Cerca nel blog

giovedì 10 marzo 2016

Scoperto KeRanger, il primo ransomware per Mac che si diffonde attraverso l'applicazione Transmission

Il ransomware potrebbe criptare più di 300 estensioni di file, inclusi documenti, foto, video e archivi
Roma, 10 marzo 2016 – I ricercatori di ESET, il più grande produttore di software per la sicurezza digitale dell'Unione Europea, hanno fornito un'analisi completa di KeRanger, il primo ransomware per Mac che si diffonde attraverso Transmission, un client BitTorrent comunemente usato su OS X.

La versione pericolosa di Transmission, la 2.90, è rimasta disponibile per il download tra lo scorso 4 e 5 marzo ed era firmata con un certificato legittimo dallo sviluppatore. A tutti gli utenti è stato raccomandato di aggiornare immediatamente il dispositivo con la versione 2.91, in quanto sarebbero potuti diventare vittime di un nuovo ransomware.
Una volta eseguito KeRanger, scoperto per la prima volta da Palo Alto Networks, rimane nascosto per tre giorni prima di attivare le proprie funzioni crittografiche. Al giorno stabilito il malware si connette a uno dei 6 siti ospitati nella rete TOR per scaricare un messaggio di riscatto e una chiave RSA pubblica. La connessione alla rete TOR avviene attraverso i gate pubblici di TOR2WEB.
Il Trojan OSX/Filecoder.KeRanger.A conteggia tutti i file presenti nelle cartelle /Users e /Volumes folders quindi tenta di codificarli. Per la codifica usa un sistema crittografico estremamente potente – il malware sceglie a caso una chiave a 256-bit per l'algoritmo AES, cripta il file, poi cripta la chiave AES attraverso l'algoritmo RSA e salva il blob codificato nel file. Quindi differenti file avranno differenti chiavi di codifica.
Il ransomware potrebbe criptare più di 300 estensioni di file, inclusi documenti, foto, video e archivi. Il file codificato cambia la sua estensioni in .encrypted e a questo punto KeRanger crea un file di testo con una richiesta di riscatto in tutte le cartelle con file codificati. Da notare che le parole del messaggio vengono scaricate dal server di comando e controllo e possono quindi essere modificate dai criminali in qualsiasi momento, permettendo tra le altre cose di modificare l'ammontare del riscatto.
Per verificare che il KeRanger non sia presente su un dispositivo Mac bisogna controllare che sul sistema siano presenti i seguenti file, eliminarli e disinstallare l'app Transmission:
/Applications/Transmission.app/Contents/Resources/ General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
%HOME_DIR%/Library/kernel_service/kernel_service
%HOME_DIR%/Library/kernel_service/.kernel_pid
%HOME_DIR%/Library/kernel_service/.kernel_time


Per maggiori informazioni su KeRanger è possibile visitare il blog WeLiveSecurity di ESET al link http://www.welivesecurity.com/2016/03/07/new-mac-ransomware-appears-keranger-spread-via-transmission-app/









ESET, fondata nel 1992, è uno dei fornitori globali di software per la sicurezza informatica di pubbliche amministrazioni, aziende e utenti privati. Il software ESET NOD32 Antivirus fornisce una protezione in tempo reale da virus, worm, spyware e altri pericoli, conosciuti e non, offrendo il più elevato livello di protezione disponibile alla massima velocità e con il minimo impiego di risorse di sistema. NOD32 è l'antivirus che ha vinto il maggior numero di certificazioni Virus Bulletin 100% e dal 1998 non ha mai mancato l'individuazione di un virus ItW (in fase di diffusione). ESET NOD32 Antivirus, ESET Smart Security e ESET Cybersecurity per Mac rappresentano le soluzioni per la sicurezza informatica più raccomandate a livello mondiale, avendo ottenuto la fiducia di oltre 100 milioni di utenti. L'azienda, presente in 180 Paesi, ha il suo quartier generale a Bratislava e uffici e centri di ricerca a San Diego, Buenos Aires, Singapore, Praga, Cracovia, Montreal, Mosca. Per quattro anni di seguito ESET è stata inclusa fra le aziende Technology Fast 500 EMEA da Deloitte e per dieci anni consecutivi fra le aziende Technology Fast 50 Central Europe. Per maggiori info: www.eset.it

FUTURE TIME è il distributore esclusivo dei prodotti ESET per l'Italia, nonché suo partner tecnologico. Fondata a Roma nel 2001, Future Time nasce dalla sinergia di due preesistenti aziende attive da anni nel campo della sicurezza informatica. Future Time, con Paolo Monti e Luca Sambucci, fa parte della WildList Organization International, ente no profit a livello mondiale composto da esperti e aziende antivirus che hanno il compito di riportare mensilmente tipologia e numero dei virus diffusi in ogni Paese. Per maggiori info: www.eset.it

Nessun commento:

Posta un commento

Tutte le news della Rete le trovi sul:


Giornale online realizzato da una redazione virtuale composta da giornalisti e addetti stampa, professionisti di marketing, comunicazione, PR, opinionisti e bloggers. Il CorrieredelWeb.it vuole promuovere relazioni tra tutti i comunicatori e sviluppare in pieno le potenzialità della Rete per una comunicazione democratica e partecipata.

Disclaimer

www.CorrieredelWeb.it e' un periodico telematico senza scopi di lucro, i cui contenuti vengono prodotti al di fuori delle tradizionali industrie dell'editoria o dell'intrattenimento, coinvolgendo ogni settore della Societa' dell'Informazione, fino a giungere agli stessi utilizzatori di Internet, che divengono contemporaneamente produttori e fruitori delle informazioni diffuse in Rete. In questo la testata ambisce ad essere una piena espressione dell'Art. 21 della Costituzione Italiana.

Pur essendo normalmente aggiornato piu' volte quotidianamente, CorrieredelWeb.it non ha una periodicita' predefinita e non puo' quindi considerarsi un prodotto editoriale ai sensi della legge n.62 del 7.03.2001.

L'Autore non ha alcuna responsabilita' per quanto riguarda qualità e correttezza dei contenuti inseriti da terze persone. L'Autore si riserva, tuttavia, la facolta' di rimuovere quanto ritenuto offensivo, lesivo o contraro al buon costume.

Le immagini e foto pubblicate sono in larga parte strettamente collegate agli argomenti e alle istituzioni o imprese di cui si scrive. Alcune fotografie possono provenire da Internet, e quindi essere state valutate di pubblico dominio. Eventuali detentori dei diritti d'autore non avranno che da segnalarlo via email alla redazione, che provvedera' all'immediata rimozione o citazione della fonte, a seconda di quanto richiesto.

Viceversa, sostenendo una politica volta alla libera circolazione di ogni informazione e divulgazione della conoscenza, ogni articolo pubblicato sul CorrieredelWeb.it, pur tutelato dal diritto d'autore, può essere ripubblicato citando la legittima fonte e questa testata secondo quanto previsto dalla licenza Creative Common.

Questa opera è pubblicata sotto una Licenza Creative Commons Creative Commons License

CorrieredelWeb.it è un'iniziativa del Cav. Andrea Pietrarota, Sociologo della Comunicazione, Public Reporter, e Giornalista Pubblicista

indirizzo skype: apietrarota