KeRanger: nuevo ransomware para Mac se propaga vía Transmission
El 4 de marzo de 2016 apareció un nuevo ransomware llamado KeRanger que infecta al sistema operativo de Apple Mac OS X.
El primer indicio del problema llegó el fin de semana. Los usuarios de Transmission (un cliente de BitTorrent muy utilizado en OS X) habrán notado la siguiente advertencia:
Advertencia que aparece durante el inicio de la aplicación Transmission para OS X
La advertencia, que se mostraba tanto dentro de la aplicación Transmission como en su página web, comunica que la versión 2.90 de la aplicación está infectada. Les recomienda a todos los usuarios actualizarla de inmediato a la versión 2.91, ya que pueden ser víctimas de un nuevo ransomware de cifrado de archivos dirigido a sistemas OS X, conocido como KeRanger.
El primero en publicar un análisis de esta amenaza fue Palo Alto Networks. El investigador de ESET Anton Cherepanov también descubrió la amenaza y ha completado su propio análisis.
A continuación te mostramos lo que necesitas saber, seguido de su análisis técnico.
1. ¿Es KeRanger simplemente un malware de prueba de concepto o un malware perfectamente funcional que se encuentra activo in the wild?
Por desgracia, es la segunda opción.
2. ¿Cómo se propaga KeRanger?
Se propaga mediante una versión infectada de una aplicación de BitTorrent legítima de código abierto: Transmission. Su versión maliciosa (2.90) estuvo disponible para descargar entre el 4 y el 5 de marzo de 2016, y estaba firmada con un certificado legítimo del desarrollador.
3. ¿Aún se sigue propagando?
Desde el 5 de marzo, la versión maliciosa fue eliminada del sitio web de Transmission. Además, Apple ha revocado el certificado para evitar que los usuarios abran el programa de instalación infectado, por más de que lo descarguen desde un sitio Web de terceros.
4. No apareció ningún pedido de rescate en mi equipo. ¿Significa que mi Mac no se llegó a infectar con KeRanger?
No necesariamente. La versión de KeRanger que analizamos permaneció inactiva durante tres días tras la infección inicial. Para determinar si KeRanger está presente en tu Mac, sigue estos pasos:
· Si encuentras alguno de estos archivos, bórralo y desinstala la aplicación Transmission:
o /Applications/Transmission.app/Contents/Resources/ General.rtf
o /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
o %HOME_DIR%/Library/kernel_service/kernel_service
o %HOME_DIR%/Library/kernel_service/.kernel_pid
o %HOME_DIR%/Library/kernel_service/.kernel_time
5. ¿Hay alguna manera de descifrar los archivos?
Lamentablemente, no. El malware utiliza algoritmos de cifrado (RSA-2048 y AES-256), ambos efectivamente inquebrantables.
6. ¿Cómo puedo proteger mis datos?
Usa una solución de seguridad de confianza. Los usuarios de ESET están protegidos: nuestro software detecta a KeRanger como OSX/Filecoder.KeRanger.A. Les recomendamos firmemente a todos los usuarios realizar backups de sus datos importantes en forma periódica.
Fuente: M. Fernanda Hernández G. - mfernanda.hernandez@bmr.cl
El primer indicio del problema llegó el fin de semana. Los usuarios de Transmission (un cliente de BitTorrent muy utilizado en OS X) habrán notado la siguiente advertencia:
Advertencia que aparece durante el inicio de la aplicación Transmission para OS X
La advertencia, que se mostraba tanto dentro de la aplicación Transmission como en su página web, comunica que la versión 2.90 de la aplicación está infectada. Les recomienda a todos los usuarios actualizarla de inmediato a la versión 2.91, ya que pueden ser víctimas de un nuevo ransomware de cifrado de archivos dirigido a sistemas OS X, conocido como KeRanger.
El primero en publicar un análisis de esta amenaza fue Palo Alto Networks. El investigador de ESET Anton Cherepanov también descubrió la amenaza y ha completado su propio análisis.
A continuación te mostramos lo que necesitas saber, seguido de su análisis técnico.
1. ¿Es KeRanger simplemente un malware de prueba de concepto o un malware perfectamente funcional que se encuentra activo in the wild?
Por desgracia, es la segunda opción.
2. ¿Cómo se propaga KeRanger?
Se propaga mediante una versión infectada de una aplicación de BitTorrent legítima de código abierto: Transmission. Su versión maliciosa (2.90) estuvo disponible para descargar entre el 4 y el 5 de marzo de 2016, y estaba firmada con un certificado legítimo del desarrollador.
3. ¿Aún se sigue propagando?
Desde el 5 de marzo, la versión maliciosa fue eliminada del sitio web de Transmission. Además, Apple ha revocado el certificado para evitar que los usuarios abran el programa de instalación infectado, por más de que lo descarguen desde un sitio Web de terceros.
4. No apareció ningún pedido de rescate en mi equipo. ¿Significa que mi Mac no se llegó a infectar con KeRanger?
No necesariamente. La versión de KeRanger que analizamos permaneció inactiva durante tres días tras la infección inicial. Para determinar si KeRanger está presente en tu Mac, sigue estos pasos:
· Si encuentras alguno de estos archivos, bórralo y desinstala la aplicación Transmission:
o /Applications/Transmission.app/Contents/Resources/ General.rtf
o /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
o %HOME_DIR%/Library/kernel_service/kernel_service
o %HOME_DIR%/Library/kernel_service/.kernel_pid
o %HOME_DIR%/Library/kernel_service/.kernel_time
5. ¿Hay alguna manera de descifrar los archivos?
Lamentablemente, no. El malware utiliza algoritmos de cifrado (RSA-2048 y AES-256), ambos efectivamente inquebrantables.
6. ¿Cómo puedo proteger mis datos?
Usa una solución de seguridad de confianza. Los usuarios de ESET están protegidos: nuestro software detecta a KeRanger como OSX/Filecoder.KeRanger.A. Les recomendamos firmemente a todos los usuarios realizar backups de sus datos importantes en forma periódica.
Fuente: M. Fernanda Hernández G. - mfernanda.hernandez@bmr.cl
