Muy buenas y bienvenidos a Applenosol Diario, hoy hablaremos de KeRanger.
KeRanger es el primer Rasomware sólido que ha atacado a OS X, a Mac. Ya se ha leído de diferentes fuentes que este año iban a crecer los ataques a nuestro querido sistema operativo. Según parece, el interés de los hackers, dado el creciente uso de OS X es más que evidente, y KeRanger es un proyecto sólido, nada de pruebas ni de test. Tanto es así, que la App Transmission, cliente de Torrent que fue actualizada del 4 de marzo de 2016, fue infectado por KeRanger.
Lo que ha sucedido es que dicha App para Mac, fue sustituida en sus servidores por dos versiones que incluían este rasomware. De manera que algunos de los que actualizaron este software pudieron ser infectados. La aplicación infectada con KeRanger estaba firmada con un certificado de desarrollador de Apple válido y por lo tanto, era capaz de saltarse la primera línea de defensa de Apple, Gatekeeper. Tras descubrir el malware, Palo Alto Networks, informó directamente a los responsables del proyecto Transmission y a Apple el mismo 4 de marzo. Desde entonces, Apple ha revocado el certificado del desarrollador asociado y ha añadido las definiciones de Xprotect para impedir la ejecución del malware, además de que los instaladores maliciosos han sido retirados de la web del proyecto Transmission.
Oigamos por tanto todo esto en el podcast:
#253 KeRanger, primer ransomware para Mac
Guión temporizado:
00:00 Introducción
01:35 KeRanger ransomware
02:54 ¿Qué es un Ransomware?
05:20 ¿Qué ha pasado?
07:51 ¿Cómo funciona KeRanger?
10:43 Preguntas y respuestas
10:50 Utilizo Transmission y me actualicé a la versión 2.90 ¿Estoy infectado?
11:35 ¿La versión de Transmission 2.92 es segura?
11:45 ¿Puedo infectarme a día de hoy?
12:05 ¿Puedo forzar la renovación de las definiciones de Xprotect? sudo softwareupdate --background-critical
12:28 ¿Cómo puedo saber si estoy infectado o no?
/Applications/Transmission.app/Contents/Resources/ General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf13:24 Utiliza el Monitor de Actividad para controlar el proceso
13:52 Eliminación de archivos:
~/Librería/Kernel_serviceAdemás de las carpetas ocultas, si existieran “kernel_pid”, “.kernel_time”, “.kernel_complete” o “kernel_service” dentro de la carpeta Librería de tu usuario.
14:23 ¿Es grande el impacto?
14:57 Conclusiones
Y nada mas. Hasta mañana a las 07:07 con otra entrega de Applenosol Diario. ¡Feliz día!
Como siempre, muchísimas gracias estar al otro lado escuchando, por vuestras valoraciones de 5 estrellas en iTunes, y por vuestros Me Gusta en iVoox, que siempre me animan a seguir. :)
Enlaces y destacados de este episodio:
- Grupo Applenosol Diario en Telegram
- Cursos de Formación
- MailButler (utilidades Apple Mail)
- Invitación a Dropbox
- Formulario de Contacto: Pregúntame. Propón tus temas.
- Subscríbete y dame 5 estrellas en iTunes
- Subscríbete y recomiéndanos en iVoox
