Ransomware is kwaadaardige software die je computer op slot zet, en waar je dan in bijna alle gevallen het slot er pas weer af kunt krijgen door losgeld te betalen. Het Engelse ransom betekent losgeld, het is dus een erg toepasselijke naam.

Er is één keer hiervoor ransomware voor de Mac geweest, die heette FileCoder, maar die was nog niet helemaal af voordat die ontdekt werd en is daardoor nooit echt effectief geweest voor de Mac.

Dit keer liggen de kaarten anders, en is gebleken dat versie 2.90 van het open source bittorrent programma Transmission ransomware aan boord had. Deze ransomware heeft van de ontdekkers, Palo Alto Networks, de naam KeRanger meegekregen.

Die hebben dit gelukkig meteen doorgegeven aan zowel het Transmission Project als Apple, dat was op 4 maart. Inmiddels heeft Transmission als een nieuwe versie op de site staan (met versienummer 2.92). Daarbij heeft Apple al een update voor Gatekeeper/Xprotect uitgestuurd, die zorgt er voor dat versie 2.90 van Transmission geblokkeerd wordt en dus is het gevaar alweer geweken.

Wat jij kan doen

Het zou alleen om de versie gaan die op de site van Transmission stond, dus automatische updates zouden de ransomware niet aan boord hebben. Heb je Transmission op je Mac staan en wil je nagaan of je deze ransomware wel of niet op je Mac hebt staan, klik dan in de programmamap met de rechtermuisknop op Transmission, kies voor "Toon pakketinhoud", dubbelklik de map Contents en hetzelfde met de map Resources. Als je daarin het bestand "General.rtf" dan heb je mogelijk een probleem.

En kijk ook of je een versie van Transmission direct op je harde schijf hebt staan (de zogenaamde "root"). En daarin ook Toon pakketinhoud > Contents > Resources en daar ook kijken of daar het bestand "General.rtf" in staat.

Verder kan je ook kijken in het programma Activiteitenweergave, en daar meteen even onder het menu Weergave de optie "Alle processen" kiezen. Dan rechtsboven (in het zoekveld) even kijken of het proces "kernel_service" actief is. Als dat zo is, dan in het menu Weergave kiezen voor "Inspecteer proces" en in dat venster kiezen voor "Open bestanden en poorten".

Daar even kijken of /Gebruikers//Bibliotheek/kernel_service er bij staat. Als dat zo is dan is dat KeRanger's belangrijkste proces. Dat kan je daar meteen uitzetten via de Stop-knop onderaan in datzelfde venster, en dan kiezen voor "Forceer stop".

Hieronder zie je het in het Engels.



Als laatste is het een goed idee om even te kijken in de Bibliotheek in jouw gebruikersmap. Die maak je zichtbaar door in de Finder het "Ga"-menu aan te klikken met de Alt-toets ingedrukt (op sommige toetsenborden heet de Alt-toets geen Alt maar Option, je vindt die tussen de Command (cmd) en de Control (ctrl) toetsen).

Als je daar één of meerdere van de volgende bestanden tegenkomt, meteen allemaal weggooien: ".kernel_pid", ".kernel_time", ".kernel_complete" en "kernel_service" (natuurlijk allemaal zonder aanhalingstekens).


Waarschijnlijk zijn maar weinig mensen hiermee geïnfecteerd, je moet net de pech hebben dat je de afgelopen dagen Transmission 2.90 van hun website hebt gehaald. Maar als dat zo is dan zo snel mogelijk al deze troep verwijderen, want op losgeld betalen zit natuurlijk niemand te wachten. En omdat deze ransomware ook je Time Machine backup infecteert, helpt in dit geval een backup terugzetten dus ook niet.


met dank aan forumlid 'MacFrankie', die als eerder dit nieuws op ons forum meldde in dit draadje



Update: Het team van Transmission heeft laten weten dat de versie met ransomware maar ongeveer 6.500 keer gedownload is. mogelijk ligt het aantal besmettingen nog een stuk lager, want hopelijk hebben veel van de mensen die de foute versie hebben geïnstalleerd daarna de kwaadwillende bestanden zelf alsnog verwijderd.

Er is een update bij dit nieuwsbericht gezet.

Klopt het dat deze Xprotect update niet geldt voor 10.8?

Ook wanneer ik deze geforceerd update met
sudo softwareupdate --background-critical

blijft de datum van XProtect.plist op 10 februari staan. Ook geeft
head /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist





 
   Description
   OSX.CrossRider.A
   LaunchServices
   
     LSItemContentType

in plaats van een entry over OSX.KeRanger.
Of gaat het misschien mis door een instelling?

Ik weet niet tot welke versie van OS X de updates van Xprotect zijn.

Maar als je serieus bent over de beveiliging van je Mac, waarom zit je dan nog op 10.8?

