Mail.ruПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискСмотриComboВсе проекты
, Источник: Palo Alto Networks

Осторожно: первый троян-шифровальщик обнаружили на компьютерах Apple

Трояны-шифровальщики стали массово атаковать компьютеры под управлением Windows несколько месяцев назад, но до Mac черед дошел лишь сейчас. Вредоносное программное обеспечение KeyRanger блокирует доступ к файлам и вымогает деньги за их расшифровку, сообщает Palo Alto Networks.

Мышеловка с бесплатным сыром

Вредоносный код был обнаружен в торрент-клиенте Transmission версии 2.90, выпущенном на прошлой неделе. По словам экспертов, через три дня после установки программного обеспечения троян активизируется и начинает шифровать документы на компьютере жертвы, работающим под управлением OS X различных версий.

Фактически вредоносное программное обеспечение использует уникальный ключ и преобразует файлы таким образом, что ни одной стандартной программой открыть их уже не получится. За предоставление ключа для расшифровки разработчики KeyRanger и других подобных троянских программ вымогают деньги.

Разработчики торрент-клиента уже разместили на своем сайте предупреждение и рекомендацию срочно обновиться до версии 2.92:

Как обнаружить угрозу

Штатная функция OS X «Мониторинг системы» позволяет обнаружить трояна-шифровальщика. В списке задач зараженного Mac появляется процесс kernel_service.

Действия Apple

Разработчики OS X оперативно обновили встроенный механизм защиты операционной системы. Теперь она успешно идентифицирует первый троян-шифровальщик и блокирует действия KeyRanger.

Обновление устанавливается автоматически и предупреждает выполнение зараженных файлов, используя технологию Xprotect. Однако специалисты отмечают, что пользователи, которые установили зараженную версию торрент-клиента, всё же могут столкнуться с определенными сложностями.

Эксперты не рекомендуют ни в коем случае не отправлять деньги злоумышленникам. Чтобы решить проблемы, стоит запустить Time Machine и восстановить систему из последней резервной копии.

