En primer lugar, señalar que los propietarios de la amenaza hackearon la página web de Transmission y sustituyeron el instalador legítimo del cliente por el de la amenaza. Este poseía el software que el usuario buscaba y como añadido el ransomware de cuya instalación el usuario no era consciente.
Transmission 2.90 distribuye el primer ransomware para Mac OS X
- Hay que tener en cuenta que nos encontramos ante un tipo de amenaza que es capaz de cifrar los archivos de nuestro equipo, de ahí que sea conveniente tomar medidas y proceder a su eliminación cuanto antes. Desde la empresa de seguridad Palo Alto Networks aseguran que esta todavía no ha llevado a cabo el cifrado en la mayoría de los casos y que es importante que se proceda con la tarea de eliminado lo más pronto posible.
- Antes de informar sobre el proceso a seguir, añadir que los responsables del software ya han procedido a solventar el problema de seguridad y de nuevo la página distribuye software legítimo y libre de virus informáticos.
Cómo eliminar KeRanger de un Mac
- En primer lugar es necesario confirmar que estamos infectados y para ello tendremos que buscar ayudándonos del terminal o del Finder dos archivos, concretamente /Applications/Transmission.app/Contents/Resources/General.rtf y /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf. En la mayoría de los casos solo existe uno de los dos pero podría darse el caso de que los dos existiesen. Lo importante es que en el momento que se localice uno de los dos no es necesario seguir buscando y el veredicto sería que el equipo está infectado.
- Después de comprobar que el equipo está infectado, debemos dirigirnos al monitor de actividad que posee el sistema operativo y buscar el proceso “kernel_service“. Es muy utilizado por una gran cantidad de procesos del sistema por lo que no es sospechoso, sin embargo, lo que queremos saber es si la amenaza está haciendo uso de él. Una vez hemos encontrado el proceso debemos hacer doble click sobre él y observar que archivos y puertos hacen uso de este. Si encontramos el que se encuentra resultado en la imagen inferior, queda corroborado de que nuestro equipo está infectado:
- Una vez que hemos seleccionado ese proceso debemos forzar que se cierre con el botón que encontramos en la parte inferior de esa misma pantalla, concretamente en la parte izquierda.
- Tras realizar esta operación, los usuarios deben ir a la carpeta Librería y eliminar los siguientes archivos (algunos ocultos): .kernel_pid, .kernel_time, .kernel_complete y kernel_service. Añadir que no es necesario que existan todos, sino que podemos encontrar 2 o 3.
- Con esto habríamos eliminado de forma satisfactoria la amenaza y debemos proceder a desinstalar la versión del cliente que descargamos, siendo recomendable realizar la descarga de otra versión ahora que se sabe que el sitio web no distribuye malware.
- Adicionalmente, el usuario podrá recurrir a MalwareBytes para realizar un análisis en busca de KeRanger y así cerciorarse de que se ha eliminado de forma correcta.
Fuente: Softpedia
