sábado, 12 de marzo de 2016

El ransomware llega a los Mac: Todo lo que debes que saber sobre OSX/KeRanger-A

Para los que crean que usando un Mac están libres de todo mal, un nuevo aviso: ya ha llegado el ransomware y se llama OSX/KeRanger-A. Los ciberdelincuentes han copiado la formula que tan bien funciona en Windows.
  • Engañarte para que abras un fichero
  • Cuando lo hagas, instalar y ejecutar el ransomware
  • Pedir una clave de cifrado a sus servidores
  • Cifrar una gran variedad de ficheros añadiéndoles la extensión .encrypted a cada uno
  • Añadir un fichero llamado README_FOR_DECRYPT.txt en cada carpeta donde han cifrado archivos

¿Qué ocurre si me he infectado?

Si abres un fichero con la extensión .encrypted sólo encontrarás una larga sucesión de caracteres alfanuméricos sin ningún sentido. De hecho, se han cifrado con un potente algoritmo AES, por lo que son similares a basura aleatoria.
Si no tienes una copia de seguridad, la única manera de recuperar los ficheros es seguir las instrucciones del fichero README_FOR_DECRYPT.txt:
ker-readme
Básicamente piden, en un inglés macarrónico, que pagues un rescate utilizando únicamente bitcoins.
La URL en la que se debe efectuar el pago, pertenece a la web profunda y sólo se puede acceder con Tor.
ker-login
Si introduces tu ID, el cual encontrarás en la página principal, sabrás cuánto has pagado. Una vez realices el pago completo podrás acceder a las claves para restaurar tus archivos.
ker-tickets
No hemos realizado ningún pago, por lo que no sabemos si se reciben las claves correctas. Recomendamos que nadie pague ya que estarías enriqueciendo a los ciberdelincuentes.
También existe una sección de preguntas más frecuentes:
ker-faq
E incluso la opción de recuperar un archivo gratis:
ker-options
Esta opción es habitual en los últimos ransomware de Windows. La idea es convencernos de que los ciberdelincuentes van a devolvernos nuestros archivos si pagamos.

¿Cómo nos infectamos?

La mayor parte del ransomware para Windows se distribuye vía correo electrónico, embebido en ficheros Word adjuntos.
Este, sin embargo, utiliza otro sistema de propagación. Los ciberdelincuentes hackearon el servidor de un popular cliente de descargas BitTorrent llamado Transmission, crearon una versión falsa a la que llamaron 2.90 y la publicaron en la web oficial de descarga.
La app Transmission prácticamente no fue modificada; únicamente le añadieron el código del malware, el cual se activa a los tres días de que se instale en el ordenador.

¿Qué hacer?

  • Considera emplear un antivirus para tu Mac. Este escaneará los ficheros que descargues en busca de malware y analizará las webs que visites impidiéndote ir a webs comprometidas.
  • Realiza copias de seguridad de tus ficheros. Estas se deben almacenar offline y preferiblemente en un disco externo al ordenador, que no esté conectado habitualmente a nuestra máquina. En OSX existe un software llamado Time Machine que permite realizar copias de seguridad cifradas, de manera que aunque caigan en malas manos, tus datos estarán protegidos.
sophos-home