Eerste gijzelwaar voor Macs gesignaleerd

Geplaatst op door
beveiligingsdeskundige Mikko Hyppönen

Mikko Hyppönen

Gijzelwaar, progjes om computers te gijzelen, lijkt een steeds groter probleem te worden. E-krakers breken in in je computer en versleutelen de inhoud. Tegen de betaling van losgeld kun je je computer weer ’terugkrijgen’. Apple had daar tot nu toe weinig last van, maar met de komst van KeRanger lijkt een nieuwe periode aangebroken.
Onderzoekers Claud Xiao en Jin Chen waren de eersten die melding maakten van het bestaan van KeRanger. Dat programma besmet Transmission, een zogeheten bittorrent-programma dat bedoeld is voor het uitwisselen van gegevens. Hoe Transmission besmet is geraakt is niet bekend. Het is zogeheten open programmatuur, waar, in principe, iedereen aan kan sleutelen. “Het is mogelijk dat de officiële Transmission-webstek waarmee is gekraakt en bestanden zijn vervangen”, schrijft het tweetal.
Opmerkelijk is dat KeRanger is ‘ondertekend’ met een geldig certificaat, waardoor het door de mazen van Apples beveiliging is geslipt. Waarschijnlijk is het certificaat gestolen. Volgens beveiligingsdeskundige Mikko Hyppönen is het een trojaan die toegang zoekt naar je bestanden maar niet naar de kern (=root). De trojaan gaat het niet om het kapen van een computer, maar om het gijzelen en, uiteindelijk, het te betalen van losgeld. De trojaan zoekt naar ‘geliefde’ extensies voor je plaatjes, muziek, tekstbestanden e.d. Voor een paar honderd euro/dollar, kun je je computer weer vrijkopen of liever nog de moeilijk traceerbare bitcoins.

Time Machine

KeRanger zou nog volop in ontwikkeling zijn en de volgende stap zou kunnen zijn de versleuteling van Time Machine op de Mac, het programma dat reservekopieën van je harde schijf maakt, zodat je je bestanden niet simpelweg kunt terugzetten op je computer. Iedereen die Transmission 2.90 heeft binnengehaald op 4 en 5 maart zou een probleem kunnen hebben.
Het kwaad schijnt te huizen in het bestand general.rtf in Transmission. Om te zien of de gijzelwaar actief is kun je in het hulpprogramma Activiteitenweergave zoeken naar kernel_service. Gewoon geforceerd sluiten, beveelt het (web)blad Wired aan. Als laatste zouden dan nog de bestanden .kernel_pid, .kernel_time, .kernel_complete of kernel_service in de Bibliotheek moeten worden gewist. Vervolgens is het goed om dat hele Transmission weg te gooien.
Apple-bezitters hadden altijd het idee dat hun besturingssysteem veiliger was dan dat van Windows, maar het voornaamste voordeel van de Mac in deze was het geringe marktaandeel, maar niet alleen dat, volgens Hyppönen. “Het is ook een kwestie van kennis. Veel van deze gijzelaars weten hoe je met Windows omgaat. Een ander platform, of het nu Android of Mac OS X is, vergt een investering. Dat gebeurt niet zo lang er nog makkelijke slachtoffers te vinden zijn op het Windows-platform.” Het ziet er, gegeven de groei van het OS X-aandeel (nu 8%, maar het aandeel is groeiende) naar uit dat KeRanger niet de laatste bedreiging voor Mac-bezitters zal zijn.

Bron: Wired

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.