No existe ningún sistema operativo invulnerable. A pesar de los esfuerzos de Apple, el primer ransomware exclusivo para OS X llamado KeRanger ha logrado sortear Gatekeeper. Te contamos cómo eliminarlo.
El ransomware es una preocupación constante en la sociedad tecnológica moderna. En los últimos años hemos visto un ascenso imparable de este fenómeno del malware, tal y como ya hemos comentado aquí mismo en otras ocasiones. Para quienes no lo sepan, este tipo de softwaremalicioso “secuestra” el dispositivo infectado y obliga al usuario a pagar una cantidad económica para recuperarlo. Hay distintos tipos de ransomware, siendo CryptoLocker uno de los más famosos y peligrosos —llegó a recaudar hasta 30 millones de dólares en su período de máxima actividad—, ya que amenazaba con destruir los datos almacenados en el ordenador y el disco duro si no se pagaba el rescate.
El ransomware parecía un fenómeno exclusivo de plataformas como Windows y Android, algo lógico dado su alto número de usuarios. Esto ya no es así. Ha aparecido un nuevo actor exclusivo para OS X: KeRanger.
¿Qué es KeRanger? ¿Cómo funciona?
Los primeros registros que apuntan a la existencia de KeRanger aparecieron el pasado viernes. Se dice que es el primer ransomware funcional para dispositivos Apple. El virus se instala junto con el cliente de BitTorrent Transmission, y aunque Apple utiliza el sistema Gatekeeper para prevenir infecciones, si tienes instalado Transmission 2.90 en tu Mac puede que tengas que comprobar si estás infectado para después eliminar el malware.
De una manera similar a como funciona CryptoLocker, KeRanger cifra los archivos de los sistemas infectados y pide un “rescate” para descifrarlos. En el momento de escribir este artículo, el precio a pagar es 1 Bitcoin. Tal y como explican los investigadores de Palo Alto Networks, el ransomware consiguió sortear a Gatekeeper debido a que estaba firmado con un certificado Mac válido.
Cómo eliminar KeRanger de nuestro sistema OS X
Para eliminar KeRanger del sistema operativo tendremos que seguir los siguientes pasos:
- En primer lugar debemos determinar si estamos infectados. Para ello, usando Terminal o Finder, tendremos que comprobar si/Applications/Transmission.app/Contents/Resources/General.rtf o/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf existen en nuestro sistema. De ser así, Transmission está infectado y se recomienda desinstalar esa versión.
- A continuación tendremos que acudir al Monitor de Actividad de OS X. Buscaremos entre los procesos que se ejecutan cualquiera llamado kernel_service“. Si está, tendremos que marcarlo, elegir la opción Open Files and Ports y comprobar si hay un archivo con el nombre/Users/username/Library/kernel_service. Se trata del proceso principal de KeRanger. Lo siguiente sería forzar que su ejecución se detenga.
- Por último, debemos comprobar si existen los archivos .kernel_pid, kernel_time,kernel_complete o kernel_service en el directorio ~/Library. De ser así, es necesario borrarlos.
Como alternativa puedes instalar Transmission 2.92, ya que debería eliminar KeRanger automáticamente.
Fuente:https://www.malavida.com/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad