KeRanger: El primer ransomware dirigido a Macs

Windows 10 Upgrade Ransomware, Thunderstrike 2 Mac Hack, New TOR Anonymity Attack - Threatwire (Junio 2026)

Windows 10 Upgrade Ransomware, Thunderstrike 2 Mac Hack, New TOR Anonymity Attack - Threatwire (Junio 2026)
Anonim

El 4 de marzo de 2016, Palo Alto Networks, una reconocida firma de seguridad, publicó su descubrimiento del ransomware KeRanger que infecta a Transmission, el popular cliente de Mac BitTorrent. El malware real se encontró dentro del instalador para la versión 2.90 de Transmisión.

El sitio web de Transmission rápidamente eliminó el instalador infectado y está instando a cualquier persona que use Transmission 2.90 a que actualice a la versión 2.92, que Transmission verificó que no tenía KeRanger.

Transmission no ha discutido cómo el instalador infectado pudo ser alojado en su sitio web, ni Palo Alto Networks pudo determinar cómo se comprometió el sitio de Transmisión.

KeRanger Ransomware

El ransomware KeRanger funciona como lo hace la mayoría de los ransomware, al cifrar los archivos en su Mac y luego exigir el pago; en este caso, en la forma de un bitcoin (actualmente valorado en alrededor de $ 400) para proporcionarle la clave de cifrado para recuperar sus archivos.

El instalador de la transmisión comprometido instala el ransomware KeRanger. El instalador utiliza un certificado válido de desarrollador de aplicaciones para Mac, lo que permite que la instalación del ransomware supere la tecnología Gatekeeper de OS X, lo que impide la instalación de malware en la Mac.

Una vez instalado, KeRanger establece la comunicación con un servidor remoto en la red Tor. Luego se va a dormir durante tres días. Una vez que se despierta, KeRanger recibe la clave de cifrado del servidor remoto y procede a cifrar los archivos en el Mac infectado.

Los archivos encriptados incluyen aquellos en la carpeta / Usuarios, lo que hace que la mayoría de los archivos de usuarios en la Mac infectada se conviertan en encriptados y no sean utilizables. Además, Palo Alto Networks informa que la carpeta / Volumes, que contiene el punto de montaje para todos los dispositivos de almacenamiento conectados, tanto locales como en su red, también es un objetivo.

En este momento, hay información mixta con respecto a las copias de seguridad de Time Machine que KeRanger encripta, pero si la carpeta / Volumes está dirigida, no veo ninguna razón por la que una unidad de Time Machine no esté encriptada. Supongo que KeRanger es una pieza tan nueva de ransomware que los informes mixtos sobre Time Machine son simplemente un error en el código de ransomware; A veces funciona, y otras veces no.

Apple reacciona

Palo Alto Networks reportó el ransomware KeRanger tanto a Apple como a Transmission. Ambos reaccionaron rápidamente; Apple revocó el certificado de desarrollador de la aplicación Mac utilizado por la aplicación, lo que permite a Gatekeeper detener otras instalaciones de la versión actual de KeRanger. Apple también actualizó las firmas de XProject, permitiendo que el sistema de prevención de malware OS X reconozca KeRanger e impida la instalación, incluso si GateKeeper está desactivado, o está configurado para una configuración de baja seguridad.

Transmission eliminó a Transmission 2.90 de su sitio web y volvió a publicar rápidamente una versión limpia de Transmission, con un número de versión de 2.92. También podemos asumir que están investigando cómo se comprometió su sitio web y tomar medidas para evitar que vuelva a suceder.

Cómo quitar KeRanger

Recuerde, descargar e instalar la versión infectada de la aplicación Transmission es actualmente la única forma de adquirir KeRanger. Si no utiliza la transmisión, actualmente no necesita preocuparse por KeRanger.

Mientras KeRanger no haya cifrado aún los archivos de su Mac, tendrá tiempo para eliminar la aplicación y evitar que se produzca el cifrado. Si los archivos de su Mac ya están cifrados, no hay mucho que pueda hacer, excepto esperar que sus copias de seguridad no hayan sido cifradas también. Esto señala una muy buena razón para tener una unidad de respaldo que no siempre está conectada a su Mac. Como ejemplo, uso Carbon Copy Cloner para hacer un clon semanal de los datos de mi Mac. La carcasa de la unidad que el clon no se monta en mi Mac hasta que se necesita para el proceso de clonación.

