<strong>INFISERT:</strong> Mac-brukere som har lastet ned oppdateringen av Transmission i forrige uke, kan være infisert med ransomware. Foto: PÅL JOAKIM OLSEN
INFISERT: Mac-brukere som har lastet ned oppdateringen av Transmission i forrige uke, kan være infisert med ransomware. Foto: PÅL JOAKIM OLSENVis mer

Ransomware funnet på Mac

Populær filnedlastingsapp rammet. Heldigvis kan det fjernes om man er rask.

Tidligere i år beskrev vi «ransomware» som noe av det skumleste å få på PC-en. Dette er en betegnelse på ondsinnede programmer som gjør endringer på PC-en og krever deg for penger for å rette opp.

Den verste varianten, og det som etter hvert har blitt synonymt med begrepet, er crypto-ransomware, som krypterer alle personlige filer på maskinen og krever deg et beløp for å få tak i nøkkelen som låser opp filene igjen.

Transmission for Mac infisert

For bare en uke siden ble den åpen kildekode-baserte filoverføringsappen Transmission oppdatert, for første gang på to år.

Transmission var for øvrig ett av 20 geniale gratisprogram for Mac da vi lagde en liste allerede i 2007.

POPULÆR: Transmission har i mange år vært en populær Mac-app for nedasting via bittorrent. Foto: Transmission Vis mer


Versjon 2.90 kom med flere nyheter, men dessverre også med ransomware innabords. Det er foreløpig usikkert hvordan dette har skjedd, og om versjonen på den offisielle nedlastingssiden også var infisert.

Da brukeren så installerte versjon 2.90 ble også skadevaren KeRanger installert.

Den venter i tre dager før den kontakter sitt kommandosenter, for deretter å kryptere private filer på brukerens maskin. Det inkluderer dokumenter, bilder, lyd, video, zip-filer, kildekodefiler med mer.

Når jobben er gjort, får brukeren opp den kjedelige advarselen om at filer er kryptert, og at man må betale én bitcoin for å få nøkkelen som kan låse dem opp igjen; cirka 3.500 norske kroner med dagens bitcoin-kurs:

Foto: Palo Alto Networks Vis mer


Ifølge Palo Alto Networks er skadevaren under utvikling og prøver også å kryptere sikkerhetskopier gjort via Apples Time Machine-funksjon.

LES OGSÅ: Har du lurt på hvorfor noen teiper over webkameraet sitt?

Apple tar affære

Apple var raskt på pletten og har nå gjort det aktuelle sikkerhetssertifikatet ugyldig. Brukere som prøver å installere versjon 2.90 av Transmission nå vil få beskjed om at det ikke er mulig å installere appen.

VISER HVA SOM KJØRER: OS X' innebygde aktivitetsmonitor gir deg en oversikt over alt som kjører både i for- og bakgrunnen. Foto: PÅL JOAKIM OLSEN Vis mer


Transmission er allerede oppdatert til en ny og frisk versjon i versjon 2.91, som også inneholder en advarsel om den uhumske 2.90-varianten.

Har du installert versjon 2.90?

Dersom du har lastet ned Transmission versjon 2.90, er det sannsynlig at maskinen din er infisert. Er du heldig, har ikke krypteringen slått til ennå.

Palo Alto Networks har i så fall følgende tips:

  1. Åpne et Finder-vindu og sjekk om /Applications/Transmission.app/Contents/Resources/ General.rtf eller /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf eksisterer. Hvis en av dem gjør det, er Transmission-appen infisert, og du bør derfor slette Transmission-appen.
  2. Åpne Aktivitetsmonitor og sjekk om prosessen kernel_service kjører. Hvis den gjør det, dobbeltklikk på den og velg «åpne filer og porter». Hvis du finner et filnavn à la /Users/brukernavn/Library/kernel_service i listen, er dette KeRangers hovedprosess. Ha prosessen merket og trykk på kryss-knappen øverst til venstre og velg deretter tving avslutning.
  3. Etter disse stegene, anbefaler nettstedet å sjekke om filene .kernel_pid, .kernel_time, .kernel_complete eller kernel_service finnes i ~/Library-mappen, og at du sletter dem om de gjør det. For å komme til denne mappen: ha et Finder-vindu åpent og hold alt-knappen nede mens du trykker på i menylinja. Da får du også Bibliotek som en valgmulighet.
Har man blitt rammet, kan én mulighet også være å rulle tilbake til en Time Machine-sikkerhetskopi tatt før man lastet ned Transmission-oppdateringen.

LES OGSÅ: Dette programmet hevder å stoppe ransomware