GeorgeM om 17:37, 10-03-2016
Maar als je serieus bent over de beveiliging van je Mac, waarom zit je dan nog op 10.8?

Ik heb mijn Mac(s) nog niet eerder tegen ransome-ware hoeven beveiligen en wanneer Xprotect zijn werk doet hoeft dat nog steeds niet. Bij dat laatste wringt op dit moment even de schoen.

Op mijn 10.11 computer is de update wel uitgevoerd, Op mijn beide 10.8 computers niet. Op mijn 10.6.8 computer ook niet en daar werkt het bovenstaand commando voor de geforceerde update (nog) niet. Ook daar is het OSX.CrossRider.A van begin februari dit jaar de jongste entry.

Is dat niet vreemd?

Apple ondersteunt de huidige plus de twee voorgaande OS X versies met security updates. Op dit moment is dat dus 10.9, 10.10 en 10.11.

https://support.apple.com/en-us/HT201222

Ok, duidelijk.Alleen zie ik daar dat de laatste security update voor 10.9 tm 11 van 19 jan j.l stamt. Ik denk dat de Xprotect updates daar dan niet onder vallen.
Op mijn 10.6 en 10.8 machines stamt de laatste Xprotect update immers van februari dit jaar.

@jeanhoek. Ik draai ook 10.8. Ik laat me niet dwingen tot hoger. Inderdaad geen veilgiheids-updates meer (ik onthoud me van commentaar). BitDefender doet hetzelfde als Xprotect. Draai die alleen bij verdachte bestanden. Optioneel is de extensie/add-on voor Firefox, Chroom en Safari, genaamd "Trafficlight". Deze waarschuwt je als je per ongeluk op een onveilige site komt. Lees mijn PB.

Tsja jongens... welkom in de Grote Mensen Wereld waar heel de Windows wereld al sinds jaar en dag mee worstelt...
15 jaar heeft de pret geduurd. We zullen er nog met weemoed aan terug denken.  

@ bacon en jeanhoek: het gaat bij updates voor OS X om meer dan alleen maar de updates voor Xprotect.

Hacks worden steeds beter, en systeemupdates zorgen ook voor veiligheid. Daarom vraag ik me af waarom jullie op 10.8 blijven zitten, de versies daarna zijn toch gratis?

@ bacon: welke dwang?

anraadts om 08:01, 11-03-2016
@ bacon en jeanhoek: het gaat bij updates voor OS X om meer dan alleen maar de updates voor Xprotect.

Hacks worden steeds beter, en systeemupdates zorgen ook voor veiligheid. Daarom vraag ik me af waarom jullie op 10.8 blijven zitten, de versies daarna zijn toch gratis?

@ bacon: welke dwang?

Misschien koppigheid? De discussie waarom de steun door Apple afgelopen is, ga ik maar niet meer aan.
Over het waarom ik niet naar 10.10 ga? Is dat zo vreemd? Ik verbaas me daarover:
-Een heleboel programma's moeten (veelal tegen betaling) geupdate worden.
-Ik kan mijn Canon CanoScan 9000 (ruim 200 euro) weggeven/weggooien
-idem twee printers ((een kleine 200 euro)
-ik word daartoe gedwongen. Dat heet dwang.
En dat OS X 10.10 gratis is, doet me denken aan een fenomeen uit de jaren 70. In Afrika werden massaal gratis draagbare radiootjes uitgedeeld. Maar de batterijtjes werden drie keer zo duur gemaakt.
-zowel de Snow Leopard als de Mountain Lion blinken uit in
stabliteit.

- Ik zie voor de 'Canon CanoScan 9000F' een driver voor alle versies van OS X t/m EC 10.11.
- Lijkt me stug dat printers -die het nog doen- niet onder EC zouden kunnen werken.
- Mavericks, Yosemite en El Capitan zijn ook stabiel.

Flix om 11:14, 11-03-2016
Mavericks, Yosemite en El Capitan zijn ook stabiel.

Helemaal mee eens, allemaal prima besturingssystemen. Ik heb zelf trouwens vooral ervaring met Mavericks en Yosemite. Maar heb nu al een tijdje El Capitan op één Mac staan, en daar ook nog geen enkel probleem gezien.

@Flix
-de Canoscan 9000 is een ouder type dan de Canoscan 9000F
-Ik heb het over twee Canon printers Pixma IP 4300
Laten we alsjeblieft deze discussie maar sluiten , die begint onderhand eindeloos te worden

Ik ben ook pas sinds twee dagen naar El Capitan over. Oorzaak: een driver.
Het is wel zo dat je, wanneer je bewust blijft hangen op een oud systeem dat niet meer wordt geupdate qua veiligheid, de kans stukken groter is dat je problemen krijgt. En dan niet gaan piepen als het misgaat... We zijn in de vuurlinie beland.. helaas.

