Primer caso de ransomware en OS X

ransomware-os.x

OS X nunca ha sido un sistema operativo tan popular, en comparación con Windows, para atraer a los desarrolladores de virus, malware… Pero de un tiempo a esta parte, parece que eso ha cambiado y cada vez son más los casos de malware, que afectan a los Mac.

Uno de los motivos por los que muchos usuarios migraron a OS X fue para evitar problemas con virus, malware… En los últimos años se ha popularizado una nueva especie de virus, que en lugar de borrar el contenido o infectarlo dejándolo inaccesible, lo que hace es encriptar el disco duro sin permitir el acceso a ningún archivo que se encuentre alojado en él. 

Este tipo de virus se llama ransomware, y como bien lo dice su nombre, ransom significa rescate, solicita una cuantía económica para poder desbloquear el contenido. Si el pago no se realiza en el tiempo establecido por el atacante, la clave que nos permite desbloquear la encriptación se destruirá y no podremos volver a recuperar esos archivos.

Este nuevo ransomware que afecta a OS X se llama KeRanger y se instala junto con la aplicación de descargas Transmission, exactamente con la versión 2.90. Varios días después de la instalación de esta aplicación, KeRanger se encarga de encriptar todo el contenido de nuestro disco duro situado en las carpetas /Users y /Volumes. Como es lógico, nadie nos asegura que pagando vayamos a recuperar la información.

Precisamente hace unos días Transmission se actualizó después de dos años y muchos fueron los usuarios que corrieron a actualizarla en sus Mac. Si eres uno de ellos, continua leyendo para comprobar si estás infectado y como puedes eliminar este ransomware antes de que entre en acción.

Cómo saber si estoy infectado

Para comprobar si estás infectado, debes dirigirte hasta Monitor de Actividad, situado en Aplicaciones > Utilidades. Si encontramos en los procesos abiertos kernel_process, mal asunto, porque significará que estás infectado. Si es tu caso lo mejor que puedes hacer antes de que KeRanger entre en funcionamiento es restaurar a una copia anterior a la instalación de la versión 2.9 de Transmisión.

Otra forma de averiguar si estas infectado con KeRanger es dirigirnos hasta la “/Applications/Transmission.app/Contents/Resources/ General.rtf” o “/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf”. El archivo General.rtf no estaba incluido en la versión final de Transmission 2.90 ya es el archivo encargado de infectar nuestro Mac. Si alguna de estas dos rutas existe en nuestro Mac, estamos infectados, por lo que lo más recomendable es borrar directamente la aplicación.

Virus-Transmission

Si eres afortunado y no estás infectado a pesar de tener la versión 2.90 instalada y si quieres evitar cualquier problema, lo mejor que puedes hacer es actualizar la aplicación a la versión 2.91 que ha lanzado el desarrollador. Según los desarrollados de Transmission no saben como ha podido acabar este ransomware en los instaladores de sus servidores, pero todo parece apuntar a que en algún momento han sido hackeados añadiendo los ficheros de instalación infectados.

En estos momentos, aseguran que todos los archivos de instalación disponibles están libres de este ransomware, pero nadie nos asegura que no vuelvan a entrar a sus servidores y los vuelvan a modificar, si ya lo hicieron una vez y los desarrolladores no se dieron cuenta.

Afortunadamente Apple se ha puesto rápidamente a buscar una solución a este problema y ha actualizado Gatekeeper añadiendo la versión 2.90 de Transmission de forma que si algún usuario trata de instalarla a día de hoy, OS X nos mostrará un masaje informándonos que no se puede abrir y que debemos cerrar la imagen de instalación. Esto no evita que pueda venir otra aplicación con otro ransomware y bloquear todos los documentos de nuestro Mac.


Categorías

Noticias

Ignacio Sala

Desde principios de los 90, cuando llegó a mis manos el primer ordenador, me ha apasionado todo lo relacionado con la tecnología e informática y... Ver perfil ›

2 comentarios

  1.   Joan Cortada dijo

    Siempre se tiene que tener mucha precaución en descargar actualizaciones de este tipo de programas, está claro que nunca traen solo mejoras, o añaden publicidad en el mejor de los casos o en el peor lo comentado en este post. Peligroso, muy peligroso.

  2.   Antonio López dijo

    Buenas tardes. Eliminando Transmission con un desinstalador tipo “Appcleaner” o similar, ¿se consigue eliminar el virus del ordenador?

Escribe un comentario