El ransomware llega a los Mac: Todo lo que debes que saber sobre OSX/KeRanger-A

ActualidadMalwareRansomware

El ransomware llega a los Mac: Todo lo que debes que saber sobre OSX/KeRanger-A

Para los que crean que usando un Mac están libres de todo mal, un nuevo aviso: ya ha llegado el ransomware y se llama OSX/KeRanger-A. Los ciberdelincuentes han copiado la formula que tan bien funciona en Windows.

  • Engañarte para que abras un fichero
  • Cuando lo hagas, instalar y ejecutar el ransomware
  • Pedir una clave de cifrado a sus servidores
  • Cifrar una gran variedad de ficheros añadiéndoles la extensión .encrypted a cada uno
  • Añadir un fichero llamado README_FOR_DECRYPT.txt en cada carpeta donde han cifrado archivos

¿Qué ocurre si me he infectado?

Si abres un fichero con la extensión .encrypted sólo encontrarás una larga sucesión de caracteres alfanuméricos sin ningún sentido. De hecho, se han cifrado con un potente algoritmo AES, por lo que son similares a basura aleatoria.

Si no tienes una copia de seguridad, la única manera de recuperar los ficheros es seguir las instrucciones del fichero README_FOR_DECRYPT.txt:

ker-readme

Básicamente piden, en un inglés macarrónico, que pagues un rescate utilizando únicamente bitcoins.

La URL en la que se debe efectuar el pago, pertenece a la web profunda y sólo se puede acceder con Tor.

ker-login

Si introduces tu ID, el cual encontrarás en la página principal, sabrás cuánto has pagado. Una vez realices el pago completo podrás acceder a las claves para restaurar tus archivos.

ker-tickets

No hemos realizado ningún pago, por lo que no sabemos si se reciben las claves correctas. Recomendamos que nadie pague ya que estarías enriqueciendo a los ciberdelincuentes.

También existe una sección de preguntas más frecuentes:

ker-faq

E incluso la opción de recuperar un archivo gratis:

ker-options

Esta opción es habitual en los últimos ransomware de Windows. La idea es convencernos de que los ciberdelincuentes van a devolvernos nuestros archivos si pagamos.

¿Cómo nos infectamos?

La mayor parte del ransomware para Windows se distribuye vía correo electrónico, embebido en ficheros Word adjuntos.

Este, sin embargo, utiliza otro sistema de propagación. Los ciberdelincuentes hackearon el servidor de un popular cliente de descargas BitTorrent llamado Transmission, crearon una versión falsa a la que llamaron 2.90 y la publicaron en la web oficial de descarga.

La app Transmission prácticamente no fue modificada; únicamente le añadieron el código del malware, el cual se activa a los tres días de que se instale en el ordenador.

¿Qué hacer?

  • Considera emplear un antivirus para tu Mac. Este escaneará los ficheros que descargues en busca de malware y analizará las webs que visites impidiéndote ir a webs comprometidas.
  • Realiza copias de seguridad de tus ficheros. Estas se deben almacenar offline y preferiblemente en un disco externo al ordenador, que no esté conectado habitualmente a nuestra máquina. En OSX existe un software llamado Time Machine que permite realizar copias de seguridad cifradas, de manera que aunque caigan en malas manos, tus datos estarán protegidos.

sophos-home

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.