Pedro Santamaría
Atención usuarios de OS X, existe un nuevo ransonware capaz de afectar a la plataforma. Su nombre es KeRanger y es el primero que se encuentra. Porque FileCoder, detectado en 2014 por Kaspersky Lab fue una versión inacabada. Afortunadamente no sólo sabemos dónde se encuentra para su detección sino que tenemos el modo de eliminarlo.
Pero qué es esto de ransomware, cómo detectarlo y eliminarlo es lo que vamos a ver a continuación. Algo que tendréis que hacer todos los que descargaseis la semana pasada la última actualización de Transmission.
KeRanger: qué es
Ransomware es el nombre que recibe un software malicioso capaz de infectar un equipo, bloquearlo y encriptar los datos del mismo. Una táctica que luego permite pedir un “rescate” si se quieren recuperar los datos. Si no se hace pues lamentablemente se pierden. Algo que no creo sea del agrado de nadie.
En OS X este tipo de aplicaciones no son nada frecuentes. En OS X hubo un intento inacabado de la mano de FileCoder pero ha sido KeRanger (OSX.KeRanger.A) el primero en considerarse oficial y capaz de afectar a OS X. Por supuesto, como ya hemos comentado en alguna ocasión, para lograr sus objetivos requiere la ayuda del usuario.
En esta ocasión, para su instalación se aprovechó la ultima actualización de Transmission. El popular cliente de bittorrent para OS X recibió una actualización la semana pasada tras dos años sin hacerlo. En dicha versión 2.90 los atacantes aprovecharon que es una aplicación de código abierto para inyectar KeRanger.
Luego, mediante la utilización de un certificado válido lograron evitar que Gatekeeper, mecanismo de seguridad integrado en OS X, detectase la aplicación como peligrosa y rechazase su instalación. Por tanto, el resultado ha sido numerosas máquinas infectadas.
Por suerte la detección del mismo ha sido rápida, desde Transmission ya se han dado cuenta y lanzado una nueva versión 2.92 que soluciona dicho problema. Siendo obligatoria para todos aquellos que usen el cliente.
Cómo detectar y solucionar KeRanger
Y ahora la gran pregunta, ¿cómo detecto si estoy infectado por KeRanger? En Researchcenter explican con detalle cómo se instala KeRanger. Si vamos a Transmission y con el segundo botón del ratón hacemos clic en Mostrar contenido del paquete veremos que hay un archivo extra denominado General.rtf en la ruta Transmission.app/Content/MacOS/Transmission. Ese archivo de texto no es tal sino que se trata de un ejecutable empaquetado con UPX 3.91.
Cuando el usuario infectado ejecuta la aplicación dicho archivo se copia en la ubicación ~/Library/kernel_service y ejecuta este servicio antes de que ninguna interfaz aparezca para recolectar información del modelo de Mac y su identificador UUID. Datos que envía a un servidor externo. Luego devuelve una respuesta informando al usuario que sus archivos han sido bloqueados y tendrá que realizar determinados pasos si quiere recuperarlos. Pasos entre los que hay el pagar 1 bitcoin, o lo que es lo mismo 407,47 dólares.
Para saber si estamos infectados hay que seguir los siguientes pasos. Importante para todos los que hayáis descargado Transmission en su versión 2.90.
-
Abrir Terminal o Finder y verificar si tenemos el archivo General.rtf en nuestro equipo. Para ello basta con mirar en las rutas /Applications/Transmission.app/Contents/Resources/ General.rtf o /Applications/Transmission.app/Contents/Resources/ General.rtf or /Volumes/Transmission/Transmission.app/Contents/Resources/
-
Mediante el Monitor de actividad verificar los procesos activos. Si tenemos uno llamado “kernel_service” ejecutándose habrá que hacer doble clic sobre él, ir a la opción de Archivos y puertos abiertos (Open Files and Ports) y ver si hay un archivo con nombre /Users/
/Library/kernel_service Si la respuesta es sí habrá que forzar el cierre. -
Por último, comprobar si los archivos .kernel_pid, .kernel_time, .kernel_complete o kernel_service existen en la carpeta
~/Library directory. Si la respuesta es sí habrá que eliminarlos
OS X y las amenazas
Posiblemente, si sois usuarios de Transmission ya estareis al tanto de la amenaza pues sus desarrolladores lanzaron una actualización instando a todos a actualizar a la versión 2.92. Si no es así ya tenéis el remedio en caso de necesitarlo.
