В начале марта стало известно о распространении первого в истории троянца-шифровальщика, атакующего компьютеры Mac. Специалисты компании «Доктор Веб» анонсировали технологию расшифровки файлов, поврежденных троянцем Mac.Trojan.KeRanger.2.

Троянец-шифровальщик впервые был обнаружен в инфицированном обновлении популярного торрент-клиента Transmission 2.90 для OS X, распространявшегося в виде дистрибутива в формате DMG. Программа была подписана действующим сертификатом разработчика приложений для OS X, благодаря чему могла обойти встроенную систему защиты ОС от Apple.

Со своей стороны компания Apple оперативно устранила уязвимость для кибератак против компьютеров Mac, возникшую после обновления. В Купертино заявили, что сертификат разработчика ПО, которым и был подписан вирус-вымогатель KeRanger, был аннулирован, так что теперь попытка его повторной установки будет безуспешной.

Как рассказали специалисты «Доктор Веб», после установки на атакуемый компьютер Mac.Trojan.KeRanger.2 выжидает три дня, в течение которых пребывает в «спящем» режиме. После этого энкодер устанавливает соединение со своим управляющим сервером с использованием сети TOR. Затем начинает процесс шифрования пользовательских файлов: в папке пользователя Mac.Trojan.KeRanger.2 шифрует абсолютно все файлы, к которым у него имеются права доступа, при этом троянец может работать как с привилегиями обычного пользователя, так и от имени учетной записи root.

После этого вредоносная программа пытается зашифровать содержимое логического раздела /Volumes, то есть файлы, хранящиеся на жестком диске и в смонтированных логических разделах. В этом случае файлы шифруются по имеющемуся списку — всего злоумышленники предусмотрели в этом перечне 313 различных типов файлов, включая текстовые документы и графические изображения. Ключ для шифрования и файл с требованиями злоумышленников троянец получает с управляющего сервера. Характерным признаком работы этого энкодера является добавление к зашифрованным файлам расширения «.encrypted» и появление в папках файла с именем «README_FOR_DECRYPT.txt».

«Доктор Веб» разработал технологию, позволяющую расшифровывать файлы, поврежденные в результате вредоносной деятельности этого энкодера.

Для того, чтобы воспользоваться услугой расшифровки файлов, которые стали недоступны в результате проникновения Mac.Trojan.KeRanger.2, эксперты советуют выполнить следующие действия: обратиться с соответствующим заявлением в полицию; ни в коем случае не пытаться каким-либо образом изменить содержимое папок с зашифрованными файлами; не удалять никакие файлы на компьютере; не пытаться восстановить зашифрованные файлы самостоятельно; обратиться в службу технической поддержки компании «Доктор Веб».

Отметим, что KeRanger представляет собой первый обнаруженный шифровщик-вымогатель для платформы OS X. Он должен был активизироваться 7 марта и зашифровать данные на инфицированных машинах, после чего потребовать «выкуп» — 1 биткоин, что равно примерно $400.

Примечательно, что «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия трояна файлов.