Parādījies pirmais pilnvērtīgais MacOS izspiedējvīruss

[samurajs]

Kamēr Mac datori bija relatīvi rets profesionāļu darbarīks, urķiem tie maz interesēja. Toties līdz ar Apple produkcijas izplatību pārplīsis burbulis par šīs OS it kā augsto drošību. Mac OS lietotāji saņēmuši pilnvērtīgu kriptovīrusu OSX.KeRanger.A, iemontētu atvērtā koda bittorrent klientā Transmission 2.90, un ievietotā oficiālajā mājaslapā. Neviens tā arī nezin, kā inficētais fails tur varēja nokļūt. Aplikācija parakstīta ar derīgu Apple Developer ciparsertifikātu, tāpēc OS X Gatekeeper kontroles rīks nekādu trauksmi necēla.

[img]https://notepad.lv/userpix/28_fig1500x284_1.png[/img]

Pirmie aizdomīgo failu ievēroja krievi, un sacēla trauksmi. Zīmīgi, ka populārie antivīrusu grandi kā Kaspersky un Malvarebytes nemaz nesaskatīja OSX.KeRanger.A kā vīrusu. Toties uz to konkrēti noreaģēja daudzu peltie Avast! un Avira.

[img]https://notepad.lv/userpix/28_screenshot_2.png[/img]

Pats kriptovīruss OSX.KeRanger.A īpaši neatšķiras no citiem sev līdzīgiem. Tas nošifrē ap 300 failu veidus, un pēc tam pieprasa 1 bitkoinu par atšifrēšanas atslēgu. Vienu failu pēc lietotāja izvēles piedāvā dekriptēt par brīvu. Sīkāk ar “mošķa” kodu, izsargāšanās iespējām utml. var iepazīties šeit.

[img]https://notepad.lv/userpix/28_fig7500x236_1.png[/img]

[nabadanga]

Samuraj, tu esi kaut ko dzirdējis par uzvedības analizatoriem un citām smalkām lietām? Š ķiet, ka nē, jo savādāk zinātu, ka pēc VirusTotal.com nevar spriest par to, kurš av ražotājs kā ir noreaģējis uz kādu vīrusu. Pēc VirusTotal.com var pateikt tikai to kā reaģē tur ievietotie Linux skaneri, kuriem līdz pilnam Windows vai Mac Internet Security ir tik tālu kā mums līdz mēnesim.

Vienīgā VirusTotal.com failu skenēšanas vērtība ir situācijās, kad ir šaubas par kādu failu, bet par pilniem av tas jau sen nedod priekštatu.

[msh]

Viena bitmonēta – 407 zaļie? Normāli 😀

[ruukjis]

Nu jau tikai 407 zaļie? Savos “ziedu” laikos bija tuvu pie 1k.

[russo]

Mljins… nevaru tagad izdomāt… piedzerties no priekiem vai nē…!? It kā pirmdiena taču.

[Crow]

Papēti nu sīkāk pats, kā tas nelaimīgais VirusTotal darbojas. Gan Windows (jau sen), gan OS X (ne tik sen) malwāres *tiek* izpildītas smilškastē ar visu no tā izrietošo. Zināmai daļai sampļu sadaļā Behavioral information var arīdzan detalizēti redzēt, kas un kā. Tas, ka šai gadienā ne visai veiksmīgi, ir atsevišķs jautājums.

Savukārt Gatekeeper nez vai var īsti vainot. Tā ir zināma daļa no parakstīšanas idejas, ka parakstītam failam kaut kādā mērā uzticās.

[nabadanga]

Un tad? Ko tā smilškaste pasaka par Symantec, Kaspersky vai McAfee utt.? Neko. No viņiem tur ir pliki skaneri.

Un vēl. VirusTotal.com pilda tādu kā av firmu sasaistes funkciju, jo skenējumu dati un samples no turienes nonāk pie visiem dalībniekiem. Š…emot vērā, ka visādas Aviras un Avasti ikdienā fenderē detektus no lielajiem ražotājiem, banāli skatoties, ko viņu skaneri detektē, lielie spiež uz proaktīvo aizsardzību, kuru VirusTotal.com nekā neatspoguļo.

[Crow]

Labi, teu taisnība.

[Autors]

Ieraksti