OS X:lle suunnattua kiristyshaittaohjelmaa levitettiin BitTorrent -ohjelmiston kylkiäisenä

Tietoturvatutkijat ovat löytäneet ensimmäisen OS X:lle suunnatun
kiristyshaittaohjelman. Kiristyshaittaohjelmaa levitettiin troijatun
BitTorrent -asiakasohjelmiston avulla.

Levitettiin valmistajan sivujen kautta

Yleisimmin erilaisten kiristyshaittaohjelmien kohteena ovat olleet
Windows -käyttöjärjestelmällä varustetut tietokoneet. Nyt Palo Alto
Networksin tietoturvatutkijat ovat löytäneet ensimmäisen toimivan OS
X:lle suunnatun kiristyshaittaohjelman, jonka he nimesivät KeRangeriksi.

Haittaohjelmaa levitettiin troijatun Transmission BitTorrent
-asiakasohjelmiston asennustiedoston avulla. Haitallinen asennustiedosto
oli saatu ujutettua ohjelmistoa valmistavan tahon omille sivuille
normaalin latauslinkin taakse. Haitallinen ohjelmisto oli tarjolla
valmistajan sivuilla n. 4.3.2016 klo 21:00 – 6.3.2016 klo 05:00 välisenä
aikana.

Asennustiedosto oli allekirjoitettu voimassa olevalla ohjelmistojen
kehittämiseen tarkoitetulla sertifikaalilla, jonka myötä Applen
Gatekeeper -suojausmekanismi ei tarttunut haitalliseen tiedostoon.
Nyttemmin Apple on peruuttanut kyseisen sertifikaatin ja päivittänyt
XProtect -tunnisteet kyseisen haittaohjelmaperheen havaitsemiseksi.
Haitalliseksi tunnetun tiedoston avaamisen yhteydessä käyttöjärjestelmä
varoittaa tilanteesta ja kyseinen tiedosto kannattaa poistaa.

Odottaa kolme päivää

KeRangerin toimintaperiaate poikkeaa aiemmin nähtyihin
kiristyshaittaohjelmiin verrattuna hieman. Tiedostojen salaus ei ala
heti haitallisen ohjelmiston asentumisen yhteydessä, vaan se jää
nukkumaan. Toiminta käynnistyy kolmen päivän kuluttua, kun haittaohjelma
ottaa Tor-verkon yli yhteyttä komentopalvelimeen saadakseen tiedostojen
salaamiseen käytetyn julkisen avaimen sekä lunnasvaatimuksen sisältävän
tekstitiedoston.

Saatuaan tarvittavan avaimen, KeRanger salaa kaikki tietyillä
tiedostopäätteillä varustetut tiedostot /Users ja /Volumes
-hakemistoista. Lunnasvaatimus on yhden bitcoinin, joka on n. 375 euroa.

Haittaohjelma vielä kehitysvaiheessa

Tutkijoiden mukaan haittaohjelma on vielä kehitysvaiheessa. Sen koodissa
on havaittu funktioita, jotka on nimetty oletettavasti tiettyjen
toiminnallisuuksien mukaan. Mm. “_encrypt_timemachine” -funtkio
viitannee siihen, että rikollisten on tarkoitus kehittää haittaohjelmaan
toiminto, joka salakirjoittaa myös löytyvät Time Machine
-varmuuskopiotiedostot. Nyt havaituissa varianteissa kaikki
toiminnallisuudet eivät olleet käytössä.

Lunnaita ei kannata maksaa

Vaikka tällä kertaa levitystapa oli “normaalista” poikkeava, tietyt
yleiset ohjeet pätevät haittaohjelmilta suojautumiseen.

* Älä avaa tuntemattomilta lähettäjiltä tulevia sähköpostin
liitetiedostoja
* Kiinnitä huomiota siihen, mitä tiedostoja ja mistä niitä lataat
* Ota säännöllisesti varmuuskopioita, säilytä niitä erillään ja
opettele palauttamaan tiedostot

Lunnaita ei kannata maksaa. Maksaminen tukee rikollisten toimintaa, eikä
takaa sitä, että saat tiedostot takaisin.

*
*

*Päivitys 14.3.2016:*

Doctor Webin tietoturvatutkijat uutisoivat
kehittämästään
tekniikasta, joilla KeRangerin tekemän salauksen purkaminen on
mahdollista useimmissa tapauksissa. Dr. Webin asiakkaat voivat pyytää
asiakastuesta tiedostojen purkua, jos varmuuskopioita ei ole.