Atención usuarios de OS X, existe un nuevo ransonware capaz de afectar a la plataforma. Su nombre es KeRanger y es el primero que se encuentra. Porque FileCoder, detectado en 2014 por Kaspersky Lab fue una versión inacabada. Afortunadamente no sólo sabemos dónde se encuentra para su detección sino que tenemos el modo de eliminarlo.
Pero qué es esto de ransomware, cómo detectarlo y eliminarlo es lo que vamos a ver a continuación. Algo que tendréis que hacer todos los que descargaseis la semana pasada la última actualización de Transmission.
KeRanger: qué es
Ransomware es el nombre que recibe un software malicioso capaz de infectar un equipo, bloquearlo y encriptar los datos del mismo. Una táctica que luego permite pedir un “rescate” si se quieren recuperar los datos. Si no se hace pues lamentablemente se pierden. Algo que no creo sea del agrado de nadie.
En OS X este tipo de aplicaciones no son nada frecuentes. En OS X hubo un intento inacabado de la mano de FileCoder pero ha sido KeRanger (OSX.KeRanger.A) el primero en considerarse oficial y capaz de afectar a OS X. Por supuesto, como ya hemos comentado en alguna ocasión, para lograr sus objetivos requiere la ayuda del usuario.
En esta ocasión, para su instalación se aprovechó la ultima actualización de Transmission. El popular cliente de bittorrent para OS X recibió una actualización la semana pasada tras dos años sin hacerlo. En dicha versión 2.90 los atacantes aprovecharon que es una aplicación de código abierto para inyectar KeRanger.
Luego, mediante la utilización de un certificado válido lograron evitar que Gatekeeper, mecanismo de seguridad integrado en OS X, detectase la aplicación como peligrosa y rechazase su instalación. Por tanto, el resultado ha sido numerosas máquinas infectadas.
Por suerte la detección del mismo ha sido rápida, desde Transmission ya se han dado cuenta y lanzado una nueva versión 2.92 que soluciona dicho problema. Siendo obligatoria para todos aquellos que usen el cliente.
Cómo detectar y solucionar KeRanger
Y ahora la gran pregunta, ¿cómo detecto si estoy infectado por KeRanger? En Researchcenter explican con detalle cómo se instala KeRanger. Si vamos a Transmission y con el segundo botón del ratón hacemos clic en Mostrar contenido del paquete veremos que hay un archivo extra denominado General.rtf en la ruta Transmission.app/Content/MacOS/Transmission. Ese archivo de texto no es tal sino que se trata de un ejecutable empaquetado con UPX 3.91.
Cuando el usuario infectado ejecuta la aplicación dicho archivo se copia en la ubicación ~
/Library/kernel_service y ejecuta este servicio antes de que ninguna interfaz aparezca para recolectar información del modelo de Mac y su identificador UUID. Datos que envía a un servidor externo. Luego devuelve una respuesta informando al usuario que sus archivos han sido bloqueados y tendrá que realizar determinados pasos si quiere recuperarlos. Pasos entre los que hay el pagar 1 bitcoin, o lo que es lo mismo 407,47 dólares.
Para saber si estamos infectados hay que seguir los siguientes pasos. Importante para todos los que hayáis descargado Transmission en su versión 2.90.
-
Abrir Terminal o Finder y verificar si tenemos el archivo General.rtf en nuestro equipo. Para ello basta con mirar en las rutas /Applications/Transmission.app/Contents/Resources/ General.rtf o /Applications/Transmission.app/Contents/Resources/ General.rtf or /Volumes/Transmission/Transmission.app/Contents/Resources/
-
Mediante el Monitor de actividad verificar los procesos activos. Si tenemos uno llamado ?kernel_service? ejecutándose habrá que hacer doble clic sobre él, ir a la opción de Archivos y puertos abiertos (Open Files and Ports) y ver si hay un archivo con nombre /Users/<username>/Library/kernel_service Si la respuesta es sí habrá que forzar el cierre.
-
Por último, comprobar si los archivos .kernel_pid, .kernel_time, .kernel_complete o kernel_service existen en la carpeta
~
/Library directory. Si la respuesta es sí habrá que eliminarlos
OS X y las amenazas
Posiblemente, si sois usuarios de Transmission ya estareis al tanto de la amenaza pues sus desarrolladores lanzaron una actualización instando a todos a actualizar a la versión 2.92. Si no es así ya tenéis el remedio en caso de necesitarlo.
Por fortuna este tipo de problemas no son algo habitual en OS X pero es lógico que según aumenta el uso de la plataforma el interés por atacarla también lo haga. Apple ya fue notificada y el certificado problemático ha sido revocado. De modo que ahora Gatekeeper sí es capas de detectar y evitar la instalación de KeRanger.
Más información | Researchcenter
Ver 44 comentarios