Si me hubiera encontrado con una situación de ransomware, podría haberme recuperado restaurando desde el clon semanal. La única penalidad por usar el clon semanal es tener archivos que podrían estar desactualizados hasta una semana, pero eso es mucho mejor que pagar un rescate a un infame cretino.

Si se encuentra en la desafortunada situación de KeRanger, que ya ha caído en su trampa, no tengo otra salida que pagar el rescate o recargar OS X y comenzar de nuevo con una instalación limpia.

Eliminar transmisión

En el Finder, vaya a / Aplicaciones.

Busque la aplicación Transmisión y luego haga clic con el botón derecho en su icono.

En el menú emergente, seleccione Mostrar contenido del paquete.

En la ventana del Finder que se abre, navegue a / Contents / Resources /.

Busque un archivo etiquetado General.rtf.

Si el archivo General.rtf está presente, tiene una versión infectada de Transmission instalada. Si la aplicación de transmisión se está ejecutando, salga de la aplicación, arrástrela a la papelera y luego vacíe la papelera.

Quitar KeRanger

Iniciar Activity Monitor, ubicado en / Aplicaciones / Utilidades.

En Activity Monitor, seleccione la pestaña CPU.

En el campo de búsqueda del Monitor de actividad, ingrese lo siguiente:

kernel_service

y luego presione regresar.

Si el servicio existe, aparecerá en la ventana del Monitor de actividad.

Si está presente, haga doble clic en el nombre del proceso en el Monitor de actividad.

En la ventana que se abre, haga clic en el botón Abrir archivos y puertos.

Tome nota de la ruta de acceso kernel_service; probablemente será algo como:

/ users / homefoldername / Library / kernel_service

Seleccione el archivo y luego haga clic en el botón Salir.

Repita lo anterior para el kernel_time y kernel_complete nombres de servicio

Aunque salga de los servicios dentro de Activity Monitor, también necesita eliminar los archivos de su Mac. Para hacerlo, use las rutas de los archivos que tomó nota para navegar a los archivos kernel_service, kernel_time y kernel_complete. (Nota: es posible que no tenga todos estos archivos presentes en su Mac).

Dado que los archivos que necesita eliminar se encuentran en la carpeta de la biblioteca de su carpeta de inicio, deberá hacer que esta carpeta especial esté visible. Puede encontrar instrucciones sobre cómo hacer esto en el artículo OS X Está ocultando la carpeta de su biblioteca.

Una vez que tenga acceso a la carpeta de la Biblioteca, elimine los archivos mencionados arriba arrastrándolos a la papelera, luego haga clic con el botón derecho en el icono de la papelera y seleccione Vaciar Papelera.

¿Dirigido a una feria de carreras? como destacar

¿Dirigido a una feria de carreras? como destacar

Si asiste a una feria profesional, prepárese para sumergirse en un mar de empleadores potenciales y pasar por una mini entrevista tras otra. Le mostraremos cómo superar estas reuniones de cinco minutos y causar una gran impresión mucho después de que termine el día.

¿Dirigido a una conferencia? 6 maneras de aprovecharlo al máximo

¿Dirigido a una conferencia? 6 maneras de aprovecharlo al máximo

Asistir a una conferencia puede ser excelente para su carrera, si lo aborda de la manera correcta. Siga estos pasos para asegurarse de obtener el máximo rendimiento de su inversión en conferencias.

Marketing dirigido: bueno para las elecciones, malo para el gobierno

Marketing dirigido: bueno para las elecciones, malo para el gobierno

Los candidatos políticos tienen millones de puntos de datos sobre quiénes somos, dónde vivimos y qué queremos como votantes. Y esto es genial cuando están haciendo campaña, pero presenta un gran problema cuando necesitan gobernar. Siga leyendo para obtener más información sobre el gran problema con los grandes datos.

La Elección Del Editor