image

FBI ransomware valt Mac-gebruikers aan

dinsdag 16 juli 2013, 11:13 door Redactie, 6 reacties

Na jaren van ransomware die alleen Windows-computers vergrendelde, is er nu ook een variant verschenen die het op Mac-gebruikers heeft voorzien. In tegenstelling tot de Windows-versies, die zich vaak via malware en exploits voor ongepatchte programma's verspreiden, gebruiken de makers van de Mac-ransomware de 'restore from crash' functie van Apple Safari.

Net als de Windows-versies laat ook de Mac-ransomware het slachtoffer geloven dat hij of zij zich schuldig heeft gemaakt aan copyrightschending of het bekijken van kinderporno. Als boete moet er een bedrag van 300 dollar worden betaald. Waar Windows-ransomware de computer vergrendelt, kaapt de Mac-ransomware alleen de browser.

Reset
Gebruikers kunnen de waarschuwingspagina niet verlaten en zelfs het gebruik van 'force quit' om Safari te sluiten heeft geen effect. Zodra de browser wordt herstart verschijnt de FBI-waarschuwing weer. De aanvallers gebruiken hiervoor JavaScript-code die van 150 iframes is voorzien.

Het verwijderen van de ransomware is een stuk eenvoudiger dan op Windows, aangezien het resetten van Safari volstaat. Dit betekent echter wel dat allerlei andere opgeslagen gegevens verloren raken, aldus Jerome Segura van Malwarebytes. Hij verwacht dat veel Mac-gebruikers die de resetfunctie niet kennen voor de scam zullen vallen en het gevraagde bedrag van 300 dollar zullen betalen.

Reacties (6)
16-07-2013, 12:18 door X-max
Zojuist even getest op een VM met Mac OS X en inderdaad is deze ransomware in Safari erg eenvoudig te verwijderen.

http://www.pcwebplus.nl/phpbb/viewtopic.php?f=213&t=10348
16-07-2013, 12:30 door RichieB
Het was wel aardig geweest om een link naar erbij te zetten: http://blog.malwarebytes.org/intelligence/2013/07/fbi-ransomware-now-targeting-apples-mac-os-x-users/

Eigenlijk is dit geen ransom ware voor Mac-gebruikers maar voor Mac+Safari gebruikers. Het voorkomt niet dat je andere software of zelfs een andere browser op de geïnfecteerde Mac gebruikt.
16-07-2013, 13:18 door schele
Maar... Maar.. Macs zijn toch immuun voor hackers en virussen??
16-07-2013, 14:23 door Anoniem
De analyse van Malwarebytes verschilt iets van de bron die ik gisteren noemde onder https://www.security.nl/artikel/47048/1/Politievirus_pronkt_met_Willem-Alexander.html

zie thesafemac.com ; http://www.thesafemac.com/fbi-ransomware-virus-rampant/

Opmerkingen bij de analyse van Malware bytes :

- kennelijk lijkt het niet om een pop up te gaan zoals ik dat gelezen had, evengoed kan het nooit kwaad pop-ups standaard te blocken (Safari menu bar; safari - "Block Pop-up Windows" , shift-cmd-k toetsencombi).

- Automatische "Resume from crash" functie?
Gewone lokale test met een Safari hier leert dat dat niet gebeurt. Standaard new-window is wel ingesteld op blanco in plaats van bijvoorbeeld Top-Sites.
Onder het Safari menu item History heb je bijvoorbeeld de keuzes "Reopen Last Closed Window" en Reopen All Windows from Last Session". Dat gaat niet automatisch.

Bij wie wel en welke Safari versie is dat dan?
Firefox heeft die vervelende eigenschap namelijk wel, dat kan je weer ongedaan maken in de about:config settings

- Reset Safari Functie
Helaas geeft de schrijver van het artikel niet aan of hij geprobeerd heeft of het zo is dat het echt nodig is alles te resetten (bijvoorbeeld de Top-Sites, mocht je daarvan gebruik maken).


Tot slot verdient het de aanbeveling toch eens de voorkeur instellingen van Safari eens goed door te nemen :

- GEEN automatisch openen van gedownloade (zogenaamde veilige) bestanden, of ze veilig zijn bepaal je zelf nadat je ze eerst gescand hebt met je virusscanner.
- history bewaren? hoe lang en waarom (daar heb je bookmarks voor)
- security ; JAVA! en andere plugins, cookies, Location Information!( privacy !?)
- de autofill functie (van je adresboek bijvoorbeeld, privacy !?)
- bookmarks voorkeuren en synchronisatie
- extensies nog eens bekijken

In o.a. Mountain Lion ook nog een goed het privacy voorkeuren paneel doornemen onder systeem voorkeuren (wat deel je wel en wat deel je niet +> belangrijk!)


En er is meer :

En als je toch op de site van Thomas Reed bent, lees dan ook over de Malicious Genieo installers , nieuws waarvoor onterecht maar geen aandacht is (waarschuwing op forum niet geplaatst, dan hier nog eens).


- - - - -
Educatieve p.s.

Met regelmaat doen sommige reacties een 'ernstig' gebrek aan kennis vermoeden. Dat is niet kwalijk te nemen zolang niet zeker is of dat gebrek aan inzicht er is.
In de 'hoop' die 'onzekerheid' van het gebrek aan kennis weg te nemen een educatief artikeltje over Mac's, Malware en virussen ("a lot of people don’t understand basic malware terminology.") :

By Thomas Reed , “There are no Mac viruses”
http://www.thesafemac.com/there-are-no-mac-viruses/
16-07-2013, 15:14 door RichieB
Inderdaad. Op geen enkele manier is door deze "malware" de Mac gehackt. Ook kan dit "virus" zich alleen maar nestelen in de Safari instellingen van 1 gebruiker. Schele heeft het goed begrepen.
18-07-2013, 12:29 door Briolet
Door Anoniem: - Reset Safari Functie
Helaas geeft de schrijver van het artikel niet aan of hij geprobeerd heeft of het zo is dat het echt nodig is alles te resetten (bijvoorbeeld de Top-Sites, mocht je daarvan gebruik maken).

Lijkt me ook vreemd dat je alles moet resetten om er af te komen. Vooral omdat er aangegeven wordt dat er alleen maar een JavaScript in een loop loopt die de huidige pagina vast zet en geen andere instellingen aanpast. En blijkbaar kun je nog wel diverse menu functies gebruiken, dus waarschijnlijk kun je dan ook bij de settings om JavaScript uit te zetten. Daarna kun je rustig een andere pagina naar voren halen en daarna JavaScript weer aan zetten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.