Transmission es un programa basado en el protocolo P2P Torrent para la gestión de descargas en sistemas OS X de Apple.
Los expertos de Palo Alto Network encontraron el pasado viernes 4-Marzo que dos instaladores del sistema cliente de Transmission BitTorrent 2.9 estaba infectado por ransomware. Llama la atención que el programa infectado había sustituido al original apenas publicado en el sitio web oficial del programa. Los usuarios que descargaron el programa entre las 11am del 4-Marzo y las 7pm del 5-Marzo pueden estar infectados por KeRanger.
Una vez instalado el ransomware, identificado como KeRanger, espera 3 días para empezar a trabajar en el cifrado con RSA de los archivos de documentos, imágenes, audio, video, de archivado, de código fuente, de base de datos, email y certificados situados en las carpetas “/Users” y “/Volumes”. Una vez cifrados pide 1 Bitcoin (aproximadamente $400 USD) como pago de rescate para su descifrado. KeRanger también intenta cifrar los archivos de respaldo Time Machine para evitar que el usuario víctima pueda recuperar los archivos desde el respaldo.
¿Cómo saber si se está identificado por KeRanger?
- Usar Terminal o Finder para verificar si existe el archivo “General.rtf” en las carpetas “/Applications/Transmission.app/Contents/Resources/” o “/Volumes/Transmission/Transmission.app/Contents/Resources/”. KeRanger va dentro del archivo RTF, por lo que de ser encontrado es recomendable borrar el programa Transmission.
- Usar “Activity Monitor” de OS X para verificar si se está ejecutando el proceso “kernel_service”. Si se está ejecutando entonces volver a revisar el proceso, elegir la opción “Open Files and Ports” y comprobar si existe un archivo con el nombre “/Users/<username>/Library/kernel_service”. Si existe entonces el proceso es un proceso principal de KeRanger. Se recomienda terminar el proceso con “Quit -> Force Quit”.
- Verificar si existen los archivos .kernel_time, .kernel_pid, .kernel_complete, o “kernel_service” en la carpeta “~/Library”. Si existen es recomendable borrarlos.
Además Apple ha revocado el certificado usado por los creadores del ransomware para firmar KeRanger y evitar la protección Gatekeeper de Apple. También ha actualizado el antivirus XProtect para Mac.
Los desarrolladores de Transmission han corregido el problema aunque no han dado detalles de cómo el programa infectado por el ransomware fue subido a su sitio web. La versión actual 2.92 de Transmission analiza y limpia el equipo en caso de haber sido infectado con la versión maliciosa. La recomendación de actualizar a la versión 2.92 también es para los usuarios de la versión 2.91, ya que aunque dicha versión no fue infectada, no se elimina automáticamente el archivo infectado con el malware.