Macにもついにやってきたランサムウェアの猛威

Transmission HP

Transmission HP

Macだから安全っていうわけじゃないよ!

Mac を狙った初のランサムウェア OSX/KeRanger-A について知っておくべきこと
naked security by SOPHOS
https://nakedsecurity.sophos.com/ja/2016/03/08/ransomware-arrives-on-the-mac-osxkeranger-a-what-you-need-to-know/

ランサムウェアの侵入方法

この数か月では、大半の Windows ランサムウェアは、電子メールを介して配信されており、電子メールに添付されている Word ドキュメント (.DOC ファイル) に埋め込まれています。

今回のランサムウェアは、これまでのところ、異なる方法で配信されています。

Transmission (トランスミッション) と呼ばれる人気の高い BitTorrent クライアントのダウンロード サーバーをサイバー犯罪者はハッキングしており、Transmission 2.90 という偽のバージョンを作成し、このサイトの正規のダウンロードとして公開しました。

Transmission アプリには非常に軽微な変更が行われており、マルウェアを実行するためのコードスニペットが追加されています。これは、General.rtf という無害に見える Transmission パッケージに追加されています。

General.rtf ファイルは実際には、通常の OS X の実行ファイルであり、ハッキングされた Transmission アプリによって kernel_service という無害に見える名前のサービスの元で実行されます。

259,200 秒 (72 時間つまり 3 日間) が経過すると、このランサムウェアは活動を開始し、上記で説明した攻撃を実行します。

このランサムウェアは、管理者権限を取得しようとしません。これは、ファイルにアクセスするために必要ではないからです。ユーザーが書き込みできるファイルであれば、ユーザーが間違って起動してしまったマルウェアも書き込むことができるのです。

つまり、管理者パスワードを要求するダイアログボックスは表示されません。(Mac ユーザーの方の中には、パスワードダイアログがマルウェアに感染したために表示され、悪意のある操作が実行されることを簡単に把握できると誤解されているケースがありますが、これは正しくありません)。

対策

  • Mac 用のアンチウイルスを実行してください。 実行すると、最初に実行する前にダウンロードしたファイルを自動的にスキャンしてくれます。また、ブラウザでアクセスする前に危険な Web サイトであるかどうかを確認してくれます。
  • 定期的にバックアップを取得し、最新のバックアップコピーはオフラインで保管しておきます。できればオフサイトで保管することをお勧めします。OS X に付属するバックアップソフトウェア Time Machine は、暗号化したバックアップを作成できますので、バックアップが保存されているディスクが盗まれても、バックアップの内容が漏えいすることはありません。つまり、定期的に友人やご家族とバックアップディスクを交換し、安全にオフサイトに保管しておくことができます。

Mac OS X初のランサムウェア(身代金要求型の不正プログラム)が発見された

拡散したあとにユーザにカネを払わせるには、使っている人が多いほうがいいということで、Windowsばっかり目を向けていた黒の人たちが、今度はMacもいっちゃおー!ということでMacに進出してきた模様です。

Linux 向けのランサムウェア Linux.Encoder から派生したそうなので、上に取り上げたSOPHOSに書いてあるBitcoinを使っていなくても、これからはなんかのアプリを更新するときとかはきちんと気をつけましょう!

Mac OS初のランサムウェア出現 Appleは対処済みだが「Transmission」ユーザーは確認必須
ITmedia
http://www.itmedia.co.jp/enterprise/articles/1603/07/news068.html

KeRangerは、2月末に公開されたオープンソースのBitTorrentクライアントアプリ「Transmission」のバージョン2.90に潜んでいた。Transmissionは現在、バージョン2.92をリリースし、ユーザーにアップデートを呼び掛けている。

オープンソースのBitTorrentクライアントアプリ「Transmission」のMac版バージョン2.90が感染していたので、同アプリのユーザーは対処が必要だ。

感染しているかどうかを確認するには、Mac内に「/Applications/Transmission.app/Contents/Resources/General.rtf」あるいは「/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf」というファイルがあるかどうか検索し、また「アクティビティモニタ」で「kernel_service」を検索するようPalo Alto Networksは勧める。

Transmission Ver.2.90をインストールしてしまったユーザーが摂るべき対策はこちらにまとめられている。

関係ないと思うけど、私も一応確認

$ sudo find / -name General.rtf
Password:
find: /dev/fd/3: Not a directory
find: /dev/fd/4: Not a directory

スポンサーリンク
hige1
hige1

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
hige1