KeRanger, il virus che infetta i Mac con BitTorrent: cosa fare

Ma sarebbero al massimo 6.500 i computer Apple colpiti. Su Windows furono 230mila

0
1341
KeRanger, apple, mac, malware, BitTorrent

Si chiama “KeRanger”. È un “malware” (malicious software), cioè un programma creato per causare danni a un computer. E ha segnato il tramonto di un’epoca: quella in cui tutti i computer Apple erano considerati sicuri e inattaccabili da virus. KeRanger, infatti, in queste ore è sulla bocca di tutti per essere il primo ransomware completo che p riuscito a colpire sistemi Mac OS X.

COS’È UN RANSOMWARE

Col termine “ransomware” ci si riferisce a un tipo di malware che si installa illegalmente sul computer dell’utente, permettendo a un utente remoto, un “cracker” (un hacker “cattivo”) di prenderne possesso o di bloccarlo. Alla vittima viene quindi rischiesto attraverso una finestra che appare sul desktop il pagamento di un vero e proprio riscatto per sbloccare il computer. Venerdì 4 marzo, per la prima volta da quando esistono i Mac, il problema è stato rilevato su un dispositivo Apple.

COME FUNZIONA KERANGER SU MAC

Ad accorgersi del malware è stato un team di ricercatori della Palo Alto Networks che ha trovato la falla, scoprendo che ad aprirla era stato un software approvato dalla stessa Apple, cioè il popolarissimo client BitTorrent Trasmission, utilizzato per scaricare file in Rete col sistema p2p.
Se un utente installava una delle versioni infette di Transmission, un file eseguibile incorporato all’interno del software si depositava sul sistema. Dopo tre giorni, KeRanger si collegava coi server attraverso la rete anonima Tor e iniziava la crittografia di alcuni file system del Mac. Dopo aver completato il processo rendeva inutilizzabile il dispositivo, chiedendo al proprietario del computer un riscatto di 400 dollari a un indirizzo specifico per recuperare i file presenti sul Mac.

CHI RISCHIA DI ESSERE INFETTATO DA KERANGER

Una volta scoperto il problema, gli sviluppatori hanno aggiornato il software BitTorrent Trasmission alla versione 2.92 (quella a rischio è la 2.90). Apple, inoltre, ha revocato il certificato utilizzato in questa occasione, impedendo di installare e avviare il programma. Chi ha scaricato BitTorrent Trasmission dal sito ufficiale tra il 4 e il 5 marzo 2016 potrebbe essere a rischio.

COME SAPERE SE IL PROPRIO MAC È INFETTO

È possibile scoprire se il proprio Mac è infetto seguendo i passaggi riportati dal blog di Palo Alto Network. Come prima cosa occorre cercare il file General.rtf che sembra un normalissimo file di testo ma chiaramente non lo è. Se lo si trova occorre eliminarlo e svuotare il cestino. I percorsi in cui è possibile trovarlo sono: /Applications/Transmission.app/Contents/Resources/ e /Volumes/Transmission/Transmission.app/Contents/Resources/.

COME RIMUOVERE IL VIRUS KERANGER

Per eliminare KeRanger occorre aprire “Monitoraggio Attività” e verificare se il processo “kernel_service” è attivo. In tal caso bisogna premere due volte su quella voce, andare su “Porte e file aperti” e verificare se nella lista di file c’è /Users//Library/kernel_service. In tal caso KeRanger è attivo. Si deve quindi chiudere forzandone l’arresto.KeRanger genera tre file “.kernel_pid”, “.kernel_time” e “.kernel_complete” nella directory nella cartella “~/Library directory”. Occorre eliminarli. Infine, per completare la rimozione del malware, è sufficiente scaricare la versione 2.92 di BitTorrent Trasmission che da solo rimuove i file della vecchia versione e il codice malevolo presente nell’installer.

6.500 MAC IOS INFETTI CONTRO 230MILA PC WINDOWS

Secondo la rivista americana Forbes sarebbero appena 6.500 i Mac potenzialmente infettati da KeRanger. Un numero davvero esiguo se paragonato ai più di 230.000 utenti Windows colpiti invece da un altro ransomware, il Cryptolocker. Numeri che mostrano come l’impatto del malware dedicato agli Apple sia stato molto ridotto. Secondo John Clay, uno dei responsabili del progetto Trasmission contattato da Forbes, ciò sarebbe dovuto «all’intervento di Apple che ha rapidamente bloccato il certificato ed ha aggiornato XProtect, un anti-malware della casa di Cupertino». Apple, dal canto suo, per il momento non ha rilasciato alcuna dichiarazione ufficiale in merito.