Populárny BitTorrent klient Transmission infikovaný, ako sa chrániť

Značky: softvérBitTorrentransomvérOS X / macOS

DSL.sk, 7.3.2016

V krátkom čase má už druhý mimoriadne populárny open source softvér problém s infekciou jeho oficiálnych inštalačných súborov, keď sa po linuxovej distribúcii Linux Mint podobný incident teraz vyskytol u populárneho BitTorrent klienta Transmission.

Tvorcovia softvéru o infekcii informujú na svojich stránkach, viac detailov ponúka bezpečnostná spoločnosť Palo Alto Networks, ktorá infekciu odhalila.

Infikovaný bol konkrétne inštalačný súbor verzie 2.90 pre operačný systém OS X, ktorý bol ponúkaný na stiahnutie od piatka 4. marca 20:00 nášho času do nedele 6. marca 4:00. Ako útočníci dokázali ponúknuť infikovanú verziu na oficiálnych stránkach softvéru zatiaľ tvorcovia neinformovali.

Inštalátor, ktorý bol síce podpísaný ale iným certifikátom ako predchádzajúce verzie, konkrétne nainštaloval ransomware KeRanger, podľa Palo Alto Networks vôbec prvý funkčný ransomware pre OS X.

KeRanger podľa popisu spoločnosti po nainštalovaní presne tri dni čaká a následne začne šifrovať súbory užívateľa algoritmom AES s individuálnym symetrickým kľúčom pre každý súbor, následne uloženým zašifrovane pomocou 4096-bitového RSA kľúča stiahnutého z riadiacich serverov útočníkov.

Transmission na OS X, kliknite pre zväčšenie (screenshot: Transmission)

Škodlivý softvér komunikuje s riadiacim softvérom cez sieť Tor, pričom informačné stránky prevádzkuje ako skryté služby v Tor sieti a za odšifrovanie dát požaduje zaplatenie výkupného vo výške jedného Bitcoinu, v prepočte cca 400 dolárov.

Prvé obete majú pri popísanom správaní ransomwaru čas do dnes do 20:00, aby sa infekcie zbavili predtým ako začne byť aktívna. Bezpečnostná spoločnosť ale odhalila aj inú verziu KeRanger, ktorá síce čaká na aktiváciu tri dni ale medzitým kontaktuje riadiace servery. Potenciálne by ju tak tvorcovia mohli aktivovať skôr, či boli touto verziou infikované inštalačné súbory Transmission v niektorom čase oficiálne ponúkané zo stránok projektu nie je známe.

V každom prípade infekciu je možné odhaliť prítomnosťou súboru General.rtf v inštalačnom súbore aplikácie, v priečinku /Applications/Transmission.app/Contents/Resources/. Ďalej bežiaci ransomware je možné odhaliť ako bežiaci proces s menom kernel_service, ktorý je nainštalovaný v Library priečinku užívateľa. Po jeho násilnom stopnutí cez Activity Monitor je potrebné súbor odstrániť vrátane ďalších vytvorených súborov .kernel_pid, .kernel_time a .kernel_complete.

Jednoduchším riešením pre bežných užívateľov je odstránenie hrozby jednoducho nainštalovaním novej verzie Transmission 2.92, ktorá sama prípadnú predchádzajúcu infekciu odstráni. Užívateľom je ale samozrejme podľa vyššie popísaných krokov odporúčané následne skontrolovať úspešné odstránenie ransomwaru.

Transmission je v krátkom čase druhým populárnym softvérom, ktorý postihol podobný incident. 20. februára ponúkala po hacku odkazy na stiahnutie infikovaných ISO inštalačného DVD aj populárna linuxová distribúcia Linux Mint.




Najnovšie články:



Diskusia:

u mad. Od: u mad? | Pridané: 7.3.2016 9:49 Tak mam postarane dnes vecer o zabavu. Odpovedať Známka: 8.6 Hodnotiť:

Re: u mad. Od: kladniks | Pridané: 7.3.2016 9:57 Uži si pekný večer Odpovedať Známka: 6.7 Hodnotiť:

Re: u mad. Od: superTUX | Pridané: 7.3.2016 9:59 ja som zo stahovanim cez torenty skoncil asi tak pred 5 rokmi .. mne to nevadi. Ono treba co najmenej instalovat zo stranok a co najviac cez app store. Mimo app store mam iba vlc nainstalovane viac mi netreba . ktovie mozno aj ten bude hacknuty niekedy v buducnosti podobne ako transmission v tomto pripade, ale vsimnite si jednu vec , ze infikuju sa len softwary urcene na distribuciu warezu a infekcie obsahuju iba warez verzie softwarov. Odpovedať Známka: -8.9 Hodnotiť:

Re: u mad. Od: fdsir | Pridané: 7.3.2016 10:03 a co ma Mint s distribuciou warezu? Odpovedať Známka: 7.8 Hodnotiť:

