Если вы скачали популярную программу-транскодер HandBrake для OS X с официального сайта в период со 2 по 6 мая 2017 года, то с вероятностью 50% вместе с ней была Proton RAT — программа для удалённого управления компьютером. После взлома сервера HandBrake неизвестные лица подменили официальный дистрибутив, подсадив туда «крысу», как иногда называют программы RAT на жаргоне.
Файл HandBrake-1.0.7.dmg на зеркале download.handbrake.fr подменили другим файлом, хеш которого не совпадает с контрольными суммами, перечисленными на странице https://github.com/HandBrake/HandBrake/wiki/Checksums.
HandBrake — свободное и бесплатное программное обеспечение для транскодирования цифровых видеофайлов, изначально разработанное в 2003 году, чтобы облегчить рипы DVD, то есть копирование фильмов с DVD-диска на HDD. С тех пор программа претерпела множество измений и сейчас используется преимущественно для транскодирования уже готовых файлов. Например, после скачивания с торрентов версии в максимальном качестве требуется сделать копию для iPhone или Android-устройства с приемлемым разрешением и размером. Во время транскодирования HandBrake позволяет установить нужный битрейт, максимальный размер файла или изменять битрейт при «постоянном качестве». Программа поддерживает множество специфических функций, в том числе деинтерлейсинг, масштабирование изображения, кадрирование, удаление артефактов «расчёски» (decombing) и другие эффекты постпроизводства. Есть возможность обрабатывать файлы в пакетном режиме, составляя списки работы через GUI или текстовый интерфейс в консоли. HandBrake поддерживает множество входных и выходных форматов как для видео, так и для аудио.
Существуют версии HandBrake для Linux, macOS и Windows, но в данном случае хакеры подменили только версию под macOS.
Сообщение о взломе зеркала офсервера загрузки опубликовано на форуме HandBrake утром 6 мая 2017 года. Оно гласит, что все скачавшие официальный клиент HandBrake для Mac в период со 2 мая 14:30 UTC по 6 мая 11:00 UTC, должны проверить хеши SHA1 или SHA256, прежде чем запускать файл.
Если вы не успели проверить файл и уже запустили программу, то нужно исследовать компьютер на предмет наличия трояна. Он присутствует в системе с вероятностью 50/50, если вы скачали программу в указанный период. Разработчики подчёркивают, что встроенная программа обновлений 1.0 или более высокой версии не могла установить трояна. С версии 1.0 она проверяет цифровую подпись и не устанавливает обновление, если подпись не совпадает. А вот более ранние версии программы обновления не проверяют подпись, так что они могли установить файл со встроенным RAT.
Определить троян на компьютере можно по наличию процесса Activity_agent
в приложении OSX Activity Monitor.
Если у вас сохранился скачанный файл HandBrake.dmg, то можете проверить хеши заражённых файлов:
SHA1: 0935a43ca90c6c419a49e4f8f1d75e68cd70b274
SHA256: 013623e5e50449bbdf6943549d8224a122aa6c42bd3300a1bd2b743b01ae6793
Если у вас такой хеш, то файл инфицирован.
Как сообщается, вместе с транскодером поставлялась новая версия RAT под названием OSX.PROTON. Эту программу впервые заметили в продаже на российских подпольных форумах в феврале 2017 года.
Для удаления программы следует открыть терминал и выполнить следующие команды:
launchctl unload ~/Library/LaunchAgents/fr.handbrake.activity_agent.plist
rm -rf ~/Library/RenderFiles/activity_agent.app
~/Library/VideoFrameworks/
содержит proton.zip, то удалить папкуК сожалению, не доступен сервер mySQL