{"id":45757,"date":"2016-03-14T18:38:58","date_gmt":"2016-03-14T17:38:58","guid":{"rendered":"http:\/\/www.alground.com\/site\/?p=45757"},"modified":"2020-03-18T23:01:50","modified_gmt":"2020-03-18T22:01:50","slug":"keranger-ransomware-mac","status":"publish","type":"post","link":"https:\/\/alground.com\/site\/keranger-ransomware-mac\/45757\/","title":{"rendered":"KeRanger, primo ransomware per Mac. Come proteggersi"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82_2 counter-hierarchy ez-toc-counter ez-toc-grey ez-toc-container-direction\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Punti chiave<\/p>\n<label for=\"ez-toc-cssicon-toggle-item-69faf8a4e30fd\" class=\"ez-toc-cssicon-toggle-label\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #999;color:#999\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewBox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #999;color:#999\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewBox=\"0 0 24 24\" version=\"1.2\" baseProfile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/label><input type=\"checkbox\"  id=\"ez-toc-cssicon-toggle-item-69faf8a4e30fd\"  aria-label=\"Toggle\" \/><nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/alground.com\/site\/keranger-ransomware-mac\/45757\/#KeRanger_il_primo_Ransomware_per_Mac_si_annida_su_Trasmission_290\" >KeRanger: il primo Ransomware per Mac si annida su Trasmission 2.90<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/alground.com\/site\/keranger-ransomware-mac\/45757\/#KeRanger_ecco_come_colpisce_il_primo_Ransomware_per_Mac\" >KeRanger: ecco come colpisce il primo Ransomware per Mac<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/alground.com\/site\/keranger-ransomware-mac\/45757\/#KeRanger_come_difendersi_e_cosa_fare_in_caso_di_contagio\" >KeRanger: come difendersi e cosa fare in caso di contagio<\/a><\/li><\/ul><\/nav><\/div>\n<p><strong>KeRanger \u00e8 il primo Ransomware in grado di attaccare i Mac<\/strong>. A <a href=\"http:\/\/researchcenter.paloaltonetworks.com\/2016\/03\/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer\/\">darne l&#8217;annuncio<\/a>\u00a0attraverso il blog aziendale, \u00e8 stato un team di ricercatori della Palo Alto Networks: per diffondersi sui sistemi Apple, <strong>il Ransomware KeRanger sfrutta\u00a0una versione infetta (la 2.90)<\/strong> del\u00a0celebre client BitTorrent <strong><a href=\"https:\/\/www.transmissionbt.com\/\">Transmission<\/a><\/strong>. Per essere contagiati dal Ransomware, i sistemi OSX\u00a0devono semplicemente lanciare\u00a0l&#8217;installer dell&#8217;applicazione e attendere alcuni giorni, durante i quali <strong>KeRanger rende illeggibili file e cartelle presenti sul disco rigido<\/strong>. A quel punto, un messaggio di testo inviter\u00e0 l&#8217;utente a p<strong>agare un riscatto pari a 1\u00a0BitCoin (circa 420$)\u00a0<\/strong>per vedersi consegnare la chiave di decrittazione dei file compromessi.<\/p>\n<h1><span class=\"ez-toc-section\" id=\"KeRanger_il_primo_Ransomware_per_Mac_si_annida_su_Trasmission_290\"><\/span>KeRanger: il primo Ransomware per Mac si annida su Trasmission 2.90<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>Secondo quanto emerso dalle analisi dei ricercatori, <strong>ad essere stata infettata dal Ransomware sarebbe stata unicamente la versione 2.90 di Transmission per sistemi OS X.\u00a0<\/strong>Altre versioni (e altre piattaforme software) risulterebbero estranee al\u00a0problema che, al momento, sembrerebbe risolto: nel giro di poche ore <strong>la versione 2.90 &#8220;infettata&#8221; di Transmission \u00e8 stata prontamente rimossa e rimpiazzata con la 2.92<\/strong>. Per questa ragione \u00e8 vivamente consigliato l&#8217;upgrade delle versioni obsolete dell&#8217;applicazione, direttamente a <a href=\"https:\/\/www.transmissionbt.com\/download\/\">questo indirizzo<\/a>.<\/p>\n<p>Secondo quanto affermato dai ricercatori di <a href=\"https:\/\/labs.bitdefender.com\/2016\/03\/keranger-is-actually-a-rewrite-of-linux-encoder\/\">Bitdefender Labs<\/a>, KeRanger rappresenterebbe il<strong> porting in ambito OS X del trojan Linux.Encoder<\/strong>, un malware che recentemente \u00e8 stato impiegato dai cybercriminali per una serie di attacchi a danno di alcuni server Linux sparsi in tutto il mondo. <strong>KeRanger condivide con Linux.Encoder la routine di cifratura<\/strong> e molte altre caratteristiche, come quella di diffondersi attraverso eseguibili corrotti delle applicazioni o allegati malevoli inviati tramite e-mail.