Reacties voor: Zo werkt KeRanger, de eerste ransomware voor de Mac

KeRanger is de eerste ransomware voor de Mac, dat in het wild opdook via de Transmission-software. In dit artikel lees je wat KeRanger is en hoe je jezelf beschermt.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

Reacties: 11 reacties

  1. Kennelijk is een certificaat gemakkelijk te krijgen. Of is er gemakkelijk aan te komen, dan wel te gebruiken. Dat dit het gevolg is, is triest. Goed dat iedereen er bovenop zat en dat het snel verholpen is. Bravo! ‘Hoe voorkomen we’ dit blijft door mijn hoofd gaan…

  2. Goed artikel! Gebruik zelf geen torrent maar als je dat wel doet is dit artikel handig en begrijpbaar geschreven om ervoor te zorgen dat je Mac weer veilig wordt

  3. Heb toch maar direct geüpdatet! Goed dat ze hier meteen op anticiperen. Echter vind ik het wel apart dat ze zo makkelijk aan een certificaat zijn gekomen. Dit zijn natuurlijk incidenten, maar het zal wel lang in het collectieve geheugen blijven dat ook Mac systemen vatbaar zijn voor malware. Dit zijn dingen die men niet zo gauw vergeet, ook al is het systeem an sich heel erg veilig.

  4. Ik heb ook doe kernal_service lopen. Maak kan hem niet stoppen of openen om zo bij die bestanden te komen, die optie heb ik niet bij de activiteiten weergave. :S

  5. @Freaky: moest je je wachtwoord geven toen je Transmission installeerde? Zo ja, dan is het een rechten-probleem. Probeer:
    – Open terminal, APPLE-SPATIE, zoeken op Terminal
    – dan sudo killall kernal_service
    – geef je wachtwoord

    Met SUDO start je killall (waarmee je processen kan killen/stoppen) in admin-mode.

  6. Dit slaat een flinke deuk in het “Apple is veilig voor malware” blazoen.
    Hier moeten ze snel – met dezelfde urgentie als de FBI zaak – op reageren.
    Een uninstaller die checkt op foute processen is snel gemaakt

  7. Ik gebruik het niet hoor, maar even nieuwsgierig:
    Als je Mac besmet is, hoe kom je er dan vanaf? Alleen via die sleutel? Of kan je ook zelf bestanden verwijderen?

    En als iemand nu die $400,- betaald, kan hij die sleutel dan openbaar maken zodat iedereen van die sleutel gebruik kan maken?

  8. Origineel geplaatst door RTF
    Ik gebruik het niet hoor, maar even nieuwsgierig:
    Als je Mac besmet is, hoe kom je er dan vanaf? Alleen via die sleutel? Of kan je ook zelf bestanden verwijderen?
    En als iemand nu die $400,- betaald, kan hij die sleutel dan openbaar maken zodat iedereen van die sleutel gebruik kan maken?

    De meeste ransomware maakt voor elk slachtoffer een unieke encryptiesleutel. Voor zover ik het kan overzien gebeurt dit bij deze variant ook. Het werkt dus niet om eenmalig de sleutel te kopen en die te publiceren. Betalen voor de sleutel van ransomware is sowieso een slecht idee, want hiermee hou je dit in stand. Zorg dat je regelmatig goede een back-up van al je data maakt, die beschermd is tegen overschrijven (bijvoorbeeld een cloud dienst als Crashplan of Backblaze), dan kun je in het slechtste geval de computer wissen en van back-up herstellen. In dit specifieke geval kun je de ransomware makkelijk zelf verwijderen met de instructies in dit artikel.

    Origineel geplaatst door Raoul
    Heb toch maar direct geüpdatet! Goed dat ze hier meteen op anticiperen. Echter vind ik het wel apart dat ze zo makkelijk aan een certificaat zijn gekomen. Dit zijn natuurlijk incidenten, maar het zal wel lang in het collectieve geheugen blijven dat ook Mac systemen vatbaar zijn voor malware. Dit zijn dingen die men niet zo gauw vergeet, ook al is het systeem an sich heel erg veilig.

    Het is niet zo verwonderlijk dat men een certificaat heeft kunnen bemachtigen. Dit kost honderd dollar per jaar en elke iOS ontwikkelaar heeft er een, dus dat zijn er tienduizenden. Waarschijnlijk hebben ze hiervoor gebruik gemaakt van een gehackt account of een gestolen creditcard.

  9. BitTorrent is wel een wat duisterder hoekje van het internet. Loop je daar sowieso dan niet meer risico op malware?

  10. Na eerst de heisa rond Sparkle nu ook dit.

    Zeer, zeer verontrustend. Blijkbaar kun je een gesigneerd Mac Developer-certificaat op deze wijze inzetten. Wel of niet voor een torrent client zoals Transmission, voor wat voor bestanden deze gebruikt gaat worden.

    Voor mijzelf i.i.g. het besluit genomen om Transmission te verwijderen en afwachten wat het antwoord van Apple is. Immers kan het bij Transmission dan kan het ook bij andere software…. Geen idee of Apple torrent clients eigenlijk zal toestaan in de MAS ?

  11. Origineel geplaatst door Richard van Zon
    @Freaky: moest je je wachtwoord geven toen je Transmission installeerde? Zo ja, dan is het een rechten-probleem. Probeer:
    – Open terminal, APPLE-SPATIE, zoeken op Terminal
    – dan sudo killall kernal_service
    – geef je wachtwoord

    Met SUDO start je killall (waarmee je processen kan killen/stoppen) in admin-mode.

    Het lijkt erop dat Apple het proces al heeft geblokkeerd. Nu ik opstart is hij weg, vanmorgen stond hij er tussen.
    Nu ff kijken of ik nog restanten kan vinden.

Reacties zijn gesloten voor dit artikel.