Ransomware per Mac OS cripta i file, a rischio anche la Time Machine

Uno dei primi ransomware per Mac OS X è stato scovato all’interno di un programma per scaricare file dalla rete BitTorrent, chiamato Transmission. La notizia è stata pubblicata sul sito transmissionbt.com che avvisa gli utenti che nella versione 2.90 del software è stato rilevato un malware chiamato KeRanger, con le caratteristiche di un ransomware, in grado quindi di criptare i documenti degli utenti e chiedere un riscatto in bitcoin. I ricercatori che hanno analizzato il ransomware hanno rilevato che il trojan contiene una routine che tenta di cancellare i backup dalla Time Machine per impedire alle vittime di recuperare i file criptati ma al momento non ha effetto. A differenza di altri ransomware, KeRanger per Mac OS X fornisce alle vittime un sistema di ticketing online con il quale chiedere assistenza  ed essere guidati nel pagamento del riscatto in bitcoin.

Il consiglio che viene dato dal sito è quello di utilizzare la funzione di Monitor dell’Attività del computer – presente sui Macintosh OS X – per verificare se vi sono processi con il nome di “kernel_services” in esecuzione. In caso positivo, controllare se il processo è legato a un file chiamato “/Users//Library/kernel_service” ed eliminarlo utilizzando il comando d’interruzione dei processi di Mac OS X.

Everyone running 2.90 on OS X should immediately upgrade to 2.91 or delete their copy of 2.90, as they may have downloaded a malware-infected file.

Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users//Library/kernel_service”. If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”

Il ransomware per Mac OS cripta i documenti del malcapitato aggiungendo l’estensione “.encrypted” e lascia sul sistema infetto un file chiamato “README_FOR_DECRYPT.txt” dove viene richiesto il pagamento di un bitcoin, con le indicazioni dell’indirizzo onion su rete Tor dove accedere al portale per scaricare il decryptor una volta eseguito il pagamento. Si noti che per identificare la vittima viene utilizzato l’indirizzo bitcoin sul quale viene richiesto il pagamento.

Your computer has been locked and all your files has been encrypted with 2048-bit RSA encryption.
Instruction for decrypt:

1. Go to http://fiwf4kwysm44dpw5l.onion.to ( IF NOT WORKING JUST DOWNLOAD TOR BROWSER AND OPEN THIS LINK: http://fiwf4kwysm44dpw5l.onion.to
2. Use 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof as your ID for authentication
3. Pay 1 BTC (~407.47$) for decryption pack using bitcoins (wallet is your ID for authentication)
4. Download decrypt pack and run.

–→ Also at http://fiwf4kwysm4dpw5l.onion.to you can decrypt 1 files for FREE to make sure decryption is working.

Also we have ticket system inside, so if you have any questions – you are welcome.
We will answer only if you are able to pay and you have serious question.

IMPORTANT: WE ARE ACCEPT ONLY(!!) BITCOINS
HOW TO BUY BITCOINS:
http://localbitcoins.com/guides/how-to-buy-bitcoins
http://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

All’indirizzo indicato nella richiesta di riscatto del ransomware si trova una pagina ONION – da visitare tramite il browser Tor Broser – che oltre a permettere il download del decryptor una volta pagato il riscatto permette di aprire ticket di assistenza, accedere all’area FAQ o decriptare un file di prova. Nell’immagine che segue, si notano ticket aperti da visitatori del forum di Palo Alto Network che hanno acceduto al portale con l’indirizzo bitcoin 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof (per il quale, tra l’altro, nessuno ha pagato il riscatto in bitcoin).

Il centro di ricerca Palo Alto Networks ha pubblicato alcuni dettagli tecnici sul malware per Macintosh, incluse le parti di codice che sembrano contenere istruzioni per cancellare i backup della time machine, contenute nella funzione “encrypt_timemachine”. Anche se la versione del ransomware veicolata tramite il software Transmission non cripta la Time Machine, non è escluso che le versioni successive, veicolate magari tramite altri software, non lo facciano. E’ quindi bene non tenere il disco contenente la Time Machine collegato al Mac dopo il termine della fase di backup, in modo da poterlo utilizzare nel caso in cui il Mac risultasse infettato da ransomware.

Per chi fosse intenzionato a scaricare il client BitTorrent Transmission, sembra che la versione 2.92 del client Transmission sia in grado di rimuovere il ransomware installato dalla 2.90 e ovviamente gli sviluppatori abbiano verificato non contenere trojan.

Cosa fare se si è infettati

1) Utilizzando Terminal oppure FInder, controllare se i seguenti file esistono:

• /Applications/Transmission.app/Contents/Resources/ General.rtf
• /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf

Se esistono, si ha la conferma che il software “Transmission” è infetto e quindi per cominciare rimuovere la App dal sistema.

2) Utilizzando il tool “Monitoraggio Attività” (“Activity Monitor” nella versione inglese) preinstallato su OS X controllare se esiste un processo chiamato “kernel_service”. Se esiste, fare doppio click sul nome e selezionare la voce “Porte e File Aperti”, verificando se esiste un file con il nome simile a “/Users/<username>/Library/kernel_service”” Se esiste, si tratta del processo principale di KeRanger, suggeriamo quindi di interrompere il processo utilizzando al funzione “Interrompi” (“Quit” nella versione inglese”.

3) Verificare se nella cartella “~/Library” dell’utente esistono i seguenti file:

• “.kernel_pid”
• “.kernel_time”
• “.kernel_complete”
• “kernel_service”

Se esistono, rimuoverli.

Sample

Chi desidera testare l’infezione da ransomware per Mac OS X KeRanger può scaricare il file avente SHA256 d1ac55a4e610380f0ab239fcc1c5f5a42722e8ee1554cba8074bbae4a5f6dbe1 dal sito Malwr, previa registrazione e visualizzare l’analisi antivirus e antispyware eseguita da VirusTotal.

Il trojan si annida nel file “Genral.rtf” contenuto nella App Transmission. Il file “General.rtf”, avente hash SHA25631b6adb633cff2a0f34cefd2a218097f3a9a8176c9363cc70fe41fe02af810b9, non è un documento di testo RTF ma è in realtà un eseguibile “Mach-O 64-bit x86_64 executable” compresso con UPX per mascherare la propria identità e ridurre le sue dimensioni. A questo link si trova l’analisi del file “General.rtf” eseguita tramite l’antivirus online VirusTotal.

Il file “General.rtf” una volta decompresso dal packer UPX risulta in un file avente hash SHA256 84a60c8bb2cdf454fdb593318e7c26ba93cc48ba3058530998c8886050981f11 la cui analisi VirusTotal si può visionare a questo link.