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-45768 size-full\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2016\/03\/KeRanger-e1457970227442.jpeg\" alt=\"KeRanger\" width=\"780\" height=\"459\" \/><\/p>\n<p>Caratteristiche preoccupanti che potrebbero fare di Linux.Encoder (e quindi, della sua versione KeRanger) <strong>il primo ransomware cross-platform della storia<\/strong>, in grado di colpire sistemi operativi Linux e Mac in egual misura. Attualmente si stima che KeRanger abbia colpito circa 6.500 utenti Mac in tutto il mondo, attraverso l&#8217;installazione dei pacchetti Transmission infettati nella notte tra il 4 e il 5 marzo 2016.<\/p>\n<h1><span class=\"ez-toc-section\" id=\"KeRanger_ecco_come_colpisce_il_primo_Ransomware_per_Mac\"><\/span>KeRanger: ecco come colpisce il primo Ransomware per Mac<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p><strong>A rischio di infezione sono tutti gli utenti Mac che hanno scaricato<\/strong>, e successivamente installato,<strong> l&#8217;installer di Trasmission 2.90<\/strong>\u00a0dal sito web ufficiale. Gli hacker avrebbero infatti corrotto il file di installazione direttamente sui server dello sviluppatore: in questo modo, l&#8217;applicativo contenente il malware figurava regolarmente firmato con il certificato digitale rilasciato da Apple a Transmission Project.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"alignleft size-medium wp-image-45770\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2016\/03\/ransomware-transmission-bittorrent-client-300x162.png\" alt=\"ransomware-transmission-bittorrent-client\" width=\"300\" height=\"162\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/03\/ransomware-transmission-bittorrent-client-300x162.png 300w, https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/03\/ransomware-transmission-bittorrent-client.png 620w\" sizes=\"auto, (max-width: 300px) 100vw, 300px\" \/>Secondo quanto riportato dai ricercatori di Palo Alto Networks, <strong>KeRanger si annida\u00a0all&#8217;interno di un finto file di testo<\/strong> &#8220;General.rtf&#8221; che, una volta cliccato, lancia il processo &#8220;<strong>kernel_service<\/strong>&#8220;. Il\u00a0processo pu\u00f2 restare\u00a0in stato di apparente inattivit\u00e0 per un periodo compreso fra 1 e 5 giorni, \u00a0richiedendo ogni 5-10 minuti le chiavi necessarie a cifrare il disco del malcapitato utente a un server remoto.<\/p>\n<p>Una volta ottenute le chiavi di cifratura,<strong> il ransomware KeRenger sferra l&#8217;attacco passando in rassegna le cartelle &#8220;Users&#8221; e &#8220;Volumes&#8221;<\/strong>, alla ricerca di oltre 300 tipi di file da criptare: doc, jpg, avi, mp4, mp3, xls, pdf e qualsiasi estensione normalmente utilizzata da un utente medio.<\/p>\n<p><strong>Ad essere cifrati purtroppo sono anche i backup di Time Machine<\/strong>, rendendo il processo di recupero ancor pi\u00f9 difficile e facilitando il pagamento del riscatto per riavere i dati.<\/p>\n<p>Una volta completato il processo di crittografia dati, l&#8217;utente visualizza un file di testo (&#8220;README_FOR_DECRYPT&#8221;) dove <strong>gli hacker informano circa il successo dell&#8217;operazione<\/strong> pirata,<strong> invitando la vittima a pagare il bitcoin di &#8220;riscatto&#8221;<\/strong> alle coordinate indicate nelle istruzioni.<\/p>\n<h1><span class=\"ez-toc-section\" id=\"KeRanger_come_difendersi_e_cosa_fare_in_caso_di_contagio\"><\/span>KeRanger: come difendersi e cosa fare in caso di contagio<span class=\"ez-toc-section-end\"><\/span><\/h1>\n<p>Dopo la scoperta del contagio,<strong> le versioni compromesse di Transmission sono state prontamente rimosse dai server<\/strong>: Apple ha provveduto nel giro di poche ore a<strong> revocare il certificato dello sviluppatore<\/strong> utilizzato dagli hacker per codificare il malware, provvedendo a rilasciarne uno nuovo per la<strong> versione 2.92 di Transmission oggi perfettamente funzionante e immune al malware KeRanger<\/strong>.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-45771\" src=\"https:\/\/www.alground.com\/origin\/wp-content\/uploads\/2016\/03\/ransomware-KeRanger.jpg\" alt=\"ransomware-KeRanger\" width=\"718\" height=\"479\" srcset=\"https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/03\/ransomware-KeRanger.jpg 718w, https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/03\/ransomware-KeRanger-300x200.jpg 300w\" sizes=\"auto, (max-width: 718px) 100vw, 718px\" \/><\/p>\n<p><strong>In caso di nuova installazione, Transmission non presenta rischi di contagio<\/strong>.