Mac OS X初の“完全体”なランサムウェア出現、「Time Machine」も暗号化するよう開発中か

　オープンソースプロジェクトであるMac用BitTorrentクライアント「Transmission」のインストーラーに、新種のランサムウェア「KeRanger」が混入していたことを、米Palo Alto Networksが報告した。同社によれば、Mac OS Xで初の“完全体な”ランサムウェアだという。

「Transmission」の公式サイト

　KeRangerは、Appleから発行された有効な証明書で署名されており、インターネットからダウンロードしたマルウェアや不正アプリを検出する機能としてOS Xに搭載されている「GateKeeper」を突破している。インストーラーには、RTF形式の文書ファイルに見せかけた実行ファイルが同梱されており、インストールすると3日ほど潜伏したのち、匿名ネットワーク「Tor」を経由してC&Cサーバーに接続、ファイルの暗号化を実行する。

インストーラーには、RTF形式の文書ファイルに見せかけた「General.rtf」と呼ばれる実行ファイルが含まれている

　ドキュメントや画像、オーディオデータなどのファイルの暗号化が完了すると、復号化と引き換えに約400ドルをビットコインで支払うよう要求する旨のテキストファイルをC&Cサーバーから受け取る。KeRangerはまだ発展途上だが、バックアップストレージ「Time Machine」にも暗号化を仕掛けるバックドア機能を開発している痕跡がコードから見つかっている。

暗号化が完了すると「README_FOR_DECRYPT」という名称のテキストファイルがC&Cサーバーから送信され、1ビットコイン（約400ドル）を支払うよう要求される

　攻撃者は、3月4日の早朝にTransmissionウェブサイト内のインストーラーにKeRangerを仕込んでおり、未確認ではあるものの、Transmissionの公式サイトに不正アクセスして、KeRangerを仕込んだバージョンに置き換えた可能性があるとしている。

　Palo Alto NetworksではAppleとTransmissionプロジェクトに今回の件を報告済み。Appleでは該当の証明書の失効とウイルス定義データベース「XProtect」をアップデートしたほか、同プロジェクトではKeRangerが混入したインストーラーをウェブサイトから削除している。