Conecta con nosotros

Soluciones

Cómo eliminar el ransomware KeRanger de tu Mac

Publicado el

Cómo eliminar el ransomware KeRanger de tu Mac

Cómo eliminar el ransomware KeRanger de tu Mac

Desde hace tiempo se viene avisando sobre el incremento y la posible explosión del malware compatible con Mac, debido a la expansión de los ordenadores de Apple en los últimos tiempos, situación que los ha vuelto atractivos para los desarrolladores de malware, aunque aquí tampoco hay que olvidar “iniciativas multiplataforma” como Ransom32.

MS Recomienda

Estudio sobre ciberseguridad en la empresa española ¡Participa en nuestra encuesta y gana!
Estudio "La virtualización en las empresas españolas" ¡Descárgate el informe!
Gestiona los dispositivos de tu empresa de forma inteligente Leer

Recientemente apareció la primera familia de ransomware totalmente funcional para Mac OS X, que se instala a través de la instalación de una versión ilegítima de Transmission, uno de los clientes de BitTorrent más populares de Linux y OS X, siendo una aplicación con una interfaz sencilla y fácil de utilizar.

Palo Alto Networks, la compañía de seguridad que descubrió el ransomre, comenta que la versión ilegítima de Transmission se ha estado distribuyendo desde las 11 AM PST del 4 de marzo de 2016 hasta las 7 PM PST del 5 de marzo de 2016.

El ransomware distribuido es KeRanger, cuya peligrosidad es directamente comparable al de un malware para Windows, pudiendo cifrar hasta 300 extensiones de archivos diferentes para luego pedir un rescate de 1 Bitcoin que se tiene que pagar a través de la red Tor, todo con el fin de no dejar rastros de las personas que están detrás del ataque.

¿Qué hacer en caso de haber instalado una versión ilegítima de Transmission?

Aquellos que hayan instalado Transmission 2.90 para Mac durante las fechas mencionadas tienen también en su sistema el ransomware KeRanger. Si los ficheros personales no han sido cifrados todavía se puede evitar la desgracia siguiendo los siguientes pasos:

  1. En primer lugar hay que abrir el Terminal o el explorador de archivos Finder, para luego encontrar el fichero «/Applications/Transmission.app/Contents/Resources/ General.rtf» o «/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf». En caso de encontrarse el fichero General.rtf significa que se ha instalado una versión ilegítima de Transmission que contiene el ransomware KeRanger.
  2. Después hay que abrir el Monitor de Actividad (Activity Monitor) de OS X y comprobar si hay un proceso en ejecución llamado kernel_service. En caso afirmativo, hay que hacer doble clic sobre él y seleccionar la opción “Abrir Ficheros y Puertos” (Open Files and Ports). Después el usuario tiene comprobar si existe un fichero llamado “/Users/<nombredeusuario>/Library/kernel_service”. En caso afirmativo tendrá seleccionar la opción de Forzar cierre (force quit) de la opción Cerrar (Quit).
    fig12-500x358
  3. Después de seguir los pasos anteriores, se recomienda comprobar si los ficheros .kernel_pid, .kernel_time, .kernel_complete o kernel_service todavía siguen presentes en el directorio ~/Library, borrándolos en caso de ser encontrados.

¿Tus ficheros han sido cifrados? No hay solución, salvo pagar

Volvemos a recordar que no existen remedios generales para los ransomware, y cada uno, en caso de haber alguna manera de salvar los ficheros de forma gratuita, tiene una solución diferente.

En caso de que KeRanger haya cifrado tus ficheros no hay nada que hacer por ahora, salvo pagar o formatear el disco duro y reinstalar el sistema, debido a que este ransomware afecta los ficheros de Time Machine. Ante esta situación solo queda una medida de defensa, realizar copias de seguridad de al menos nuestros ficheros más importantes cada cierto tiempo (cuanto mayores y más rápidos se hagan los cambios en los ficheros, con más frecuencia se tienen que hacer) para minimizar al máximo el destrozo de los ransomware. Para esto se puede emplear disco duros externos y discos ópticos de gran capacidad, como DVD e incluso Blu Ray (un CD también podría valer, pero hoy en día los ficheros personales de uno difícilmente caben en un CD).

Apple ya ha tomado medidas para neutralizarlo

Apple ha actualizado las firmas de XProtect para evitar el abuso de los certificados por parte de la versión maliciosa de Transmission, mostrando un aviso en caso de que el usuario lo instale en su OS X. Sin embargo posiblemente para algunos esto llegue tarde porque ya han sido infectados.

Por último es importante mencionar que los usuarios de Linux no tienen nada que temer, más si instalan Transmission a través de los repositorios de su distribución.

Lo más leído