OSX.KeRanger.A, beter bekend als KeRanger, versleutelt drie dagen na installatie een groot deel van alle gebruikersbestanden (er zijn 300 bestandstypes gevonden in de code) en maakt daarna verbinding met een command & control server. Vervolgens krijgt de gebruiker een melding dat alle bestanden zijn versleuteld en dat deze tegen betaling van 1 BTC (ongeveer 400 dollar) weer worden ontsleuteld.

De besmette Transmission-installer blijkt een extra bestandje mee te leveren genaamd General.rtf. Dit tekstbestand is echter geen echt tekstbestand maar een executable die is ingepakt met UPX 3.91. De beveiligingsonderzoekers van Palo Alto hebben het bestand uitgepakt en helemaal geanalyseerd. In hun blog leggen ze uit hoe de ransomware werkt en hoe het pakket in elkaar zit.

De besmetting

Normaal gesproken zou de gatekeeper van OS X de besmette Transmission moeten tegenhouden, maar doordat KeRanger was ondertekend met een legitiem certificaat, uitgegeven door Apple, kon de ransomware zonder problemen worden geïnstalleerd.

Hoe de besmette versie van Transmission op de officiële website heeft kunnen verschijnen is nog niet duidelijk. "Het zou kunnen komen doordat de officiële website is gehackt en dat de officiële client is vervangen door een opnieuw gecompileerde versie, maar dat kunnen wij op dit moment niet bevestigen." Deze manier van besmetten lijkt erg op de Linux Mint-besmetting van enkele weken geleden.

Op de volgende pagina: Zo verwijder je de Ransomware

Als de ransomware is geïnstalleerd en actief is, heb je in principe nog drie dagen de tijd om de boel te verwijderen of eventueel een back-up te maken. De malware blijft drie dagen in sluimerstand voordat deze toeslaat. Er schijnt echter ook een versie actief te zijn die, ondanks de drie dagen sluimertijd, al wel informatie over de besmette Mac naar de command & control-server stuurt, dus verwijder de malware zo snel mogelijk.

De kwaadaardige code heeft als procesnaam kernel_service. Dit proces kan zonder problemen worden gekilled. De executable is te vinden op de volgende locatie: ~/Library/kernel_service en kan, na het killen van het proces, worden verwijderd.

De bouwers van Transmission zijn inmiddels ook op de hoogte en hebben een waarschuwing op hun website staan waarin wordt gemeld dat mensen die versie 2.90 of 2.91 in gebruik hebben zo snel mogelijk moeten upgraden naar versie 2.92. Deze nieuwe versie heeft ook een tool aan boord waarmee de ransomware kan worden verwijderd.