سرانجام پیشبینیها به واقعیت پیوست و اولین باجافزار جدی و قدرتمند برای سیستمعامل Mac منتشر شد. پیشتر کاربران سیستمعامل ویندوز و لینوکس و همچنین کاربران تلفنهای هوشمند با این نوع تهدید آشنا شده و خسارت دیدهاند.
اولین باجافزار جدی سیستمعامل Mac OS
از این پس کاربران سیستمعامل MAC نیز از تهدید باجافزارها در امان نیستند.
سرانجام پیشبینیها به واقعیت پیوست و اولین باجافزار جدی و قدرتمند برای سیستمعامل Mac منتشر شد. پیشتر کاربران سیستمعامل ویندوز و لینوکس و همچنین کاربران تلفنهای هوشمند با این نوع تهدید آشنا شده و خسارت دیدهاند. در سال ۲۰۱۴ میلادی نیز شرکت کسپرسکی باجافزار FileCoder را برای سیستمعامل Mac OS معرفی نموده بود که به دلیل توسعه نیافته بودن، چندان مطرح نشد.
متخصصان امنیتی شرکت Palo Alto ، باجافزار جدید را KeRanger نام نهادهاند. این باجافزار در صورت نصب برنامه کاربردی آلوده نصب شده و سه روز پس از نصب، شروع به رمز نمودن تمامی اسناد مهم، تصاویر و فایلهای صوتی و تصویری، آرشیو نامههای الکترونیکی، کدهای منبع با زبانهای برنامهنویسی مختلف و دیتابیسها مینماید (بهطور دقیقتر، بیش از ۳۰۰ نوع فایل را یافته و رمز میکند).
پس از اتمام فعالیت رمز نمودن دادهها، این باجافزار کلید خود را از بین برده و فایلهای رمز نشده را حذف نموده و با نشان دادن پیغامی از کاربر درخواست پرداخت حدود ۴۰۰ دلار بر حسب بیتکوین مینماید. این باجافزار برای پرداخت باج نیز مهلت ۷۲ ساعته در اختیار فرد قربانی قرار میدهد.
شیوه انتشار آلودگی هنوز کاملاً مشخص نیست ولی احتمالاً این کار از طریق تسخیر شدن یکی از وبسایتهای رسمی کلاینتهای متن باز BitTorrent با نام Transmission انجام گرفته است (نسخه ۹۰/۲). از آنجاییکه برنامه آلوده توسط گواهی معتبر شرکت Apple امضاء شده است، درنتیجه تمهیدات امنیتی سیستمعامل Mac به راحتی دور زده میشود.
تحلیل بدافزار نشان میدهد که این باجافزار هنوز در حال توسعه بوده و در طراحی آن قابلیتهایی وجود دارد که هنوز بهطور کامل توسعه نیافته است (به عنوان مثال، ایجاد درب پشتی در سیستم، رمز نمودن دادههای ذخیره شده در سرویس Apple’s Time Machine backup و ...). پس از تکمیل قابلیت اخیر، قابلیت بازیابی فایلهای رمز شده از روی Time Machine نیز بیفایده خواهد شد.
شرکت Apple پس از اطلاع یافتن از این تهدید، گواهی صادر شده برای برنامه کاربردی فوق را لغو نموده است و درنتیجه کاربران این سیستمعامل در صورت تلاش برای نصب برنامهکاربردی آلوده فوق، پیغامی مبتنی بر عدم اعتبار برنامه .dmg مشاهده خواهند نمود. ضمناً گوگل نیز امضاهای XProtect را بهروزرسانی نموده است. شرکت Transmission نیز نسخه آلوده را از وبسایت خود حذف کرده است.
کلیه کاربرانی که برنامه transmission را مابین ساعت ۱۱ صبح ۴ اسفند و ساعت ۷ شب ۵ اسفند (به وقت ژنو) دریافت نموده و نصب کردهاند، به این باجافزار آلوده هستند. کاربرانی که احتمال آلودگی سیستم خود را میدهند، میتوانند به روش زیر از آلودگی یا عدم آلودگی رایانه خویش آگاه شوند:
• استفاده از ترمینال یا قابلیت Finder برای بررسی وجود یا عدم وجود مسیرهای زیر:
/Applications/Transmission.app/Contents/Resources/ General.rtf
یا:
Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
در صورت وجود هر یک از دو مسیر فوق، رایانه آلوده بوده و بایستی در اسرع وقت سیستمعامل تعویض گردد.
• استفاده از ابزار Activity Monitor و بررسی آنکه آیا پروسهای با نام kernel_service در حال اجرا است یا خیر. در صورت در حال اجرا بودن، بایستی Open Files and Ports را انتخاب نمود و بررسی نمود که آیا /Users//Library/kernel_service وجود دارد یا خیر. در صورت وجود، پروسه اصلی KeRanger بوده و بایستی توسط "Quit -> Force Quit" آن را متوقف نمود.
• وجود فایلهای ".kernel_pid"، ".kernel_time"، ".kernel_complete" یا "kernel_service" در مسیر /Library directory نشانه آلودگی بوده و بایستی آنها را حذف نمود.
منبع: مرکز ماهر