Re: u mad. Od: shelldonQuijote | Pridané: 7.3.2016 10:27 Napríklad spoliehaním sa na dobrý úmysel vynechania "may be" pri preklade "and may be traded, in general violation of copyright law" do "s ktorými je nakladané v rozpore s autorským právom" chápanie, založené na jednojazyčných encyklopedických znalostiach. Odpovedať Známka: -7.8 Hodnotiť:

FBI - Apple Od reg.: Trolitel | Pridané: 7.3.2016 10:14 To spravil Apple aby sa mohol vyhovoriť že oni nemajú mať z kade šifrovacie kľúče. Teraz každému to dajú zašifrovať takto a nikto im nič nemôže! :O Odpovedať Známka: 10.0 Hodnotiť:

divné veci Od: party | Pridané: 7.3.2016 10:25 mne zase cez f-droid prišlo upozornenie na novú verziu vlc (1.9), ktorá má ale tiež odlišný podpis. zdá sa mi to podozrivé. Odpovedať Známka: 8.0 Hodnotiť:

trans Od: nomi | Pridané: 7.3.2016 12:12 cekol som to a mal som nainstalovanu verziu 2.90 ale ziadne General.rtf tam nebolo, pre istotu som odinstaloval, ani v pozadi nebezal kernel_service, je mozne ze som mal neinfikovanu verziu? nepamatam si kedy som dal transmission aktualizovat Odpovedať Známka: 6.7 Hodnotiť:

Re: trans Od: nomi | Pridané: 7.3.2016 12:28 takze som sa docital, ked spravite update cez program tak ste v pohode Odpovedať Známka: 4.3 Hodnotiť:

ransomware... Od: LMzPD | Pridané: 7.3.2016 13:10 ...ty cviňa! Odpovedať Známka: 6.7 Hodnotiť:

mac osx Od: gfdfgbjjfdhjkl | Pridané: 7.3.2016 14:07 Takú kokotinu na osx si nainstaluje len uzivatel bfu každý predsa Apple kritizuje v tom aký obmedzený drm systém to je co sa app store týka to sa pokusa skopirovat a prejsť na tuto formu (ale neúspešne) aj Microsoft .... Napr taký linux ma balickovaci systém distribucie softu kde 99% veci je v repozitaroch a netreba si binarly stahowat z webu ako u Windows Prepacte za preklepy píšem to z Windows mobilu som schizofrenik Odpovedať Známka: 0.0 Hodnotiť:

Re: mac osx Od: Borat | Pridané: 7.3.2016 15:01 Uz som si myslel ze si vegan. Odpovedať Známka: 7.5 Hodnotiť:

Re: mac osx Od: assdre | Pridané: 7.3.2016 21:28 vegan ? nikdy ! slanina a klobasa mi chuti velmi Odpovedať Známka: 10.0 Hodnotiť:

Re: mac osx Od: ericek111 [MB] | Pridané: 7.3.2016 21:47 MacBook (práve z neho píšem, jo a je to najnovší MacBook Air s vylepšenou RAMkou... a som vegán) má App Store .) Odpovedať Známka: -6.0 Hodnotiť:

Re: mac osx Od: veganosix | Pridané: 7.3.2016 23:45 na macbooku sa mi aj lepsie honi oproti pc lebo mozem vidiet detialy na pici v kvalite 5k ako nikdy predtym som spokojny uzivatel Odpovedať Známka: 10.0 Hodnotiť:

Re: mac osx Od: tvoja mama | Pridané: 8.3.2016 0:17 naco ti je 5k ked aj tak porno pozeras v SD na pornhube? Odpovedať Známka: 0.0 Hodnotiť:

Re: mac osx Od: papierik111 [dgš] | Pridané: 9.3.2016 5:56 Vsak si to napriblizujem nejakou appkou s obchodu Odpovedať Hodnotiť:

Re: mac osx Od: ericek111 [Win7] | Pridané: 9.3.2016 20:18 MacBook Air má len 1600x900px. :D Odpovedať Hodnotiť:

mac osx Od: gfdfgbjjfdhjkl | Pridané: 8.3.2016 18:15 Takú kokotinu na osx si nainstaluje len uzivatel bfu každý predsa Apple kritizuje v tom aký obmedzený drm systém to je co sa app store týka to sa pokusa skopirovat a prejsť na tuto formu (ale neúspešne) aj Microsoft .... Napr taký linux ma balickovaci systém distribucie softu kde 99% veci je v repozitaroch a netreba si binarly stahowat z webu ako u Windows Prepacte za preklepy píšem to z Windows mobilu som schizofrenik Odpovedať Hodnotiť:

Re: mac osx Od: Okres linux | Pridané: 9.3.2016 8:38 A ešte k tomu si kokot. Odpovedať Hodnotiť:

Pridať komentár