Cryptolocker, CryptoMalware, teslaCrypt….ora alla lista si aggiunge KeRanger il nuovo Virus che mette a rischio i nostri file.

Abbiamo criptato i tuoi dati

Gli utenti Mac erano al sicuro da virus Ransoware progettati solo per ambiente Windows. Cybercriminali che per far soldi illegalmente con questi virus(Ransomware) cryptano i dati personali presenti nel proprio computer chiedendo un riscatto in BitCoin in cambio della chiave di decriptazione, unico mezzo per poter riavere i propri dati.
Online dal 7 marzo ha iniziato a circolare il rete il primo Ransomware che colpisce gli utenti Mac. Il virus è in grado di cryptare tuti i documenti personali.

Il nome è KeRanger scovato all’interno di Transmission, un software per scaricare file via torrent.
Transmissionbt.com ha pubblicato la notizia per avvisare gli utenti che nell’ultima versione 2.90 è presente il pericoloso virus.
Il sotware malevolo contiene anche una routine che tenta di cancellare i backup dalla Time Machine
per impedire alle vittime di recuperare i propri file criptati, sembra però che almeno questo non abbia effetto.
Rispetto ai precedenti Ransonware, KeRanger fornisce un sistema di ticketing online per ottenere assistenza nella procedura di pagamento guidato in valuta BitCoin.

Cosa succede ai nostri file?

Ai file criptati viene aggiunta l’estension “.encrypted”  e viene creato un file di testo con il nome “README_FOR_DECRYPT.txt” contenente la procedura da seguire per ottenere decryptor unico mezzo per il decriptaggio e il recupero dei propri file. Il pagamento richiesto avviene tramite indirizzo Union su rete Tor. Il Ransomware per identificare le proprie vittime utlizza l’indirizzo Bitcoin nel quale viene richiesto di effettuare il pagamento.

Come controllare e cosa fare se si è infettati?

Contenuto del file guida README_FOR_DECRYPT.TXT

Your computer has been locked and all your files has been encrypted with 2048-bit RSA encryption.Instruction for decrypt:1. Go to http://fiwf4kwysm44dpw5l.onion.to ( IF NOT WORKING JUST DOWNLOAD TOR BROWSER AND OPEN THIS LINK: http://fiwf4kwysm44dpw5l.onion.to2. Use 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof as your ID for authentication3. Pay 1 BTC (~407.47$) for decryption pack using bitcoins (wallet is your ID for authentication)4. Download decrypt pack and run.–→ Also at http://fiwf4kwysm4dpw5l.onion.to you can decrypt 1 files for FREE to make sure decryption is working.Also we have ticket system inside, so if you have any questions – you are welcome.We will answer only if you are able to pay and you have serious question.IMPORTANT: WE ARE ACCEPT ONLY(!!) BITCOINSHOW TO BUY BITCOINS:http://localbitcoins.com/guides/how-to-buy-bitcoinhttp://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)

La richiesta di riscatto del ransomware rimanda ad una pagine web UNION visitabile solo tramite browser TOR. Una volta effettuato il pagamento del riscatto si avrà la possibilità di effettuare il download del cosidetto decrytor un software in grado di recuperare l’integrità di tutti i file cryptati. Oltre al daownload c’è anceh la possibilità di aprire un vero e proprio ticket per avere assitenza nell aprocedura di pagamento, nell’immagine qui sotto l’indirizzo bitcoin 1PGAUBqHNcwSHYKnpHgzCrPkyxNxvsmEof con alcuni ticket aperi dove i pagamenti non sono stati effettuati.

Indirizzo Union Tor Ransomware KeRanger Mac OSX

Indirizzo Union Tor Ransomware KeRanger Mac OSX

Dettagli backup Time Machine

Palo Alto Networks sezione reserch ha pubblicato dettagli tecnici sul virus per Mac in cui si nota la presenza della funzione “encrypt_timemachine” atta alla cancellazione di backup della time machine.

Fanno presente i ricercatori che nell’attuale versione scovata questa parte del virus non funziona e non riesce quindi a portare a termine al cancellazione dei backup Time machine. Non si esclude però che nel prossimo futuro il virus venga migliorato.
Il nostro consiglio è di mantenere il disco Time Machine scollegato dalla propria unità Mac cosi in caso di infezione e cryptaggio almeno i propri Backup saranno al sicuro.

Come controllare e cosa fare se si è infettati?

Condividi:

1 commento

  1. Pingback: [Guida] - Rimozione KeRanger Ransomware Mac OSX - PowerHD

Leave A Reply

 

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.