Mã độc Ransomware đã xuất hiện trên hệ điều hành MAC OS – hệ điều hành được coi là rất an toàn với các loại mã độc, mã độc được phát hiện có tên là KeRanger. KeRanger ẩn náu trong một ứng dụng khá phổ biến cho người dùng MAC OS – Ứng dụng Tranmission Bittorrent, ứng dụng này được Apple cấp phép hoạt động vì vậy mã độc có thể dễ dàng lừa người sử dụng cài đặt.
Khi người dùng tải về phiên bản ứng dụng Transmission chứa phần mềm mã độc, mã độc KeRanger sẽ được cài đặt và nằm ẩn trong máy tính suốt 3 ngày, sau 3 ngày mã độc sẽ được thực thi và phá hủy các dữ liệu trên máy tính của nạn nhân. Sau khi dữ liệu của nạn nhân bị mã hóa, KeRanger sẽ tạo ra một thông báo yêu cầu người dùng phải trả tiền cho chúng nếu muốn lấy lại các dữ liệu này.
Mã độc tống tiền, hay còn gọi là Ransomware đang trở thành mối lo của mỗi người dùng máy tính văn phòng. Đây là loại mã độc cực kỳ nguy hiểm, khi chúng lây lan vào máy tính sẽ phá hủy các dữ liệu quan trọng trên máy tính của người sử dụng, mã độc sẽ yêu cầu người dùng nếu muốn lấy lại dữ liệu thì phải trả tiền cho chúng, tuy nhiên tỉ lệ thành công cũng không cao. Mã độc này đang xuất hiện ngày càng nhiều với nhiều biến thể nguy hiểm: Lây lan qua việc lừa đảo bằng tệp tin văn bản .doc; Mã hóa dữ liệu các máy trong mạng nội bộ; vượt qua các phần mềm diệt virus; mã hóa dữ liệu website…
Cách thức phá hủy dữ liệu của mã độc Ransomware KeRanger
Khi người dùng bị cài đặt phần mềm độc hại này, một tệp tin đi kèm có tên General.rtf sẽ được sao chép vào ~/Library/kernel_service và tự động thực thi. General.rtf là tệp tin mã độc KeRanger, chúng giả mạo một tệp tin tài liệu. General.rtf tạo ra 2 tệp tin ~/Library/.kernel_pid và ~/Library/.kernel_time. kernel_pid chứa ID dành cho tiến trình kernel_service đang chạy và .kernel_time chứa mốc thời gian mã độc được thực thi lần đầu tiên.
KeRanger sẽ nằm yên trong thời gian 3 ngày trên máy và tự động “thức dậy” để thực hiện hành vi phá hủy dữ liệu của người dùng. Khi thực thi KeRanger sẽ kết nối đến ba máy chủ điều khiển (C