Hoy amanecimos con una gran sorpresa para todos los usuarios de OS X, el sistema operativo que presume de ser libre de malware ha sufrido de uno grande y peligroso, se trata de KeRanger, un ransomware y se encuentra dentro de una aplicación de código abierto llamada "Transmisión".
En 2014 un ransomware llamado "FileCode" fue detectado por Kaspersky Lab pero se aclaró que se trataba de algo incompleto, contrario a este caso, KeRanger es completamente funcional y aunque se detectó a tiempo hay ciertos puntos a revisar.
¿Qué es un ransomware?
Aunque no se trata de algo nuevo, las alarmas por este tipo de malware han sonado fuerte últimamente, un ransomware infecta tu computadora y al mismo tiempo toma todos los datos y archivos, los encripta en una forma que es imposible desbloquear y te piden dinero a cambio de su desbloqueo.
Se podría traducir a un "secuestro de tu computadora" en donde el hacker pide rescate por la misma, en esta caso se trata de bitcoins, al encender tu computadora, aparece un mensaje en donde menciona el incidente, te muestra una cuenta en bitcoins y en ocasiones, muestran los lugares donde puedes ir a cambiar efectivo por los mencionados.
¿Cómo funciona KeRanger?
KeRanger se encuentra escondido en la versión 2.90 de una aplicación para OS X llamada "Transmisión" la cual no había recibido actualizaciones en 2 años, al ser de código abierto, los hackers lograron inyectar KeRanger.
Por otro lado, se utilizó un certificado digital válido, por ello, el encargado de revisar la seguridad, Gatekeeper, permitió que se instalara sin problema la aplicación, si observamos dentro de la misma, encontramos un archivo llamado "General.rtf" el cual en realidad es un ejecutable empaquetado con UPX 3.91.
Cuando abres la aplicación, el archivo se traslada a la ruta ~/Library/kernel_service en donde permite que se ejecute antes que nada y así bloquear los archivos y obtener información como el UUID, después, se envía a un servidor externo y recibes el mensaje de arriba.
La única manera de desbloquear tus archivos es pagando un bitcoin, lo que equivale a 404.47 dólares y 7,175.98 pesos mexicanos, incluso, como prueba, el hacker te permite desbloquear un archivo gratuitamente con el fin de "confiar" en que el desbloqueo funciona.
¿Cómo saber si esto infectado?
Primero, si eres usuario de "Transmisión" y actualizaste recientemente la aplicación es probable que lo estés, para ello tenemos que seguir una serie de pasos, incluso cuando los chicos encargados han lanzado la actualización que elimina por completo el ransomware y que Apple ha actuado ante ello.
- Abrimos la aplicación Terminal o Finder" y buscamos en la siguiente rutas si se encuentra el archivo *General.rtf:
- /Applications/Transmission.app/Contents/Resources/ General.rtf
- /Applications/Transmission.app/Contents/Resources/ General.rtf
- /Volumes/Transmission/Transmission.app/Contents/Resources/
Abrimos el "Monitor de actividad" y verificamos los procesos activos, buscando si tenemos uno llamado “kernel_service” ejecutándose, de ser así, haces doble clic sobre él, ir a la opción de "Archivos y puertos abiertos" y ver si hay un archivo con nombre /Users/
/Library/kernel_service, de ser así, habrá que forzar el cierre. Al final, revisa si los archivos .kernelpid, .kerneltime, .kernelcomplete o kernelservice se encuentran en la carpeta ~/Library directory, de ser así, eliminalos.
Este tipo de ataques son cada vez más vistos y más cuantiosos, solamente en un ataque, unos hackers se llevaron el mes pasado más de 3.4 millones de dólares lanzando un ransomware a un hospital en Los Ángeles.
