Вирус KeRanger на Mac и способы защиты от вирусов

размещено в: Mac, Безопасность | 3

Пару дней назад все яблочное сообщество было взбудоражено вирусом-вымогателем, шифрующим пользовательские данные, который в свою очередь проникал на Mac через программу Transmission. Данный вирус, KeRanger, выжидает какое-то время (около 3-х дней), а потом начинает шифровать данные на диске и требует за расшифровку около 400 долларов. Давайте чуть поподробнее рассмотрим что это за вирус, как его «получить», что делать, если Mac подцепил KeRanger и как избежать проблем в будущем!

Что такое вирус KeRanger и что он делает?

Давайте с самого начала: 6 марта 2016 года вирусологи из Palo Alto Networks сообщили о новом вирусе KeRanger, который был внедрен в популярный торрент-клиент Transmission. Однако не в каждую версию, а именно в 2.90, которую можно было скачать с сайта производителя. Вероятнее всего, хакеры взломали сам сайт и внедрили зараженный дистрибутив, который уже пошел расходиться по сети. Кстати, сейчас уже доступна новая версия 2.92, в которой искоренили данное заражение!

Почему потребовалось именно заменять версию на сайте? Да просто потому, что компания Transmission имеет сертификат безопасности Apple и их приложение устанавливается на любой Mac без особых танцев с бубнами (о танцах и бубнах чуть попозже)… Естественно, после установки «свежей» версии торрент-клиента, вирус проникает в систему и начинается обратный отсчет, до того момента, как начнется шифрование данных пользователя и вымогание денег! Если кому-то не повезло и началось шифрование, то тут поможет только резервная копия данных и крепкие нервы (или платить хакерам, что очень бы не хотелось).

Как определить наличие вируса на Mac?

Если вы пользуетесь торрент-клиентом Transmission, то вы находитесь в группе риска. Кстати, если вы уже являлись пользователями программы и у вас включено автоматическое обновление, то вам опасаться нечего — заражен был лишь дистрибутив на самом сайте, а программа через автообновление получает свежую версию из другого канала, где нет заражения! В любом случае, давайте посмотрим на свой Mac и поищем следы вируса. Если у вас нет программы Transmission, можете смело переходить к следующему пункту.

Для начала надо посмотреть в файлы, находящиеся по пути:

/Applications/Transmission.app/Contents/Resources
/Volumes/Transmission/Transmission.app/Contents/Resources

Что бы увидеть папку Contents надо нажать правой кнопкой мыши на файле программы Transmission и выбрать пункт показать содержимое пакета:

вирус +на mac

Если в этих папках есть файл General.rtf, значит компьютер подвергся заражению… В данном случае, первое, что надо сделать, это:

  • запустить программу Мониторинг Системы (Activity Monitor), в меню Вид нажать на «Все процессы»;
  • найти процесс с именем kernel_service;
  • принудительно завершить процесс (кликните мышкой 2 раза на процесс и нажмите на кнопку «Завершить» и далее на «Завершить принудительно»).

Если все сделано верно, то смело удаляйте программу Transmission с компьютера, очищайте корзину и скачивайте свежую версию с сайта производителя: в ней вирусов и прочей гадости нет!

Как обезопасить себя от вирусов на Mac

Вот мы и подошли к самой важной части данной статьи: как обезопасить свой Mac от подобных неприятностей в будущем!

Казалось бы, самым первым пунктом должен быть «установить антивирус», но нет, антивирус на Mac не нужен! Антивирусы чаще всего помогают обнаружить уже существующие вирусы и помочь «вылечить» (хотя на деле это удаление) зараженный файл. В данном случае, как и во многих других случаях с маками данный подход мало применим. К тому же, в OS X есть встроенная система борьбы с вирусами — это XProtect. Это системная служба, которая работает в фоновом режиме и обновляется автоматически без вмешательства пользователя. На данный момент вирус KeRanger уже внесен в базу XProtect, и он уже не сможет навредить вашему Mac!

Кроме вирусов, существует и так называемые adware, которые заставляют ваши браузеры показывать различную рекламу и мешают серфить в интернете. Благо такие гадости удаляются достаточно просто программой AdwareMedic. Кстати, такой вид вредоносных программ очень часто встречается на компьютерах с Windows, и именно там аналогичные программы надо держать всегда включенными!

