Četrtek,
10. 3. 2016,
18.51

Osveženo pred

7 let, 1 mesec

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue 0

Natisni članek

Natisni članek

Andrej Pirnat protivirusni program MacOS

Četrtek, 10. 3. 2016, 18.51

7 let, 1 mesec

Apple prvič na udaru izsiljevalskega virusa, preverite, ali je vaš računalnik med okuženimi

Termometer prikazuje, kako vroč je članek.

Termometer prikaže, kako vroč je članek.

Thermometer Blue 0

Izsiljevalski virus, ki uporabniku zaklene vse podatke na računalniku in za odklep zahteva odkupnino, je prvič okužil računalnike z Applovim operacijskim sistemom MacOS.

Izsiljevalski virusi oziroma t. i. ransomware trenutno veljajo za eno najbolj nevarnih in najhitreje rastočih groženj v kibernetskem prostoru. Tovrstni virusi okuženemu uporabniku običajno zaklenejo vse datoteke na računalniku, omrežne mape in datoteke v oblaku, nato pa od njega v zameno za elektronski ključ, s katerim lahko svoje podatke ponovno odklene, zahtevajo odkupnino.

Do nedavnega so se izsiljevalski virusi pojavljali izključno v okolju Windows, pretekli konec tedna pa je po poročanju tujih medijev izsiljevalski virus prvič udaril tudi po računalnikih z Applovim operacijskim sistemom MacOS, ki sicer uživa sloves zelo varne platforme. Virus se imenuje KeRanger, širi pa se prek namestitvene datoteke, med Applovimi uporabniki priljubljenega brezplačnega odjemalca torentov, Transmission.

Odkupnina znaša slabih 400 evrov za vsak okužen računalnik

KeRanger deluje povsem enako kot "sorodni" izsiljevalski virusi TeslaCrypt, Cryptowall in Locky v operacijskem sistemu Windows. Uporabniku zašifrira vse pomembne podatke, do katerih lahko dostopa, nato pa na zaslon pošlje navodila za plačilo odkupnine v protivrednosti enega bitcoina (410 ameriških dolarjev oziroma 370 evrov) za vsak okužen računalnik. Če je torej v mrežo priključenih več računalnikov, je končni znesek lahko hitro zelo visok.

Bitcoin | Foto: Reuters Foto: Reuters

Napadalci sicer skoraj vedno zahtevajo odkupnino v obliki digitalnih valut (običajno bitcoin), saj jih je na ta način veliko težje izslediti, izsiljevalski virusi pa veljajo za eno najbolj dobičkonosnih orodji v svetu računalniškega kriminala. Kot piše britanski Independent, naj bi računalniškim goljufom prinesli že več sto milijonov dolarjev zaslužka.

Kaj je izsiljevalski virus?

Izsiljevalski virus je virus, ki uporabniku zašifrira več ali celo vse dokumente in datoteke, do katerih lahko dostopa. To pomeni datoteke na računalniku, v oblaku in drugih računalnikih, ki so povezani v mrežo. Ko svoje delo opravi, uporabnika pozove k plačilu odkupnine za elektronski ključ, s katerim lahko svoje datoteke ponovno odklene. 

Začetna cena je navadno postavljena pri 400 do 500 evrih, vendar lahko kaj hitro zraste, če uporabnik predolgo odlaša s plačilom odkupnine oziroma mu virus popolnoma uniči datoteke, tako da jih ni več mogoče povrniti v delujoče stanje. Dozdajšnja praksa sicer kaže, da je pri okužbi z novejšimi izsiljevalskimi virusi plačilo odkupnine edina rešitev, če želite rešiti zaklenjene datoteke in nimate narejene varnostne kopije.

Kako je do okužbe prišlo?

Zanimivo je, kako se je virusu KeRanger sploh uspelo pretihotapiti mimo Applovih varnostnih mehanizmov. MacOS je namreč opremljen s trdnimi in skoraj neprepustnim varnostnimi sistem, nanj pa je mogoče namestiti le preverjene programe z digitalnim potrdilom Appla.

To pomeni, da so hekerji uspeli najprej vdreti na stran odjemalca torentov Transmission in tam izvirno namestitveno datoteko uspeli zamenjati z okuženo, v kateri sta se nahajala tako digitalni podpis razvijalcev kot tudi Applova overitev. Kje so nepridipravi overjena digitalna potrdila dobili, pa za zdaj ostaja neznanka.

Ekipa, ki stoji za nesrečnim programom Transmission, ki je okužbo razširil, je zatrdila, da uporabljeno Applovo digitalno potrdilo ni prišlo z njihove strani, kar pomeni, da ga je moral hekerjem posredovati nekdo drug.

Tako je videti okužba s prvim izsiljevalskim virusom za MacOS

Uporabnik YouTuba Rogueamp je posnel video, v katerem je svoj računalnik (v virtualnem okolju) okužil z virusom KeRanger. Poglejte kako okužba izgleda.

