Экспертам удалось обнаружить первую программу-шифровальщик, направленную против компьютеров на базе OS X. Вредоносный код выявлен в торрент-клиенте Transmission. В инфицированной версии приложения присутствует вредоносная программа KeyRanger, которая осуществляет шифровку данных на компьютере спустя 3 дня после инсталляции.
После установки вредоносная программа на протяжении 3 дней никак не проявляет себя, а после выходит на связь с C&C-сервером, находящимся под контролем хакеров, и начинает шифрование данных. Киберпреступники требуют выкуп за восстановление доступа к информации в размере одного биткоина или 400 долларов.
Защитный механизм в OS X уже обновлен компанией Apple, и теперь может идентифицировать и блокировать KeyRanger. Установка обновления на операционную систему происходит в автоматическом режиме, и одновременно с этим вводится запрет на исполнение инфицированных файлов с применением технологии Apple Xprotect. Этот функционал, названный в честь Xprotect.plist – файла, в котором хранятся сигнатуры вредоносного программного обеспечения, впервые был выпущен в 2009 году одновременно с OS X 10.6 и дает возможность осуществлять блокировку опасных типов файлов.
Сейчас KeyRanger не несет угрозу для владельцев Mac. Несмотря на это, у пользователей, установивших инфицированную версию Transmission, могут появиться проблемы. Специалисты советуют не перечислять деньги хакерам при блокировке Mac, а воспользоваться функционалом резервного копирования Time Machine и с его помощью восстановить операционную систему.
Проверка на наличие в операционной системе KeyRanger может быть осуществлена с помощью программы «Мониторинг системы». В списке задач необходимо найти процесс kernel_service. Хотя его название похоже на наименование рядового системного процесса OS X, на самом деле это и есть вредоносная программа, которая осуществляет шифровку данных на компьютере.