocato il certificato abusato e ha aggiornato le firme XProtect, se un utente tenta di aprire una versione infetta di BitTorrent Transimission, una finestra di avviso verrà mostrata che indica che il file “Transmission.app” sarà in grado di danneggiare il computer. Si dovrebbe spostarlo nel Cestino, oppure se BitTorrent Transimission.app  non può essere aperta, si deve espellere l’immagine disco.

In ogni caso se si nota uno di questi avvertimenti, si consiglia di seguire le istruzioni di Apple per evitare di essere colpiti dal ransomware.

Lascia la tua opinione