Хиты продаж и новинки
Самые лучшие цены на смартфоны
Комментарии
64
Луноход Марсоходный
Апл плохой. potato - Хороший!
СсылкаПожаловаться
cp
В ответ на комментарий от Xyлио Ибальдес История переписки16
Комментарий удален.Почему?
что-то типа Lynx
СсылкаПожаловаться
cp
В ответ на комментарий от Xyлио Ибальдес История переписки14
Комментарий удален.Почему?
Ну, я вроде даже писал, это совсем недавно было. pdf.js, плагин к Firefox, для просмотра PDF. Воровал пароли. Сам по себе Firefox вполне легален, но просто очень сложен. В нем самом и плагинах регулярно находятся баги.
СсылкаПожаловаться
cp
В ответ на комментарий от Xyлио Ибальдес История переписки8
Комментарий удален.Почему?
Ну выж понимаете, что взломать репозиторий - гораздо эффективнее. Вы сразу получаете возможность попасть со своим зловредом на кучу машин, которые поставят оттуда софт. Так что вероятнее - вопрос тонкий. Что выгоднее - то и сломают в первую очередь.
СсылкаПожаловаться
cp
В ответ на комментарий от Тов. Рабинович История переписки10
Комментарий удален.Почему?
"Невозможно - так невозможно" (с) анекдот
СсылкаПожаловаться
cp
В ответ на комментарий от Xyлио Ибальдес История переписки6
Комментарий удален.Почему?
Разработчики - вряд ли. А вот что кто-то взломает их сайт или репозиторий - это как нефиг делать. Я даже больше скажу - большинство разработчиков не сильно напрягается безопасностью, раздавая код из репозиториев. Скажем, подписями, сертификатами и т.п. И всякие атаки MiTM на репозитории вполне себе возможны тоже. Т.е. вы думаете, что скачали программу с официального сайта - а сертификат того сайта вы при этом проверили? А контрольную сумму сверяли? Вероятность этого вовсе не никакая - она как раз очень велика.
СсылкаПожаловаться
cp
В ответ на комментарий от Xyлио Ибальдес История переписки12
Комментарий удален.Почему?
А почему нет-то? Начнем с того, что на уровне скриптовых языков (а конкретно bash) широко известный баг shellshock не просто имел место, а был официально исправлен эппл в виде выпуска фикса. А это именно и есть несанкционированные выполнение шелл скриптов.
А на уровне компилируемых языков... Что маки, что windows сегодня работают фактически на одних процессорах. И архитектура у них Фон Неймана, т.е. данные = код. Всякие технологии, чтобы предотвратить выполнение данных (обычно называемые DEP) есть и там и сям, и в основном основаны на возможностях именно процессора - потому что делать это на уровне ОС неэффективно.
Т.е. процессоры одинаковые, технологии типа DEP есть и в windows (еще с 2003, в XP появилось), и в Mac OS. И при этом дырки в них постоянно находят - просто потому, что если включить DEP повсеместно, поломается широкий класс вполне легитимных программ типа JIT-компилятор, который сначала компилирует байт-код в команды процессора, а потом их исполняет. А JIT - это как минимум Java и .Net. И именно на JIT основаны известные атаки на DEP. Ну т.е. если совсем по-простому, то на современном железе это на 100% сделать почти нереально, и если кто-то говорит "у нас такое невозможно" - это утверждение типа "у нас нет багов". Ну и наконец - если просто тупо посмотреть базу исправленных уязвимостей в Mac OS (и IOS тоже, заодно), то легко увидеть, что такие уязвимости там были. Это официально подтверждено. И никакой гарантии, что там нет других, дать нельзя.
СсылкаПожаловаться
cp
В ответ на комментарий от Тов. Рабинович История переписки10
Комментарий удален.Почему?
А слабо подтвердить пруфом свое балабольство про "невозможно"? Запасся попкорном.
СсылкаПожаловаться
cp
В ответ на комментарий от Родина История переписки13
Родина
Ну, что могу сказать, или вам повезло или проблема несколько преувеличена...
СсылкаПожаловаться
Конкретная проблема разумеется преувеличена. Но это хороший пример, который показывает ровно то, о чем я говорил чуть раньше - что одного магазина приложений для обеспечения безопасности недостаточно. Если в нем чего-то нет - а в нем всегда чего-то да нет, то люди будут ставить программы из сторонних источников. Которые ненадежны по определению. И помешать такому вектору атаки Mac OS не может - впрочем, ради объективности, не может точно также, как в общем случае не сможет и windows (учитывая наличие сертификата). Весь вопрос только в том, как глубоко оно залезет, и как трудно потом будет вычистить. Как видно - зашифровать и доставить кучу неприятностей - это с легкостью. А залезет куда-то в NVRAM - будет полный звездец.
СсылкаПожаловаться
cp
В ответ на комментарий от Тов. Рабинович История переписки8
Комментарий удален.Почему?
Заражена была вполне определенная одна версия, которую быстро вычистили.
А по поводу "как" - ну это длинная история, совершенно не для здешнего формата комментариев, где лично у меня под текст всего две строки, и не расширяются. В двух словах любая уязвимость выглядит примерно так - вы считаете, что перед вами скажем JPEG (на самом деле - любой достаточно сложный формат файла мультимедиа). При его обработке в некой программе (условно назовем ее IE, потому что это как правило браузер или что-то, что связывает систему с внешним миром) происходит ошибка, приводящая к выполнению кода, который спрятан в этом же файле среди данных. Что делает этот код - это отдельная длинная история. Например незатейливо шифрует файлы. Т.е. - ошибка в программе, приводящая к тому, что данные файла интерпретируются как код, и выполняются. И все. Как попал - а вот так, в виде картинки например. Вы же не будете отключать в вебе показ картинок?
СсылкаПожаловаться
cp
В ответ на комментарий от Тов. Рабинович История переписки4
Комментарий удален.Почему?
Так это ваши личные особенности. Не плохие и не хорошие. Я вот не могу себе представить, что я что-то делаю с реальными DVD-болванками, а не образами. Ну и firefox во многом лучше скажем хрома - про сафари не скажу.
СсылкаПожаловаться
Родина
В ответ на комментарий от Родина
Родина
