KeRanger....Ora anche OS X ha il suo ransomware...

Nelle righe che leggerete troverete una sintesi di quanto s'è scritto e si sta ancora scrivendo su KeRanger, il ransomware per OS X. Ora i suoi utenti possono dormire tranquilli la notte: il ransomware è di moda pure sulle loro macchine. Nel caso non fossero interessati a questo genere di cose, verso la fine dell'articolo ci sono, per completezza d'informazione, qualche suggerimento su come liberarsene.
Innanzi tutto,il ransomware è un malware che blocca la maggior quantità di files che gli riesce di raggiungere e lo sblocca attraverso una serie alfanumerica dall'autore dopo il pagamento di un qualche tipo di riscatto. L'infezione può avvenire in in vario modo: esplicitamente, se così si può dire, travestito da qualcos'altro, attraverso un altro software in cui viene nascosto almeno una parte del suo codice di attivazione o altri ancora. L'attivazione può essere immediata o dopo una quantità di tempo variabile.
Nel caso di OS X di Apple la cosa è stata un po' più creativa: sono entrati nei server del fornitore di Transmission, il software Mac molto usato per i download via bittorrent, poi hanno preso quel sofware, aggiornato poco prima della loro visita alla sua ultima versione e hanno taroccato pure quello infilandoci dentro del codice extra.
Tra quelle righe c'erano pure istruzioni per attivazione del ransomware KeRanger predisposto per bloccare la maggior quantità possibile del software sul disco del mac infettato. Pare che quel malware si sia diffuso in tutti i dispositivi OS X con la versione 2.90 di Transmission, quella infettata, che hanno analizzato. Qualcuno, curiosamente ha scaricato una versione 2.90 indenne e non si è capito come ci sia riuscito...Altri sono stati molto meno fortunati. Se si ha quella versione, si suggerisce, in ogni caso, di liberarsene seguendo i suggerimenti in fondo all'articolo in ogni caso e di sostituirla con la 2.92, molto più sicura e indenne delle altre.
Appena s'è saputo  di questo software, Apple ha annullato il certificato che autorizzava il funzionamento del codice nascosto (ma non quello di Transmission), aggiornato XProtect,l'antivirus ufficiale (non si sa mai cosa può arrivare con i files terzi....) e gli autori di Transmission hanno prima sostituito la versione infetta con una pulita e poi hanno aggiornato pure quella. L'ultima disponibile mentrre scrivo, la 2.92, è indenne e sicura.
Suggerimento comune a svariati blog è  quello di verificare la versione disponibilie di Transmission se è una antecedente (più vecchia, se preferite) o una posteriore (più recente) alla 2.90. In caso positivo è sicura. In caso contrario potrebbe essere infetta e in tale caso bisogna cancellarla seguendo queste procedura:
Usando il terminale o il finder (meglio il terminale, nei limiti del possibile....):

1. Cercare /Applications/Transmission.app/Contents/Resources/ General.rtf o /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf. Questi file indicano che si ha installato Tramission in versione infetta.
2. Controllare se esiste un processo denominato “kernel_service” e verificare se c’è  “/Users//Library/kernel_service”. Questo è il processo di KeRanger. Forzare la sua uscita.
3. Verificare se esistono in ~/Library file con questi nomi: “.kernel_pid”, “.kernel_time”, “.kernel_complete” o “kernel_service”. 
4. Se esistono, cancellateli.

In teoria, ora il mac dovrebbe essere ripulito da KeRanger e si può installare la versione 2.92 di Transmission o qualcun altra più recente di quella, qualora sia disponibile.
In alternativa suggerisco di verificare la presenza di un backup pulito su una memoria di massa solitamente scollegata dal sistema dopo la memorizzazione del backup effettuata con software come CCC, Carbon Copy Cloner. Se è disponibile la si installa, eventalmente, da un altro computer, sicuramente pulito, facendo attenzione a non infettarlo.
Si dando istruzioni di completa cancellazione del contenuto trovato prima dell'installazione, la si fa partire e si aspetta. Quando quell'installazione è finita si prova a fare ripartire il sistema. Se riparte si è a posto e si può installare la versione 2.92 di Transmission di cui s'è detto.
In caso contrario, potrebbero esserci problemi più seri. Per sicurezza, a questo punto non rimane che tentare la procedura suddetta, suggerita dal macblog dall'altra parte del link. L'informazione fornita sembra abbastanza buona e sufficiente a dare un'idea su questo ransomware, KeRanger. Se non basta forse solo l'assistenza o qualcuno molto più esperto possono essere d'aiuto.
Altre notizie si possono avere inserendo in qualche motore di ricerca le parole adatte. Gli articoli migliori, di solito sono in lingua inglese ma ne esistono anche nella nostra lingua. Usualmente qualli trovati nei macblog nostrani sono una versione commentata e talvolta migliorata di quelli in lingua inglese. Se interessano è sufficiente chiedere la ricerca di quelle parole nei blog italiani e armarsi di pazienza. Prima o poi si trova qualcosa di interessante e adeguatamente dettagliato.
Attendiamo gli sviluppi di 'sta storia....

Alla prossima chiacchierata.

N.B: l'immagine di testa è una versione leggermente rimaneggiata dell'originale, presente in blog.Kaspersky.com.
In alternativa al blog suggerito nell'articolo suggerisco di dare un'occhiata all'articolo presente dall'altra parte di questo collegamento che mi è stato passato. Sembra anche questo blog una buona fonte di informazioni. 
Ha il pregio che l'articolo in questione è più sintetico di quello a cui faccio riferimento io nell'articolo.
Ringrazio l'autore di questo suggerimento.
Qualunque articolo leggiate su questa storia seguite tutti i link alle fonti da cui è tratto. Di solito sono ottime.