Come individuare il ransomware KeRanger sul Mac

La notizia è di poche ore fa. Un cryptolocker è ufficialmente approdato nel mondo OS X, KeRanger, e il veicolo dell’infezione (il paziente zero) è Transmission un’applicazione che consente di collegarsi alla rete Bittorrent ed effettuare scambi di file.

Niente panico: la risposta immunitaria dell’ecosistema è stata veloce. Da Cupertino Apple ha aggiornato dopo poche ore XProtect, la componente del sistema operativo che blocca questi attacchi. Se siete connessi a Internet il vostro Mac ha già  scaricato questo update prioritario, che viene installato senza che all’utente venga chiesto di effettuare alcuna operazione.

Inoltre siete al sicuro se non avete scaricato o aggiornato Transmission tra il 4 e il 5 marzo. Se comunque avete dubbi potete scaricare AntiMalware di Malwarebytes che è in grado di intercettare KeRanger e di suggerire come rimuoverlo.

Noi cogliamo l’occasione per togliere un po’ di polvere ad AppleScript, il sistema di scripting presente su qualsiasi Mac dagli anni ’90 a oggi. Con poche righe di codice possiamo verificare se sul disco fisso è presente il finto file .rtf che contiene il codice maligno. Basta aprire ScriptEditor  (si trova nella cartella Applicazioni/Utility) e copiare queste righe:

set PrimoFile to "/Applications/Transmission.app/Contents/Resources/ General.rtf"
set SecondoFile to "/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf"
 tell application "System Events" to set individuatoPrimo to exists disk item (my POSIX file PrimoFile as string)
 tell application "System Events" to set individuatoSecondo to exists disk item (my POSIX file SecondoFile as string)
if individuatoPrimo is true or individuatoSecondo is true then
set messaggio to "KeRanger è stato individuato sul tuo Mac"
else
 set messaggio to "Non sembra presente una versione infetta di Transmission"
end if
display dialog messaggio

Fate clic sul pulsante “Esegui” e leggete il responso.

keranger

Come sempre in questi casi è certa al cento per cento solo l’individuazione del virus, non il contrario. Se il file incriminato è stato in qualche modo spostato o rinominato, il nostro script non può trovarlo. Si tratta come dicevamo di un esercizio di utilizzo di AppleScript. Un controllo più corretto in linea teorica sarebbe la ricerca e la chiusura forzata del processo “kernel_service” (attraverso l’handler di AppleScript SystemEvents) per esempio:

tell application "System Events"
 set ProcessList to name of every process
  if "kernel_service" is in ProcessList then
   set ThePID to unix id of process "kernel_service"
   do shell script "kill -KILL " & ThePID
 end if
end tell

Ma sarebbe purtroppo inutile: se il processo fosse attivo il contenuto del Mac risulterebbe già  criptato e avreste letto la richiesta di riscatto in bitcoin!

Se siete utenti di Transmission vi suggeriamo di effettuare oggi stesso l’aggiornamento alla versione attuale, la 2.92: il processo di aggiornamento effettua in autonomia un controllo per la presenza del cyberlocker KeRanger e lo rimuove.

PCProfessionale © riproduzione riservata.

Comments are closed.