«Троян» в торрент-клиенте Transmission и что дальше делать

Вечер воскресенья 6 марта неожиданно перестал быть томным, когда разработчики торрент-клиента Transmission признались в наличии «трояна» в одной из последних версий своего приложения. На нашей памяти, это первая проблема с вредоносным ПО в системе OS X такого масштаба за последние лет десять. Будем разбираться по пунктам.


1. Что именно было заражено?


28 февраля этого года вышла версия клиента Transmission за номером 2.90. Каким образом злоумышленникам удалось внедрить в эту сборку установщик «трояна» KeRanger пока неизвестно, так как представители проекта Transmission от комментариев отказываются. Однако факт остается фактом — неделю назад под ударом оказались тысячи Маков.

2. Что делает KeRanger?


Этот «троян» надо отнести к такой набирающей популярность категории вредоносного ПО, как ransomware. Подобные приложения, попав на машину пользователя, шифруют частично или полностью данные пользователя. Пароль для расшифровки обычно предлагается взамен за определенную сумму денег, обычно в одной из электронных валют. Иными словами, речь идет о вымогательстве. Хорошая новость, случаев потери данных у Мак-пользователей пока не выявлено.

3. Ок, я скачал — что мне делать прямо сейчас?

Во-первых, без паники. Во-вторых… Запускаем Мониторинг системы (Activity Monitor) из папки Программы -> Утилиты. Далее, на всякий случай, из меню Вид выбираем отображение Всех процессов…


Теперь сортируем процессы в алфавитном порядке и ищем один под названием «kernel_service». Если нашли, то дважды нажимайте на него. В появившемся окне во вкладке «Открытые порты и файлы» ищем файл, расположенный примерно по такому пути:


/Users//Library/kernel_service

Нашли? Завершаем процесс. Удаляем Transmission.

4. А дальше?


Дальше можно выдохнуть. Если без торрентов вам не жить, то идем на сайт Transmission и скачиваем свежую версию за номером 2.91, из которой «троян» убрали. Возможно, вы захотите сменить торрент-клиент и тут мы вас винить не можем. Давно пользуемся BitTorrent.

5. И что Apple?


Apple отреагировала так, как только и могла отреагировать. Компания отозвала доверенный сертификат у разработчиков Transmission, поэтому если у кого-то стояла опция в настройках ставить приложения только из Mac App Store и проверенных разработчиков — а она включена по умолчанию — то установить это приложение на автомате уже не получится. Также описание KeRanger было добавлено в систему защиты OS X под названием Xprotect, которая не позволит запустить проблемную версию клиента, даже если она была загружена.

Эпилог

На самом деле, перед нами прекрасно спланированная и проведенная атака непосредственно против Мак-пользователей — именно под них и «заточен» KeRanger. Очень любопытен и способ доставки «трояна»: его авторы не стали заражать отдельные машины, а умудрились внедрить свой модуль в приложение, которому доверяют миллионы пользователей. Очень ждем рассказа от команды Transmission — это будет настоящий детектив.

Однако означает ли нынешний инцидент, что безоблачная эпоха и вера в непробиваемость системы OS X позади? Сложно сказать. Наш совет будет простой и состоять из двух частей. Первое: не качайте что ни попадя. Второе: не спешите обновляться. ;-)
7

Комментарии

Ник Читнаев
+1
В блоге который прилагался к обновлению было написано что заражению могли подвергнуться только те, кто скачал программу после 4 марта (если не ошибаюсь с переводом)
7 марта 2016 в 02:11
#
Dmitriy Druzhbin
+11
Там вроде бы как-то злоумышленникам удалось подменить дистрибутив в репозитории. Будет интересно таки почитать полную цепочку событий от самих разработчиков.
7 марта 2016 в 10:04
#
Майкл Вэлш
–44
Есть совет еще проще. Завязать с торрентами. Потому как торрент уже сам по себе вредоносное ПО.
7 марта 2016 в 07:09
#
–293
подписали вирус сертификатом. бывает
7 марта 2016 в 08:57
#
Майкл Вэлш
–44
Школота понабежала, минусиков понаставила.
8 марта 2016 в 10:47
#
+358
Минуточку, а с зашифрованными файлами то что делать?? Или он только делает вид, что шифрует?
9 марта 2016 в 08:46
#

Читайте также