Ja, ik geloof ook dat de Mac met dit geintje zijn onschuld is verloren. Maar het was fijn zolang het goed ging.

Het is jammer om nu te zien dat het beveiligingssysteem met Gatekeeper en developers certificaten niet waterdicht is. Goed dat het certificaat direct is ingetrokken, wel jammer dat dit certificaat eventjes geldig is geweest waardoor er toch een aantal gebruikers zijn benadeeld.

Ik hoop dat Apple iets weet te vinden waardoor de kans dat je slachtoffer wordt van dit soort praktijken nog weer kleiner wordt.

jeanhoek om 18:51, 11-03-2016
Ja, ik geloof ook dat de Mac met dit geintje zijn onschuld is verloren.

Dit is toch niet de eerste keer dat er wat Mac gebruikers de klos zijn. Ik zie het verschil met eerdere keren niet (het virus voor Mac OS was bijvoorbeeld veel erger), en maakte veel meer slachtoffers.

Ik hoop dat Apple iets weet te vinden waardoor de kans dat je slachtoffer wordt van dit soort praktijken nog weer kleiner wordt.

Ik ga er van uit dat Apple allang hiermee bezig is. Wordt alleen wel een lastige puzzel om op te lossen.

Dat verschil zie ik wel. OS9 was inherent vatbaar voor dit type malware. OS X tot vorige week toe nog niet, dachten we.

Wat er nu met het Open Source project Transmission is uitgehaald is wellicht ook met andere software mogelijk. In ieder geval zal iedere ontwikkelaar zijn tools op de aanwezigheid van dit soort code moeten testen en zal Apple dat in de Mac App Store ook moeten gaan doen.

De kans dat er iets tussendoor glipt blijkt reëel aanwezig. Voorlopig zullen alleen de anti-virus verkopers hier wel bij varen. Ondertussen kun je als Mac gebruiker niet meer je kop in het zand steken.

Meest vervelende is nog dat je als Maccer de inherente veiligheid van het OS niet meer als argument naar de Windows adepten kunt gebruiken.

Hopelijk blijft het allemaal beperkt en vinden de knappe jongens en meisjes bij het ontwikkelteam van Apple een slimme methode om dit voorgoed uit te bannen.

jeanhoek om 21:54, 11-03-2016
Dat verschil zie ik wel. OS9 was inherent vatbaar voor dit type malware. OS X tot vorige week toe nog niet, dachten we.

Ik kan me niet herinneren dat in de tijd van classic er andere malware was dan met een kleine regelmaat over behoorlijke tijdspanne uitgestrekt soms extreem vervelende virussen waarvan de ontwikkelaars alleen als doel hadden je enorm te pesten. Financieel gewin was niet de doelstelling noch uitgangspunt.

(knip)
De kans dat er iets tussendoor glipt blijkt reëel aanwezig. Voorlopig zullen alleen de anti-virus verkopers hier wel bij varen. Ondertussen kun je als Mac gebruiker niet meer je kop in het zand steken.

Meest vervelende is nog dat je als Maccer de inherente veiligheid van het OS niet meer als argument naar de Windows adepten kunt gebruiken.

Persoonlijk vind ik daar niets moeilijks laat staan vervelend aan. Ik vind dat allemaal zinloze babbelpraat om de tijd te vullen dus ik laat me niet in met deze middagpauzepraatjes.

Hopelijk blijft het allemaal beperkt en vinden de knappe jongens en meisjes bij het ontwikkelteam van Apple een slimme methode om dit voorgoed uit te bannen.

“voorgoed”? Dat is 100 % utopie.
De universele strijd tegen Malware is nooit af.
Heel cru gesteld:
Om 19:21:05 patch je een veiligheidslek in bijvoorbeeld iCloud en om 19:21:06 is er alweer een zero day lek

Veiligheidslekken in OSX werden tot nu zelden geexploiteerd. Daarom zijn de X-protect updates enigszins vergeleken met bijvoorbeeld Windows MSRT of de dagelijkse Defender updates zo klein.

Het is slechts te hopen dat nu het hek niet van de dam is want 'vertrouw' er maar op, de gebruikte kwaadaardige code is zeker nog niet geperfectioneerd; staat nog in de kinderschoenen, en ten tweede:  is  geld waard in het zwarte circuit van de  malware handel.

Apple zal altijd achter de feiten blijven aanlopen. Zodra er een nieuw stuk malware bekend wordt, moet er een remedie worden geschreven, die moet in een update en die moeten we vervolgens allemaal downloaden.
Daar zal altijd minstens een dag tussen zitten.

jeanhoek om 21:54, 11-03-2016
Meest vervelende is nog dat je als Maccer de inherente veiligheid van het OS niet meer als argument naar de Windows adepten kunt gebruiken.