\u00a0Per tutti i possessori delle vecchie versioni del programma in ambiente Mac, \u00e8 caldamente consigliato l&#8217;<strong>upgrade alla nuova versione<\/strong> (da\u00a0<a href=\"https:\/\/www.transmissionbt.com\/download\/\">questo indirizzo<\/a>).<\/p>\n<p>Per scoprire se il Ransomware KeRanger ha iniziato il suo &#8220;sporco lavoro&#8221;, <strong>\u00e8 possibile seguire questi semplici passaggi<\/strong>\u00a0(<a href=\"http:\/\/researchcenter.paloaltonetworks.com\/2016\/03\/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer\/\">consigliati dai ricercatori<\/a> della Palo Alto Networks) <strong>per terminare i processi di cifratura ed evitare la perdita di dati<\/strong>:<\/p>\n<ul>\n<li><strong>Attraverso il Terminale o il Finder, controllare se nei seguenti percorsi<\/strong>:<br \/>\n\/Applications\/Transmission.app\/Contents\/Resources\/<br \/>\n\/Volumes\/Transmission\/Transmission.app\/Contents\/Resources\/<br \/>\n<strong>esiste il file di testo <em>General.rtf<\/em><\/strong>: in caso affermativo, la versione di Transmission installata \u00e8 infetta e deve quindi essere al pi\u00f9 presto aggiornata con quella nuova.<\/li>\n<li>In Applicazioni -&gt; Utility avviare<strong> Monitoraggio Attivit\u00e0<\/strong>: se \u00e8 presente un\u00a0processo chiamato &#8220;<strong>kernel_service<\/strong>&#8220;, controllarne la presenza anche in\u00a0\/Users\/&lt;nome utente&gt;\/Library\/kernel_service. In caso affermativo, <strong>si consiglia di interrompere immediatamente il processo, utilizzando se necessaria l&#8217;uscita forzata<\/strong>.<\/li>\n<li>Dopo aver eseguito i passaggi precedenti, portarsi nella directory <strong>\/Library<\/strong> e controllare l&#8217;eventuale presenza dei file\u00a0\u201c<em>.kernel_pid<\/em>\u201d, \u201c<em>.kernel_time<\/em>\u201d, \u201c<em>.kernel_complete<\/em>\u201d o \u201c<em>kernel_service<\/em>\u201d: se presenti, eliminarli.<\/li>\n<\/ul>\n<p><strong>Se invece KeRanger dovesse avere gi\u00e0 terminato il processo di cifratura, non tutto \u00e8 perduto<\/strong>: il meccanismo di cifratura impiegato dal Ransomware \u00e8 il medesimo di Linux.Encoder, che \u00e8 gi\u00e0 stato attaccato in passato da alcuni team di ricercatori per decifrare i file criptati, <strong>senza quindi pagare il riscatto chiesto dai pirati informatici<\/strong>.<\/p>\n<p>Sulla Rete esistono diverse<strong> aziende specializzate in sicurezza informatica che assicurano di poter decifrare i file criptati da KeRanger<\/strong>, con costi decisamente abbordabili (poche decine di dollari) rispetto alla richiesta di riscatto. Non esistono certezze, ovviamente:<strong> la cosa migliore \u00e8 disporre sempre di un backup dati offline<\/strong>, da utilizzare in questi casi di emergenza.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>KeRanger \u00e8 il primo Ransomware in grado di attaccare i Mac. A darne l&#8217;annuncio\u00a0attraverso il blog aziendale, \u00e8 stato un team di ricercatori della Palo Alto Networks: per diffondersi sui sistemi Apple, il Ransomware KeRanger sfrutta\u00a0una versione infetta (la 2.90) del\u00a0celebre client BitTorrent Transmission. Per essere contagiati dal Ransomware, i sistemi OSX\u00a0devono semplicemente lanciare\u00a0l&#8217;installer dell&#8217;applicazione [&hellip;]<\/p>\n","protected":false},"author":13,"featured_media":45773,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"pmpro_default_level":"","footnotes":""},"categories":[2045,387],"tags":[],"class_list":{"0":"post-45757","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-export","8":"category-guide-sicurezza","9":"pmpro-has-access"},"aioseo_notices":[],"jetpack_featured_media_url":"https:\/\/alground.com\/site\/wp-content\/uploads\/2016\/03\/keranger-evidenza.jpg","wps_subtitle":"","_links":{"self":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/45757","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/users\/13"}],"replies":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/comments?post=45757"}],"version-history":[{"count":0,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/posts\/45757\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media\/45773"}],"wp:attachment":[{"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/media?parent=45757"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/categories?post=45757"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/alground.com\/site\/wp-json\/wp\/v2\/tags?post=45757"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}