Вы, друг мой, слишком скоры на выводы... Всему свое время.., однако в начале ответьте мне на вопрос, о какой такой самой дорогой и успешной компании вы говорили или ваше "Кстати..." - это было так, чтоб чисто чтоб значимость придать?!
СсылкаПожаловаться
Ау, Толик?! Сдается мне у вас нет ответа на мой вопрос, тогда вопрос другой, как называют в народе людей кто говорит в пустую?! На деюсь на этот вопрос у вас есть ответ?!
СсылкаПожаловаться
Родина
Вы, друг мой, слишком скоры на выводы... Всему свое время.., однако в начале ответьте мне на вопрос, о какой такой самой дорогой и успешной компании вы говорили или ваше "Кстати..." - это было так, чтоб чисто чтоб значимость придать?!
СсылкаПожаловаться
Анатолий Сосновский
В ответ на комментарий от Родина История переписки6
Родина
"Кстати Apple не самая дорогая компания и последнее время не самая успешная." - вы когда говорите "а", то уж будьте добры говорите и "б"... А то, говорите вроде много, а всё не о чем...
СсылкаПожаловаться
Ответа на вопрос нет, что и следовало ожидать от яблочника. Только мантра "Самый лучший, самый защищенный ". Вот что значит быть фанатом, как хорошо что я и мои родственники этим не страдают.
СсылкаПожаловаться
Родина
В ответ на комментарий от Анатолий Сосновский История переписки5
Анатолий Сосновский
Apple держится на закрытости системы и своей среде. Но это для обычного пользователя. Системы управления, финансовые системы, промышленность и стратегические объекты используют виду, реже люникс. Поэтому хакерам ос яблока не интересна. Кстати Apple не самая дорогая компания и последнее время не самая успешная. И продукция её не самая дорогая, есть компы на винде и подороже. Геймеры вообще игнорируют яблочную среду. Так почему 90 % мирового населения не используют маки? Сможешь внятно ответить, почему мало людей использует мак. Только не надо дивановских истерик про нищебродов. Договорились?
СсылкаПожаловаться
"Кстати Apple не самая дорогая компания и последнее время не самая успешная." - вы когда говорите "а", то уж будьте добры говорите и "б"... А то, говорите вроде много, а всё не о чем...
СсылкаПожаловаться
Родина
В ответ на комментарий от Тов. Рабинович История переписки12
Комментарий удален.Почему?
Ну, что могу сказать, или вам повезло или проблема несколько преувеличена...
СсылкаПожаловаться
Родина
В ответ на комментарий от Тов. Рабинович История переписки10
Комментарий удален.Почему?
Вы пользуетесь (у вас установлен) Transmission 2.91?!
СсылкаПожаловаться
Анатолий Сосновский
В ответ на комментарий от Родина История переписки4
Родина
Этот аргумент был бы актуален скажем 10-лет тому назад, но не после того, как Apple стала самой дорогой и успешной компанией в мире… По этому, многие компании включая Microsoft и особенно компании разрабатывающие антивирусное ПО (кого Apple откровенно игнорирует) заинтересованы в том, чтоб нанести урон репутации Apple. А один их китов на котором зиждется эта репутация, - безопасность ПО…
СсылкаПожаловаться
Apple держится на закрытости системы и своей среде. Но это для обычного пользователя. Системы управления, финансовые системы, промышленность и стратегические объекты используют виду, реже люникс. Поэтому хакерам ос яблока не интересна. Кстати Apple не самая дорогая компания и последнее время не самая успешная. И продукция её не самая дорогая, есть компы на винде и подороже. Геймеры вообще игнорируют яблочную среду. Так почему 90 % мирового населения не используют маки? Сможешь внятно ответить, почему мало людей использует мак. Только не надо дивановских истерик про нищебродов. Договорились?
СсылкаПожаловаться
Родина
В ответ на комментарий от Анатолий Сосновский История переписки3
Анатолий Сосновский
На такую программу можно только школьника поймать и то не каждого. На Винде давно есть средство для проверки писем. Ты встречал заряженный мак? Скорее всего нет, а то бы не был таким самоуверенным. А знаешь почему яблочную ос не взламывают и вирусы практически не пишут? Посчитай сколь используют маков, и сколько используют пк на винде. Еслиб маков было бы хотя-бы 30 %, то давно бы его неуязвимость лопнула. А говоришь Родину люблю.
СсылкаПожаловаться
Этот аргумент был бы актуален скажем 10-лет тому назад, но не после того, как Apple стала самой дорогой и успешной компанией в мире… По этому, многие компании включая Microsoft и особенно компании разрабатывающие антивирусное ПО (кого Apple откровенно игнорирует) заинтересованы в том, чтоб нанести урон репутации Apple. А один их китов на котором зиждется эта репутация, - безопасность ПО…
СсылкаПожаловаться
Анатолий Сосновский
В ответ на комментарий от Родина История переписки2
Родина
До недавнего времени самым популярным способ инфицировать ваш PC была рассылка email спама с вложением, пользователь открывает письмо, а в нем вредоносная программа. Такие файлы могут маскироваться под различные документы, изображения, музыкальные файлы и т.д.
Однако вредоносная программа может быть не только в виде файла приложенного к письму. Дело в том, что в последние годы большое распространение получили почтовые программы, которые позволяют писать и читать письма в формате HTML (как веб страницы). Одна из таких программ Outlook Express. Но дело в том, что в таком HTML письме может быть размещена программа-скрипт, которая будет выполнена при прочтении письма. То есть, получив такое письмо в котором есть вредоносный скрипт пользователь запускает его просто при открытии письма для прочтения. И вот вам ответ на ваш вопрос. «А как ты на Винде изменишь систему без доступа администратора?» При открытии вышеописанных файлов (документы, картинки, медиафайлы) система не запрашивает ваших прав и вредоносная программа без каких либо проблем проникает в вашу систему со всеми вытекающими из этого последствиями… И это не единственный вариант …
СсылкаПожаловаться
Кстати ошибку я сделал с iPhone 5s моей жены, вместо зараженный написал заряженный. Так всегда.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Вы не ввели текст комментария
Вы не ввели текст комментария
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Подпишитесь на нас