Por fortuna este tipo de problemas no son algo habitual en OS X pero es lógico que según aumenta el uso de la plataforma el interés por atacarla también lo haga. Apple ya fue notificada y el certificado problemático ha sido revocado. De modo que ahora Gatekeeper sí es capas de detectar y evitar la instalación de KeRanger.
Más información | Researchcenter
Ver 44 comentarios
44 comentarios
98979
Hay algo que no me gusta de los sistemas basados en Unix, que es la posibilidad de que cualquier archivo sea ejecutable sin que sea evidente para el usuario. En los sistemas de Microsoft siempre se ha tenido que vigilar los archivos .exe, .com y .bat, mientras que con el sistema de ejecucion mediante un bit que lo autoriza es mas facil "colarsela" a un usuario despistado como con el .rtf mencionado en el articulo.
Nacho
Menos mal que mi vagancia hizo que fuese postergando la actualización de forma indefinida.
church1987
Gatekeeper mecanismo de seguridad integrado hasta ahí deje de leer, si el mismo gatekeeper es un malware que cuesta un mundo eliminarlo
Lo importante del artículo que deja como moraleja es no instalar chorradas en el ordenador porq puede tener consecuencias drásticas, yo por ejemplo no confío en eso de torrents prefiero comprar mis programas originales y me olvido de royos igual q las músicas y películas
Uti
El artículo me ha dado escalofríos, afortunadamente, ni siquiera había oido hablar de esa aplicación, yo uso desde hace un tiempo uTorrent.
Hay algo que no entiendo : El artículo, muy útil y claro, te dice, si es que usas esa app, cómo detectar si estás infectado y, caso afirmativo, cómo eliminar el "bicho" pero ¿cómo puedes hacer todo eso si se supone que estás infectado y, por tanto, tienes el ordenador bloqueado hasta no pagar y bajar el antídoto? Imagino que se da por hecho que ya has pagado y desbloqueado el ordenador, aunque el virus sigue activo y dispuesto para otro sablazo. . . . .¿o no?
freelock
Hola!
Pero, ¿cómo lograron infectar la actualización? Es decir, entiendo que es posible que se colaran en la web y cambian el instalador para descargar una versión infectada (como pasó con Linux Mint), pero no me queda claro cómo han podido mandar una versión infectada desde el actualizador.
Otra duda que me surge: yo hasta ahora estaba tranquilo instalando aplicaciones que no me pedían la contraseña de administrador (llamadme ignorante :D), porque pensaba que no podrían modificar nada para alterar el sistema...por lo que veo ahora, esto no es así, verdad?
Gracias!
sruiz87
Hola, tengo la versión de Transmisión 2.84 Build 14306, saben si todas las versiones para atrás de la 2.92 estén infectadas? o exclusivamente la 2.90? porque ya hasta me da miedo actualizar
closernin
La version 2.92 es la elimina la amenaza
frnsp
Hola soy nuevo en mac, uso la versión infectada. Pero no me parece ni el archivo general, ni los demás archivos que se indican, existe alguna variante, por si es diferente en mi iMac. Gracias.
frnsp
Hola soy nuevo en mac, tengo la versión infectada, pero ninguno de los archivos que se indican, existe alguna variante de este virus. Gracias
angelcoreo
Pues comentan que también esta implementada, pero no activa la parte de código para encriptar la copia de seguridad de time machine. A si que cuadrado que vienen curvas.
davedavecats
Vaya me lo he comido entero! xD
¿alguna solución? o formateo ya?
zanaoriator
Manda huevos. Me bajé hace meses transmission para descargar un solo archivo. Meses después, lo abro para recordar que hacia el programa y me infecto con el virus xD