Apple je že zakrpal varnostno luknjo Pri Applu so medtem širjenje okužbe že zajezili. Programu, ki je okužbo prenašal, so odvzeli digitalno potrdilo in ne spada več med potrjeno programsko opremo, hkrati pa so tudi posodobili protivirusni mehanizem MacOS-a, XProtect. Vsem uporabnikom, ki se jim posodobitev ni samodejna namestila, svetujejo, da to storijo čim prej in s tem preprečijo morebitne nadaljnje okužbe.

Na izsiljevalski virus pa so se prav tako že odzvali tudi razvijalci programa Transmission. Različico, ki je bila so na svoji spletni strani že zamenjali z novo in čisto (2.92), uporabnike pa opozorili, da naj starejših različic ne nameščajo, če so jo slučajno že, pa naj jo čim prej odstranijo in zamenjajo z najnovejšo.

Za vsak slučaj pa so sporno različico opremili še z opozorilom, ki uporabnike obvesti, da gre za potencialno škodljivo aplikacijo in da jo je najbolje zbrisati.

Preverite, ali je vaš računalnik med okuženimi

Če ste uporabnik operacijskega sistema MacOS in ste v zadnjem času na svojem računalniku nameščali ali posodabljali program Transmission, potem svetujemo, da preverite, ali niste tudi vi med okuženimi.

To storite tako, da odprete program Terminal ali Finder in preverite, ali v namestitveni mapi aplikacije Transmission obstaja katera od sledečih map oziroma datotek:

• /Applications/Transmission.app/Contents/Resources/General.rtf

• /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

Če ste kaj od tega našli, potem je vaša aplikacija Transmission okužena in jo je najbolje čim prej odstraniti ali zamenjati s posodobljeno različico, ki virus samodejno odstrani.

Z uporabo prednaložene aplikacije Activity Monitor preverite še, ali se med aktivnimi delovnimi procesi izvaja tudi kernel_service. Če ga najdete, ga odprite, izberite opcijo Open Files and Ports in preverite, ali se kje nahaja datoteka /Users//Library/kernel_service. Če se, jo čim hitreje ugasnite (Quit in nato Force Quit), saj je to osrednji proces virusa KeRanger.

MacBook virus | Foto: Andrej J. Pirnat Foto: Andrej J. Pirnat Po mnenju strokovnjakov je virus KeRanger šele v začetni fazi razvoja

Virus KeRanger je dvignil precej prahu predvsem zaradi tega, ker se je skrival v legitimni in potrjeni programski opremi in ne v priponki elektronske pošte sumljivega izvora, kakor je sicer navada pri izsiljevalskih virusih. Po mnenju strokovnjakov za digitalno varnost pri podjetju Palo Alto Networks, ki so virusi tudi odkrili, to pomeni slabe obete za prihodnost.

Verjamejo, da je KeRanger šele začetna oblika izsiljevalskega virusa, ki je še v razvoju. Gre namreč za taktiko, ki deluje in lahko pretenta tako rekoč vsakega uporabnika.

Ko namreč nameščamo določeno (preverjeno) programsko opremo, je praktično nemogoče vedeti, da se v njej skriva zlonamerna programska koda. Prav tako pa se ne gre stoodstotno zanašati na protivirusne sisteme, saj so včasih korak zadaj in določenih virusov še nimajo zabeleženih v svojih bazah podatkov (in jih posledično tudi ne morejo odkriti).

Pri Transmissionu so sicer sporočili, da naj bi virus KeRanger okužil približno 6.500 Applovih računalnikov.

Virus Transmission | Foto:

Kako se izsiljevalskemu virusu lahko izognete?

Po toči zvoniti je prepozno, zato je pomembno, da se na morebitno okužbo pripravite že prej oziroma se ji popolnoma izognete. Izsiljevalski virusi se v večini primerov prenašajo s priponkami v elektronski pošti neznanih pošiljateljev (datoteke s končnicami .ZIP, .DOC, .XLS, .DAT, .XYZ), lahko pa se skrivajo tudi na spletnih straneh s slabšim varnostnim mehanizmom (t. i. okužbe v mimohodu), kot je pokazal Applov primer, pa izjemoma tudi v preverjenih programih.

Pri spletnem portalu Varni na internet svetujejo, da upoštevajte sledeče napotke, če se želite okužbam izogniti:

• redno posodabljajte protivirusno zaščito, operacijski sistem in brskalnik

• imejte vklopljen požarni zid

• ne odpirajte priponk v elektronskih sporočilih neznanih pošiljateljev

• ne odpirajte priponk v elektronskih sporočilih, ki jih ne pričakujete (tudi če gre za na videz znanega pošiljatelja)

• izklopite vtičnike za Javo in Flash, oziroma ju odstranite z računalnika, če ju ne potrebujete

• naredite varnostno kopijo dokumentov na zunanji nosilec (zunanji disk, USB ključ, …) in ga izklopite iz računalnika