11 marzo 2016

All'inizio di marzo molti media, edizioni di rete e blog hanno informato che si stava diffondendo un trojan-cryptolocker che attacca computer Apple gestiti dal sistema operativo OS X, il primo nella storia. Gli specialisti Doctor Web hanno accuratamente studiato questo programma malevolo, denominato Mac.Trojan.KeRanger.2, e hanno sviluppato una tecnologia di decriptazione di file corrotti dal trojan.

Il trojan-cryptolocker Mac.Trojan.KeRanger.2 è stato trovato per la prima volta in un update infetto di un popolare client torrent per OS X che si diffondeva come una distro in formato DMG. Il programma è firmato da un certificato valido di uno sviluppatore di applicazioni per OS X, grazie a cui può aggirare il sistema di protezione incorporata dell'SO Apple.

Dopo l'installazione sul computer sotto attacco, Mac.Trojan.KeRanger.2 aspetta per tre giorni in modalità di "ibernazione". In seguito il cryptolocker si connette con il suo server di gestione tramite la rete TOR. Quindi inizia il processo di cifratura dei file dell'utente: nella directory dell'utente Mac.Trojan.KeRanger.2 cripta tutti i file assolutamente di cui ha i permessi di acceso; il trojan può funzionare sia con i privilegi del normale utente che con l'account root. In seguito il programma malevolo tenta di criptare i contenuti della partizione logica /Volumes, cioè i file conservati sul disco rigido e nelle sezioni logiche montate. In questo caso i file vengono cifrati secondo una lista disponibile — i malintenzionati hanno previsto in questo elenco in totale 313 diversi tipi di file, tra cui documenti di testo e immagini grafiche. Il trojan ottiene la chiave di cifratura e il file con le pretese dei malintenzionati dal server di gestione. Questo cryptolocker aggiunge ai file criptati l'estensione ".encrypted", e nelle cartelle compare un file con il nome "README_FOR_DECRYPT.txt".

Gli specialisti Doctor Web hanno sviluppato una tecnologia che consente di decriptare file corrotti in seguito alle attività malevole di questo cryptolocker.

Per usufruire del servizio di decriptazione di file che sono diventati non disponibili in seguito alla penetrazione di Mac.Trojan.KeRanger.2, eseguite le seguenti azioni:

• fate una relativa denuncia alla polizia;
• in nessun caso provate a modificare in qualche modo i contenuti delle cartelle con i file criptati; non eliminate alcun file sul computer;
• non provate a ripristinare i file cifrati in modo autonomo;
• rivolgetevi al servizio di supporto tecnico Doctor Web (questo servizio è gratis per gli utenti delle licenze commerciali Dr.Web);
• allegate al ticket qualsiasi file criptato dal trojan;
• attendete una risposta di un tecnico del supporto; siccome abbiamo una grande quantità di richieste, l'attesa potrebbe richiedere un certo tempo.

Vi ricordiamo che i servizi di decriptazione file vengono forniti gratis soltanto ai titolari delle licenze commerciali dei prodotti antivirus Dr.Web. È possibile scoprire tutti i requisiti per l'invio di una richiesta di decriptazione andando al link. L'azienda Doctor Web non dà una completa garanzia di decriptazione di tutti i file corrotti in seguito alle attività del cryptolocker, però i nostri specialisti faranno ogni sforzo per salvare le informazioni criptate.