Ransomware i Transmission

Palo Alto Networks har upptäckt det första aktiva, fungerande ransomware-programmet för Mac, som har döpts till Keranger.

Upptäckten gjordes i bittorrentklienten Transmission, version 2.90 – nedladdad från programmets officiella webbplats.

Någon gång under morgonen den 4 mars har någon laddat upp och ersatt den vanliga versionen av Transmission med en modifierad version med skadeprogrammet, signerad med ett annat utvecklarcertifikat än det som Transmission vanligtvis använder (men giltigt).

På en infekterad dator väntar Keranger i tre dagar innan det börjar kryptera de flesta av användarens filer och begär sedan 1 bitcoin för krypteringsnyckeln.

Apple har underrättats och har upphävt utvecklarcertifikatet och lagt till programmets kodsignatur i Xprotect så att det inte längre går att installera det. Men det hindrar inte en redan infekterad Mac från att köra det, så om du installerade Transmission 2.90 från programmets webbplats i fredags eller lördags bör du kontrollera att du inte har drabbats innan några filer börjar krypteras.

Transmission har släppt version 2.92 som aktivt raderar skadeprogrammet, så det är en bra början. Vill du vara på den säkra sidan kan du öppna Aktivitetskontroll och kontrollera att du inte har en process vid namn kernel_service som ligger och kör (namnet påminner om kernel_task, OS X:s kärna – gissningsvis för att försöka undgå upptäckt).