Phát hiện biến thể đầu tiên của mã độc tống tiền (Ransomware) tấn công nhằm vào người dùng sử dụng Mac OS X của Apple

Mã độc tống tiền (Ransomware) là một trong những mối đe dọa không gian mạng phát triển nhanh nhất thời gian gần đây – mã hóa toàn bộ dữ liệu và tệp tin trên thiết bị rồi đòi hỏi nạn nhân chi trả tiền chuộc để có thể lấy lại dữ liệu. Các nhà nghiên cứu đã phát hiện một Ransomware đầy đủ chức năng nhắm đến người dùng hệ điều hành OS X của Apple.

Các chuyên gia an ninh mạng đến từ Palo Alto Networks cho biết lần đầu tiên phát hiện được một thực thể OS X Ransomware trong thực tế, có tên gọi “KeRanger” tấn công người dùng máy tính Mac của Apple. KeRanger Ransomware được tích hợp trong ứng dụng phổ biến Mac Transmission, một công cụ mã nguồn mở miễn phí BitTorrent Client dành cho hệ điều hành MAC đang được sử dụng bởi hàng triệu người dùng.

Cách mã độc ransomware – KeRanger làm việc

Sau 3 ngày nạn nhân cài đặt phiên bản ứng dụng chứa mã độc, KeRanger sẽ tự nhúng vào thiết bị và mã hóa ổ đĩa cứng – chứa tài liệu quan trọng, hình ảnh, video cũng như các file nén email, cơ sở dữ liệu. KeRanger yêu cầu nạn nhân trả 1 Bitcoin (~ $410) tiền chuộc để có thể giải mã ổ đĩa và sử dụng lại dữ liệu. Nạn nhân có 3 ngày tiếp theo trước khi dữ liệu bị khóa hoàn toàn.

Mặc dù chưa rõ cách thức tin tặc xâm hại vào ứng dụng và tải file lây nhiễm lên, rất có thể tin tặc đã xâm nhập vào website của Transmission do trang này chạy bằng giao thức HTTP chứ không phải HTTPS.

Để có thể bảo vệ bản thân, các chuyên gia khuyến cáo người dùng kiểm tra sự tồn tại của những tệp tin sau trên thiết bị MAC của mình:

• /Applications/Transmission.app/Contents/Resources/General.rtf
• /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf

Nếu tồn tại, rất có thể ứng dụng Transmission đã bị lây nhiễm mã độc ransomware mới. Mã độc có các tiến trình “kernel_service”, “kernel_pid”, “.kernel_time” hoặc”.kernel_complete,” và có thể lưu trữ file thực thi trong chỉ mục ~/Library. Xóa những file này nếu chúng tồn tại.

Cách khắc phục 

Ngay sau vụ việc, nhà phát triển Transmission đã cập nhật lên phiên bản 2.92 để loại bỏ các file chứa mã độc. Do đó nếu bạn đã tải về phiên bản cũ Transmisson vào cuối tuần trước, bạn cần gỡ bỏ và cài phiên bản mới nhất. Tuy nhiên, mã độc này đã được phát tán và có thể còn ảnh hưởng đến nhiều ứng dụng Mac khác nữa.

THN