Per molto tempo si è ritenuto, a ragione, che i computer della Apple, i Mac, fossero quasi immuni dai virus. Se questo poteva esser vero tempo fa, la grande diffusione dei prodotti di Cupertino ha attirato anche su questi ultimi gli interessi dei vari hacker: a conferma di questo, giunge notizia che anche i Mac di Apple sono stati colpiti da un ransomware – “KeRanger” – che ne prende in ostaggio i dati.
I ransomware sono virus infidi che possono contagiare in vari modi, persino rispondendo ad una banale email. Una volta entrati in funzione, prendono in ostaggio i dati di un particolare device chiedendo, per lo sblocco, un riscatto quasi sempre in bitcoin, moneta digitale non tracciabile. Nata qualche anno fa in Russia, la minaccia dei ransomware si è rapidamente diffusa: nel 2015 gli episodi di “rapimento 2.0” sono più che raddoppiati e, secondo il recente Norton Cybersecurity Insights Report, anche il nostro paese non ne è rimasto esente. Nello scorso anno, quasi 1 italiano su 2 ha avuto a che fare con il cybercrimine e, nella maggioranza dei casi, si trattava proprio di attacchi di tipo ransomware (ricordate Cryptolocker?).
Ransomware che, come dicevamo, ha finito per colpire anche i Mac di Apple. Il contagio è avvenuto a partire dal 4 Marzo a causa della versione 2.90 dell’app “Transmission”, un programma che viene scaricato per condividere film e musica basandosi sul protocollo Torrent: purtroppo tale versione dell’app Transmission era farcita con il virus KeRanger che, una volta installatosi, rimaneva dormiente per 3 giorni. Alla fine di questo lasso temporale, KeRanger prendeva in ostaggio i dati del Mac chiedendo 400 dollari di riscatto in bitcoin.
Apple e Trasmission, messe al corrente di questa campagna virale, hanno opportunamente rimosso la versione contagiata di Transmission e l’hanno sostituita con una “sicura”, la 2.92. Nel frattempo, diversi siti specialistici hanno consigliato una serie di rimedi per coloro che fossero stati già contagiati.
Per prima cosa occorre eseguire una ricerca file nelle cartelle “/Applications/Transmission.app/Contents/Resources/” e “/Volumes/Transmission/Transmission.app/Contents/Resources” alla ricerca di un finto file rtf (rich test format), General.rtf, che – una volta individuato – va cancellato: è l’eseguibile che porterà KeRanger ad eseguirsi. Nel caso KeRanger si fosse già eseguito una prima volta (poi torna dormiente per 3 giorni prima di segregarvi i dati), cercate – nella cartella “Library” – i file “.kernel_pid”, “.kernel_time” e “.kernel_complete” e rimuoveteli: sono gli avamposti dell’attacco che sta per scattare. Un rimedio molto più semplice, qualora abbiate appena installato la versione 2.90 di Transmission, consiste nel disinstallarla e nel mettere al suo posto la 2.92: la disinstallazione, infatti, rimuovendo i file del vecchio programma, cancella anche quelli del malware.