OS X用のBitTorrentクライアントアプリ「Transmission」の一部バージョンがランサムウェアに感染していたことが判明。Palo Alto Networksが発表しています。
ランサムウェアとは、感染したPCを使用不能にした上で解除費用を要求するマルウェアの一種で、今回の例では、「OSX.KeRanger.A」と呼ばれるランサムウェアが検出されています。「Transmisson」の配布サイトがハッキングされ、ランサムウェアを仕込んだ.dmgファイルに置き換えられていたということです。
ランサムウェアに感染していたのは「Transmisson」のバージョン2.90。
感染した.dmgファイルに置き換えられた日付は3/4、発見されて削除されたのは3/5。3/4~3/5の期間に「Transmisson」をインストールまたはアップデートした人は、「OSX.KeRanger.A」に感染している可能性があります。
それ以外の日付でダウンロードしたバージョン2.90の方も含めて、早急にバージョン2.92へアップデートして下さい。
感染済みのdmgが配信されていた期間
- 3/4 11:00am PST ~ 3/5 7:00pm PST
感染しているかチェックする
- Using either Terminal or Finder, check whether /Applications/Transmission.app/Contents/Resources/ General.rtf or /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf exist. If any of these exist, the Transmission application is infected and we suggest deleting this version of Transmission.
- Using "Activity Monitor" preinstalled in OS X, check whether any process named "kernel_service" is running. If so, double check the process, choose the "Open Files and Ports" and check whether there is a file name like "/Users/<username>/Library/kernel_service". If so, the process is KeRanger's main process. We suggest terminating it with "Quit -> Force Quit".
- After these steps, we also recommend users check whether the files ".kernel_pid", ".kernel_time", ".kernel_complete" or "kernel_service" existing in ~/Library directory. If so, you should delete them.
- Source Palo Alto Networks Blog
