Advertencia: En primer lugar OS X ransomware completamente funcional dirigido a los usuarios de Mac

El fin de semana, los hackers lograron infectar a la aplicación BitTorrent fuente de transmisión abierta para Mac

El fin de semana, los hackers lograron infectar a la aplicación BitTorrent fuente de transmisión abierta con la primera ransomware completamente funcional visto en OS X, informa Palo Alto Networks.

Apodado "KeRanger", el ransomware se insertó en dos instaladores de Transmisión 2.9 El 4 de marzo. No está claro cómo los archivos fueron sustituidos por versiones infectadas pero el sitio web pueden haber sido comprometidas.

La aplicación KeRanger fue firmado con un certificado válido de desarrollo de aplicaciones de Mac; Por lo tanto, era capaz de eludir la protección de Gatekeeper de Apple. Si un usuario instala las aplicaciones infectadas, un archivo ejecutable incrustado se ejecuta en el sistema. KeRanger espera a que durante tres días antes de conectar con el mando y control (C2) servidores a través de la red Tor anonymizer. El malware entonces comienza la encriptación de ciertos tipos de archivos de documentos y de datos en el sistema. Después de completar el proceso de cifrado, KeRanger exige que las víctimas presten un bitcoin (aproximadamente $ 400) a una dirección específica para recuperar sus archivos. Además, KeRanger parece estar todavía en fase de desarrollo activo y parece que el software malicioso también está tratando de cifrar los archivos de copia de seguridad de Time Machine para impedir que las víctimas recuperar sus datos de copia de seguridad.

Después se informó la emitida, el proyecto de transmisión elimina los instaladores maliciosos y Apple actualiza es XProtect firmas de antivirus y revocó el certificado abusado para evitar más instalaciones. Si ha descargado la transmisión entre las 11:00 am PST, 4 de marzo de 2016, y antes de las 7:00 pm PST 5 de marzo de 2016, que puede estar infectada.

He aquí los pasos de Palo Alto Networks recomienda tomar para identificar y eliminar el ransomware:

● El uso de cualquiera de los terminales o el Finder, comprobar si existen /Applications/Transmission.app/Contents/Resources/ General.rtf or /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf .Si cualquiera de estos existen, la aplicación de transmisión está infectado y que sugiere eliminar esta versión de la transmisión.

● El uso de "Monitor de Actividad" preinstalado en OS X, compruebe si cualquier proceso llamado "kernel_service" se está ejecutando. Si es así, vuelva a revisar el proceso, elegir la opción "Archivos y puertos abiertos" y compruebe si hay un nombre de archivo como “/Users//Library/kernel_service”  (Figura 12). Si es así, el proceso es un proceso principal de KeRanger. Sugerimos que termina con "Salir -> Forzar salida".

● Después de estos pasos, recomendamos comprobar si los archivos de los usuarios “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service” existing in ~/Library directory.  Si es así, debe eliminarlos.

Pulse el enlace siguiente para más detalles sobre cómo funciona el ransomware ...