No fim de semana, hackers conseguiram infectar o aplicativo de BitTorrent Transmission, de código aberto, com o primeiro ransomware totalmente funcional detectado no OS X, relatou a Palo Alto Networks.

Apelidado de “KeRanger , o ransomware foi inserido em 2 instaladores do Transmission 2.9, lançados em 04/03/2016Não está claro como os arquivos foram substituídos por versões infectadas, mas o site pode ter sido comprometido.

A aplicação KeRanger foi assinada com um certificado de desenvolvimento de aplicativos Mac válido; portanto, era capaz de ignorar a proteção Gatekeeper da Apple. Se o usuário instalar os aplicativos infectados, um arquivo executável embutido é executado no sistema. KeRanger então aguarda por três dias antes de se conectar ao servidores de comando e controle (C2) através da rede Tor anonymizer. O malware, então, começa a criptografia de certos tipos de arquivos de documentos e dados no sistema. Depois de completar o processo de criptografia, KeRanger exige que as vítimas paguem um bitcoin (cerca de US $ 400) para um endereço específico para recuperar seus arquivos. Além disso, o KeRanger parece estar ainda em desenvolvimento ativo e parece que o malware também está tentando criptografar arquivos de backup Time Machine para evitar vítimas de recuperar seus dados de backup.

Após a notificação do problema, o Projeto Transmission removeu os instaladores maliciosos e Apple atualizou suas assinaturas de antivírus XProtect e revogou o certificado comprometido, para impedir novas instalações. Se você baixou o Transmission entre as 4:00 hs do dia 04 de março de 2016 e antes de 00:00 hs do dia 05 de março de 2016, você pode estar infectado.

Aqui está o passo-a-passo recomendado para você identificar e remover o ransomware:

 

 

● Usando o Terminal ou Finder, verifique se /Applications/Transmission.app/Contents/Resources/ General.rtf ou /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf existe. Se algum deles existir, o aplicativo Transmission está infectado e recomendamos excluir esta versão do programa.
● Usando o  “Activity Monitor” pré-instalado no OS X, verifique se qualquer processo chamado “kernel_service” está em execução. Se estiver, verifique o processo, escolha a opção “Abrir Arquivos e Portas” e verificar se existe um nome de arquivo como “/Users//Library/kernel_service” . Se existir, o processo é o principal processo do KeRanger. Sugerimos encerrá-lo com “Quit > Forçar Encerrar.
Após essas etapas, recomendamos também que os usuários verifiquem se os arquivos .kernel_pid“, “.kernel_time“, “.kernel_complete” ou “kernel_service” existem no diretório ~ / Library. Se existirem, você deve excluí-los..