תוכנת כופר היא תוכנה זדונית מגעיל במיוחד: לאחר שהמחשב שלך נדבק, הוא מצפין את הנתונים שלך ומסרב לתת לך את המפתח אלא אם כן אתה משלם ליצרנים שלו סכום כסף. פרט לטעויות בולטות בהטמעת התוכנה הזדונית, תשלום הוא בדרך כלל הדרך האפשרית היחידה להחזיר את הנתונים שלך, במיוחד אם אין לך גיבוי.

כעת, לפי חברת האבטחהPalo Alto Networks, התגלתה תוכנת הכופר הפונקציונלית הראשונה שפועלת ב-OS X של אפל.

המכונה KeRanger, התוכנה הזדונית הוטבעה בגרסה 2.90 של תוכנת השידור, בדרך כלל אפליקציית BitTorrent לגיטימית. הוא ממתין שלושה ימים לפני שהוא מצפין סוגים מסוימים של נתונים במערכת נגועה, ואז הוא מבקש ביטקוין אחד (בסביבות 405 דולר) כופר.

הגרסאות הנגועות של מתקין Transmission זוהו ב-4 במרץ, וכל מי שהוריד את Transmission 2.90 בסביבות התאריך הזה עשוי להדביק את מכונת ה-OS X שלו בתוכנה הזדונית KeRanger.

זמן קצר לאחר גילוי ההדבקה, פרסמה Transmission גרסה חדשה של הלקוח שלה, Transmission 2.92, שאמורה להיות נקייה מתוכנות זדוניות.

"כל מי שמפעיל את 2.90 ב-OS X צריך לשדרג מיד ולהפעיל את 2.92, מכיוון שייתכן שהם הורידו קובץ נגוע בתוכנה זדונית. גרסה חדשה זו תוודא שתוכנת הכופר "OSX.KeRanger.A" (מידע נוסף זמין כאן) תקינה הוסר מהמחשב שלך", נכתב בהודעה בשידור הרשמיאֲתַר אִינטֶרנֶט.

טיפים להיפטר מהתוכנה הזדונית

Palo Alto Networks מציעה כמה טיפים למשתמשים שחושבים שהמערכת שלהם עשויה להיות נגועה. ראשית, ב-Finder, בדוק את קיומו של קובץ "/Applications/Transmission.app/Contents/Resources/ General.rtf" או "/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf". אם הקובץ קיים, אפליקציית השידור שלך נגועה ועליך למחוק אותו.

המשתמשים צריכים גם לבדוק, באמצעות Activity Monitor, האם פועל תהליך שנקרא "kernel_service". אם כן, על המשתמשים לבדוק פעמיים את התהליך, לבחור "פתח קבצים ויציאות" ולבדוק אם יש שם קובץ כמו "/משתמשים//Library/kernel_service". יש לסיים את תהליך "kernel_service" באמצעות Quit - Force Quit.

מי שמוצא זיהום במחשב שלו צריך לבדוק בספריית ~/Library שלו קבצים בשם ".kernel_pid", ".kernel_time", ".kernel_complete" או "kernel_service". יש למחוק גם את הקבצים האלה.

איך זה קרה?

מכיוון ש-Transmission היא אפליקציית OS X לגיטימית, והיא דורשת התקנת אישור חתום על ידי אפל, איך יכול להיות שההדבקה תתרחש מלכתחילה?

לפי Palo Alto Networks, שני מתקיני Transmission הנגועים ב-Keranger הוחתמו עם תעודה שהונפקה על ידי אפל. לא ברור איך המתקינים השורצים בתוכנות זדוניות הגיעו לאתר האינטרנט של Transmission - האתר יכול היה להיפרץ, למשל, אבל אין הוכחה בשלב זה שזה מה שקרה.

האישור בוטל מאוחר יותר על ידי אפל, כך שניסיון להפעיל גרסה נגועה של Transmission אמור להוביל לשיח אזהרה, האומר שהאפליקציה תפגע במחשב שלך או שלא ניתן לפתוח אותה.

דובר אפל סירב למסור פרטים כלשהם, מלבד חזר והדגיש כי החברה ביטלה את האישור הדיגיטלי שאיפשר את התקנת התוכנה הזדונית במחשבי מק.

תוכנה זדונית דומה הדורשת כופר נראתה בעבר במכונות Windows ומערכות הפעלה אחרות, אך לא ב-OS X. בפברואר דרשו האקריםמיליוני דולריםכופר כדי לפענח את הנתונים השייכים לבית חולים בהוליווד, אם כי בסופו של דבר בית החולים יצא משם בתשלום של 17,000 דולר.

יש לך מה להוסיף לסיפור הזה? שתפו אותו בתגובות.