KeyRanger – El primer ransomware completamente funcional en OS X
Los usuarios de OS X hoy han sido golpeados con el primer caso conocido como Malware “ransomware” para Mac, que se encuentra en Transmission, el cliente BitTorrent publicado la semana pasada. Las versiones infectadas de la aplicación incluyen el malware KeyRanger que cifrará el disco duro del usuario después de tres días de haber sido instalado. El malware solicita el pago para permitir al usuario descifrar el disco y acceder a sus datos.
Según un reporte de Palo Alto Networks, Apple ya ha tomado medidas para frenar la propagación del malware a través de su sistema de seguridad llamado Gatekeeper, esto significa que la versión infectada de transmisión ya no se instalará, pero no ayuda a aquellos que ya han sido infectados por el virus. Transmission recomienda con urgencia a las personas actualizar la última versión de su software 2.91. A diferencia de los servicios de cifrado de sistema de amigos, se está volviendo cada vez más común en Windows en busca de virus y malware para cifrar los datos de usuario maliciosamente.
El objetivo es que el fabricante de virus recaude dinero mediante el rescate de datos de usuario hasta que se proporcione el pago, a cambio de que el malware logre descifrar la unidad una vez más.
El malware KeyRanger que circula actualmente, es el primer caso conocido como ransomware dirigido a usuarios OS X. No se recomienda pagar el malware, ya que sólo respalda nuevas acciones maliciosas y no hay garantía de que el de virus en realidad logre hacer el descifrado como se había prometido.
Los usuarios afectados por el ransomware deben buscar el proceso de servicio kernel, en el monitor de actividad, Este proceso se denomina como un programa de sistema de núcleo como un disfraz, pero en realidad es el malware KeyRanger. Si se ve afectado, la recomendación es restaurar a una copia de seguridad anterior de su sistema antes de instalar la transmisión. Esta es la mejor manera de asegurarse de que el virus ha sido eliminado por completo del sistema.
Vale la pena señalar que el malware sólo se ha detectado en la aplicación hasta la fecha de transmisión. No se sabe si es más generalizada o afecta a otras aplicaciones comunes.
Palo Alto Networks, sugiere algunos otros métodos para comprobar la presencia del malware. Su mensaje también incluye muchos más detalles sobre la ejecución técnica del virus, a fin de comprobar su puesto para obtener más información.
¿Cómo saber si Transmission está infectada con KeyRanger?
Los investigadores de seguridad sugieren que se compruebe la existencia del fichero
'/Applications/Transmission.app/Contents/Resources/General.rtf'
o
'/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf'.
Si este archivo existe, la aplicación Transmission esta probablemente infectada, por lo cual es recomendable desinstalar y eliminar cualquier archivo que haya dejado la app.
También puede comprobar la existencia de “.kernel_pid”, “.kernel_time”, “.kernel_complete” o “kernel_service” en el directorio ~/Library. En dado caso de que existan, se deben eliminar los archivos.
Otra opción es la de descargar Transmission 2.92, la nueva actualización que traen los desarrolladores de dicha app, para eliminar la amenaza, y al mismo tiempo evitar que esta ocurra.