Ransomware.OSX.KeRanger: El ransomware llegó a OS X

Los usuarios de OS X que han descargado el cliente de Torrent Transmission el viernes pasado o el sábado están siendo advertidos de actualizar a la última versión 2.92 para evitar ser blanco de un ransomware que se infiltró en una versión anterior del software de código abierto. Investigadores de Palo Alto informaron sobre la amenaza indicando que los atacantes infectaron dos instaladores de Transmission 2.90 con KeRanger durante la mañana del 4 de Marzo.

KeRanger es el nombre utilizado a lo que se cree que es el primer ransomware funcional para el sistema operativo OS X. El programa malicioso es capaz de conectarse a un servidor remoto a través de la red TOR y comienza el cifrado de ciertos tipos de archivos y datos. Después, como todo ransomware, el malware exige a las víctimas que paguen alrededor de 400 dólares a una dirección específica para recuperar sus archivos. El pago debe realizarse a través de bitcoins. 

Figura 1: Trannsmission infectado

Los investigadores advierten que el código malicioso está tratando de cifrar también las copias de seguridad de los usuarios de Time Machine, con el objetivo claro de evitar que éstos sean capaces de recuperar sus datos de la copia de seguridad. El mismo día en que Palo Alto advirtió sobre el ransomware se distribuyó con la aplicación Transmission, a través de la versión 2.90, por lo que hay que actualización a la versión 2.92 rápidamente. Apple también comenzó la distribución automática de una firma para XProtect. Apple ya ha revocado el certificado de la aplicación, por lo que si alguien quiere instalar Transmission entre las versiones infectadas se encontrará con la negativa por parte de XProtect.