Небольшое дополнение на счет антивирусов для Mac: на самом деле есть некоторые сферы деятельности маководов, где антивирус может принести пользу, если вы работаете в одной локальной сети с PC. К примеру, к вам на Mac попадает вирус, который вам ничего не сделает (прислали .exe файл по почте или с флешки какой-то вирус подцепили), и вот если вы его перешлете на другие компьютеры в сети, то получится, что вы распространитель вирусов. В таком случае лучше иметь антивирус, что бы на своем устройстве пресекать дальнейшее распространение вирусов. Или, как мне написала одна из подписчиц, при работе с хостингом, у неё была проблема с загрузкой сайта, и если бы не её антивирус, то она могла бы запустить на сайт вредоносный код:

вирус на mac

Честно говоря, я не знаю, какие есть альтернативы защитить себя и свой сайт, но вопрос очень интересный и я обязательно проконсультируюсь со специалистами и расскажу вам о способах защиты сайта!

Ну раз нам не нужен антивирус, то давайте «включим голову». Данный совет будет полезен всем без исключения, не зависимо от наличия средств защиты на компьютере или нет. Хотя именно с вирусом KeRanger и программой Transmission данный совет полностью лишен смысла: мы доверяем тем производителям, которые имеют сертификат безопасности Apple и по-умолчанию не нанесут вред компьютеру. На любом Mac с современной OS X есть встроенная система защиты «от дурака»: блокировка установки неподписанных приложений. Эта система по-умолчанию включена, но кто-то мог её специально выключить для установки неодписанного софта. Если хотите удостовериться, что у вас защита выставлена на максимум, то надо пройти в Системные настройки -> Безопасность и во вкладке «Основные» удостовериться, что выбран пункт «App Store для Mac и от установленных разработчиков». Создатели Transmission, как раз и были такими «установленными разработчиками», пока их сертификат не был отозван из-за проблем с вирусом KeRanger… Для тех, кто вообще не хочет, что бы на Mac попадали программы не из App Store есть соотвествующий пункт «App Store для Mac». Но нам он не особо нужен и по-умолчанию должен стоять второй:

вирус mac

Удостоверившись, что выбран нужный пункт можно выдохнуть и ждать следующей напасти 🙁 Почему ждать? Да просто потому, что взломав единожды таким способом дистрибутив популярной программы, могут появиться и другие хакеры, которые спрячут волка в уже другой овечьей шкуре. Вдруг завтра таким образом взломают Skype или VLC? Ох, очень бы не хотелось, но раз уж я начал про безопасность, то расскажу самый действенный способ уменьшить риск потерять свои данные. И это…

Создавайте резервные копии своих данных в Time Machine и прочих службах! Почему именно этот способ поможет вам? Да очень просто: вирус или вредоносная программа не может запуститься на внешнем диске и заразить файлы внутри резервной копии. Однако, следует понимать, что если ваш Mac, к примеру, был заражен ночью в 12:00, а следующая копия была сделана утром в 9:00, то зараженные файлы будут нам находиться, НО НИЧЕГО СДЕЛАТЬ НЕ СМОГУТ. А потому резервные копии надо делать достаточно часто. В случае компьютера iMac, Mac mini или Mac Pro все просто: подключили один раз диск и на него постоянно создается резервная копия. А вот с MacBook чуть сложнее — надо самому периодически подключать диск к ноутбуку и запускать процесс резервирования данных. Лично я делаю резервные копии раз в пару недель, и опять же я отдаю себе отчет в том, что я могу потерять за то время, когда копия не создавалась. Одним из решением данной проблемы может быть AirPort Time Capsule или аналоги от других производителей (ASUS, Synology и другие), на которую резервная копия будет создаваться постоянно, когда вы находитесь дома. Кстати, именно сейчас, во время написания данной статьи у меня запущено резервное копирование, и я очень надеюсь, что и вы не поленитесь запустить копирование у себя 🙂

Кроме создания копий в Time Machine, я рекомендую использовать облачные системы, типа Google Drive, Яндекс.Диск, и прочие. Естественно, что не все файлы и папки поместятся в облако (если не докупать место), но хранить там важные проекты, фотографии и прочий материал можно с легкостью! Кстати, не стоит пренебрегать и резервным копированием своего iPhone или iPad в iCloud. Уже неоднократно резервные копии спасали многим пользователям нервы и деньги 🙂

Дорогие читатели, если вам понравился данный материал, поделитесь им в предпочитаемых соцсетях, оставьте комментарий с вашими вопросами, если таковые остались. Так же присоединяйтесь к моим группам в Facebook, Vk и Google. И пусть ваши Маки никогда вас не подводят! 🙂