Ora la faccenda è seria: in circolazione si trova il primo ransomware per Mac. Ad individuarlo sono stato i tecnici di Palo Alto Networks, una società che si occupa di sicurezza, che hanno immediatamente dato l’allarme su un “virus” che potrebbe avere conseguenze devastanti
Il ransomware per Mac, opera come i Ransomware per PC: prende in ostaggio il computer e chiede, come dice il nome, un riscatto per liberarlo. Nel caso specifico il ransomware, “KeRanger”, apparso venerdì, è stato distribuito con l’applicazione Transmission 2.90, un software torrent la cui nuova versione era stata annunciata alcuni giorni fa. Chiunque ha installato questa versione deve attendersi entro tre giorni la cifratura, con blocco mediante password, del proprio disco fisso e l’apparizione di un messaggio con cui si chiede il pagamento di una cifra, non ancora quantificata, per liberarlo.
Apple, secondo quanto si apprende da Reuters, ha già revocato il certificato digitale che permetteva l’installazione di Transmission, ma a questo punto chi l’ha scaricato e installato potrebbe essere nei guai.
Usando “Montoraggio attività” controllate se esiste un processo denominato “kernel_service” . Se esiste controllare il processo (cmd+I) e scegliere porte e file aperti e verificare se c’è un file denominato “/Users/<username>/Library/kernel_service”. Questo è il processo principale di KeRanger.
La prima cosa da fare sarà forzare la chiusura del processo in esecuzione anche se potreste non essere ancora al sicuro. La cosa migliore è ripristinare il sistema operativo da un precedente back up.
È possibile che a breve possa essere distribuito un applicativo che sterilizza il Mac e rende effettivamente non efficace il ransomware, ma il fatto che in circolazione ci sia questo tipo di applicativo malevolo, determina un rischio latente e diffuso. È possibile che chi ha infettato Transmission possa fare la stessa cosa (o avere già fatto la stessa cosa) con altri programmi.
Ovviamente se siete stati colpiti dal ransomware la cosa migliore è non cedere al ricatto per differenti ragioni. Principalmente per non dare occasione di ritenere questa pratica conveniente ed incentivare a simili azioni future, secondariamente perchè non sarete affatto certi che i malintenzionati diano corso alla promessa di sbloccare il vostro Mac.
Le modalità con cui opera KeRanger sono simili, in maniera inquietante, a quelle di Mabouia, un “proof of concept”, di fatto un esperimento da laboratorio, di un ricercatore brasiliano che lo scorso autunno aveva dimostrato che era possibile, come si vede qui sotto, creare un ransomware per Mac in grado di cifrare directory e anche l’intero disco fisso con una password e mostrare successivamente un messaggio con il quale viene richiesto un riscatto. Esattamente quel che fa il ransomware scoperto oggi.
