Представители Palo Alto Networks рассказали об обнаружении первого полноценного вируса-шифровальщика для платформы OS X. Специалисты дали ему название KeRanger (в базы занесен как OSX.KeRanger.A). Распространяется вирус внутри популярного приложения Transmission (торрент-клиент) и содержится в его инсталляторе.
В феврале 2016 года разработчики Transmission анонсировали первое за два года полноценное обновление (версия 2.9), однако в марте эксперты обнаружили, что в официальный дистрибутив (DMG-файл) встроено троянское приложение.
Известно, что преступники внедрили вредоносную программу в торрент-клиент 4 марта 2016 года, через несколько суток после публикации Transmission 2.9. Разработчики оперативно удалили дистрибутив, однако в течение двух дней (4 и 5 числа) пользователи загружали дистрибутив с вредоносным кодом.
OS X использует несколько технологий защиты от опасного контента. Один из механизмов называется Gatekeeper и предназначен для блокировки файлов, загруженных со сторонних источников (не из Mac App Store). Вирусу удалось обойти данную защиту при помощи использования подписи действующего сертификата.
После установки Transmission из инфицированного дистрибутива, троянское приложение загружается в ОЗУ и функционирует там как процесс kernel_service (фоновый). Только через три дня вирус соединяется с командным сервером через сеть Tor и инициирует шифрование файлов пользователя. После завершения пользователь получает требование оплатить дешифровку файлов, сумма составляет 1 биткоин (почти 400 долларов).
Исследователи отметили, что KeRanger находится в процессе разработки, поскольку часть функций неактивны. Также вирус осуществляет попытку зашифровать резервные файлы в Time Machine, чтобы заблокировать возможность восстановления файлов основного раздела.
Проблемный сертификат уже отозван, а встроенный антивирус XProtect успешно детектирует угрозу. Разработчики также представили дистрибутив Transmission 2.92, который самостоятельно удаляет вредоносный код из системы.