Mac-viruset KeRanger – se om du drabbats

Måns Nilsson

Ransomware_660x409

”En Mac-dator får inga virus”. Eller? Den första attacken riktad mot OS X tvingar Apple-användare att tänka om.

Design och användarvänlighet har sedan lanseringen 1998 varit två av iMacs stora konkurrensfördelar. Att Apples datorer dessutom varit nästan helt förskonade från virusattacker har varit ytterligare en tungt vägande fördel. Det har i princip varit omöjligt att smitta en mac med virus eller andra skadliga programvaror. Men säg den lycka som varar. I januari 2015 kom första varningarna om Ransomware, då med fokus på molntjänster och sommaren 2015 började viruset Thunderstrike2 spridas från Mac till Mac, om än i liten utsträckning.

Målinriktad attack mot OS X

Nu har dock det som alla macanvändare oroat sig för skett – en första målinriktad attack mot OS X. I den senaste uppdateringen av BitTorrent-programmet Transmission fanns infekterade filer med så kallad ransomware – en skadlig programvara som framför allt kopplas till utpressningsverksamhet. Programmet tar viktig information på hårddisken som gisslan och kräver sedan datoranvändaren på pengar för att återlämna informationen.

KeRanger stjäl filer och attackerar backup

Viruset heter alltså KeRanger och stjäl filer från datorn under tre dagar efter att den infekterats. Programmet verkar fortfarande vara under utveckling och enligt expertis ser det ut att snart även kunna attackera backup-tjänsten TimeMachine.

Transmission logoTransmission är ett av de vanligaste BitTorrent-programmen i världen, och hur många användare som påverkats är svårt att veta. Transmission pumpade dock snabbt ut en uppdatering som inte var infekterad (2.91) och igår kom versionen 2.92 som hävdas ”bota” datorn från infektionen.

Så skyddar du dig – 3 enkla steg

PaloAlto Networks upptäckte viruset och har tagit fram en checklista för hur du blir av med det om du är drabbad:

  1. Använd Terminal eller Finder för att se om de här filerna finns i din dator:

/Applications/Transmission.app/Contents/Resources/General.rtf

/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

Om du hittar någon av dem är ditt Transmission infekterat och du bör ta bort applikationen.

2.  Genom att använda förinstallerade Activity Monitor I ditt OS X, kan du kola om en process som heter kernel_service är igång.

Om den är det bör du kolla extra på den genom att använda Open Files and Ports och se om det finns en fil som heter /Users/<username>/Library/kernel_service. Om det gör det pågår den infekterade processen i din dator och du måste avsluta den genom Quit -> Force Quit.

3.  När du gått igenom stegen ovan rekommenderas du kola om filerna .kernel_pid, .kernel_time, .kernel_complete eller kernel_service finns i biblioteket. Om de gör det ska du ta bort dem.

 

Text: Alexandra Ekström Madrid