Dat is wat je het meest vervelend vind? Als er iets het meest vervelend is, dan zou het toch de verminderde veiligheid moeten zijn lijkt me?

Hopelijk blijft het allemaal beperkt en vinden de knappe jongens en meisjes bij het ontwikkelteam van Apple een slimme methode om dit voorgoed uit te bannen.

In de andere draadjes ben je er fel voorstander van dat de beveiliging van de iPhones teruggedraaid wordt naar ios7-niveau. Apple heeft zijn stinkende best gedaan om met ios9 een onneembare en superveilige vestiging te maken. Daar zou je dan toch dankbaar voor moeten zijn? Hoe kun je hier roepen dat Apple het veiliger moet makten en in het andere draadje roepen dat Apple de veiligheid moet afbouwen ?

Nog even inhoudelijk: Tegen klik-grage gebruikers kun je niet op programmeren. Apple kan nooit compenseren voor het onvermogen van alle gebruikers

@jaco, dit toont m.i. aan dat de zo fel door Apple gevoerde strijd om jouw en mijn privacy te waarborgen voornamelijk marketing is. De argumenten daarvoor staan al in die andere draadjes.

Maar ik ga nu liever weer wat vragenstellers met Mac problemen proberen te helpen.  

MacMiep om 2:29, 12-03-2016
Apple zal altijd achter de feiten blijven aanlopen. Zodra er een nieuw stuk malware bekend wordt, moet er een remedie worden geschreven, die moet in een update en die moeten we vervolgens allemaal downloaden.
Daar zal altijd minstens een dag tussen zitten.

En dan is Apple met èèn dag er als de kippen bij geweest m.b.t. update van X-Protect zoals in dit geval.
Dat is vergeleken met Windows dus best snel omdat Apple er – nog niet – zo bovenop hoeft te zitten. Maar ja, misschien ook weer een beetje relatief. Voor Windows verschijnen dagelijks wel zo'n tien ge-update malwarestrains en ik schat om de 1 à 2 weken is er wel een nieuwe wolf in schaapskleren die een kwetsbaarheid aanvalt.

Ik heb het donkere vermoeden dat dit de start kan zijn van meerdere malwarestrains voor OSX. Zoals ik al schreef is zulke code geld waard voor de ratten van het internet en zal zeker verder geëxploiteerd gaan worden vanaf nu.

Wij als Mac gebruikers kunnen doen of het allemaal meevalt want X-protect heeft de exploit gedicht. Maar daarin schuilt het risico.

Wij zijn feitelijk een beetje naïef rond het onderwerp Malware/Virus.
Als het hier ter sprake komt zijn er altijd een paar oudgedienden, uitgezonderd ik , die roepen “er zijn geen virussen voor OSX” daarbij verwijzend naar de vele draadjes met soms verhitte discussies en dat afgesloten met de emoticon “sigh” of "boring"

Die naïviteit gaat ons zuur oprispen als we die continueren. Dat is het enige wat ik met zekerheid kan stellen.

(Edit: zinsbouw aangepast. De suggestie dat ik een virus was verwijderd)


(Bewerkt door JGO om 9:28, 13-03-2016)

Een virus verspreidt zichzelf, zonder enige handeling van de gebruiker. Tot nu toe zijn er geen virussen voor Mac OS X.

Even ter verduidelijking voor de 'lezertjes' ik bedoelde virussen in overdrachtelijke zin.
Virussen anno 2016?  Die worden niet meer gemaakt. Voor geen enkel platform.
Deze balorigheid is misschien op een uitzondering na voltooid verleden tijd.
Het zou misschien dan alleen nog zijn voor Windows maar dat is slechts een logische veronderstelling van mij omdat in de tijd van de uitloop van classic Mac OS, de verhouding tussen Windows en Mac virussen zo al in de orde lag van 33.000: 1 (2004)

Oorzaak van deze verhouding: Het genoegen van het leedvermaak voor geesteszieke idioten die virussen voor een Mac compileerden was te beperkt vergeleken met Windows waarvan indertijd vele grotere aantallen actief waren. Hoe meer mensen je kon pesten hoe liever, dus deze malloten kozen met opzet meestal voor Windows vanwege de massale aantallen machines die je kon treffen met kwaadaardige code.

Intrigerend blijft waarom het klassieke virus in het algemeen met de komst van OSX 'overnight' verdween. Dat heeft alleen te maken met de problematiek die door het nieuwe bevoegdheden systeem in OSX ontstond om iets zonder toestemming geïnstalleerd te krijgen zoals een Trojan bijvoorbeeld.

Feitelijk heeft de komst van de Malware de kwajongen van zijn plaats verdreven om plaats te maken voor criminelen die bijvoorbeeld niet slechts met kwaadaardige code alleen je OS actief naar de vaantjes werkt,  maar vooral als doelstelling heeft diefstal van geld,  digitaal vertegenwoordigd dan wel.