Varios expertos en seguridad han podido comprobar cómo KeRanger, nombre que ha recibido este primer ransomware para Mac, en realidad es una copia de Linux Encoder, concretamente de la versión 4, el primer ransomware para los sistemas Linux, detectado y analizado ya en noviembre de 2015 por la empresa de seguridad Dr. Web.
Los expertos de seguridad aseguran que este ransomware comparte
muchas funciones con su padre, Linux Encoder, tales como encrypt_file,
recursive_task, currentTimestamp o createDaemon. También aseguran que la
técnica, el algoritmo y la rutina de cifrado son iguales, lo cual, además, es
una buena señal.
Como KeRanger está basado en Linux Encoder, probablemente en poco tiempo los expertos de seguridad encuentren una brecha en el algoritmo de cifrado que permita, igualmente, recuperar los archivos sin tener que pagar y subvencionar a los piratas informáticos.
KeRanger “solo” ha infectado a 6500 usuarios
- Analizando las descargas de Transmission, los responsables del programa han informado que en las 32 horas que la versión maliciosa estuvo presente en la web se descargó alrededor de 6500 veces, infectando así a un máximo de 6500 usuarios, aunque lo más probable es que el número real de infecciones sea menor (ya que no todos los que lo descargaron lo habrán instalado).
- Aunque los daños de este ransomware son considerables, si lo comparamos con los que causa este tipo de malware para Windows, es una broma. En Windows, el ransomware genera decenas de millones en beneficios para los piratas informáticos, ya que el número de víctimas, tanto potenciales como reales, es enorme. Además, el hecho de que el ransomware no se activara hasta 3 días más tarde de la infección ha permitido que el número de usuarios afectados sea, aún, mucho menor.
- Los usuarios que hayan descargado la versión 2.90 de Transmission para Mac deben descargar lo antes posible la nueva versión, 2.92, ya que esta, además de venir libre de malware, incluye una herramienta para eliminar de forma definitiva KeRanger de los sistemas infectados, aunque (por el momento) no descifrará los archivos que ya hayan sido secuestrados.
