09Mar, 2016

0Comments

KeRanger. Según la publicación de Palo Alto realizada por Claud Xiao and Jin Chen el 4 de marzo, se detectó que la instalación del cliente de BitTorrent Transmission para OS X estaba infectado con ransomware, apenas unas horas después de instaladores fueron publicadas inicialmente.

Consulte también:

¿Para qué sirve los dominios?

¿Qué es web hosting?

¿Para qué sirve los web hosting?

Los atacantes infectan dos instaladores de Transmission versión 2.90 con KeRanger, los archivos DMG infectados estaban todavía disponibles para su descarga desde el sitio de Transmission (hxxps : //download.transmissionbt.com/files/Transmission -2,90 [ . ] dmg ).

KeRanger

La aplicación KeRanger fue firmado con un certificado válido de desarrollo de aplicaciones de Mac; Por lo tanto, era capaz de eludir la protección de Gatekeeper de Apple.

Si un usuario instala las aplicaciones infectadas, un archivo ejecutable incrustado se ejecuta en el sistema.

KeRanger espera a que durante tres días antes de conectar con el mando y control ( C2 ) servidores a través de la red Tor anonymizer. El malware entonces comienza la encriptación de ciertos tipos de archivos de documentos y de datos en el sistema.

Después de completar el proceso de cifrado, KeRanger exige que las víctimas presten un bitcoin (aproximadamente $ 400) a una dirección específica para recuperar sus archivos.

Además, KeRanger parece estar todavía en fase de desarrollo activo y parece que el software malicioso también está tratando de cifrar los archivos de copia de seguridad de Time Machine para impedir que las víctimas recuperar sus datos de copia de seguridad .

El ejecutable malicioso que pretende ser un documento RTF:

Cómo protegerse

Los usuarios que hayan descargado directamente instalador Transmission desde el sitio oficial después de las 11:00 am PST 4 de marzo de 2016, y antes de las 7:00 pm PST 5 de marzo de 2016, se puede sido infectados por KeRanger.

Si el instalador Transmission se descargó antes o descargado de sitios web de terceros, también sugerimos a los usuarios realizar las siguientes comprobaciones de seguridad. no parecen ser afectados a partir de ahora los usuarios de versiones anteriores.

Ésta son las recomendaciones que nos sugiere Palo Alto para identificar y eliminar KeRanger mantiene sus archivos para el rescate:

• El uso de cualquiera de los terminales o el Finder, comprobar si existen /Applications/Transmission.app/Contents/Resources/ General.rtf o /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf. Si cualquiera de estos existen, la aplicación de transmisión está infectado y que sugiere eliminar esta versión de la transmisión.

• El uso de “Monitor de Actividad” preinstalado en OS X, compruebe si cualquier proceso llamado “kernel_service” se está ejecutando. Si es así, vuelva a revisar el proceso, elegir la opción “Archivos y puertos abiertos” y compruebe si hay un nombre de archivo como “/ Users / / Library / kernel_service”. Si es así, el proceso es un proceso principal de KeRanger. Sugerimos que termina con “Salir -> Forzar salida”.

• Después de estos pasos, recomendamos comprobar si los archivos de los usuarios “.kernel_pid”, “.kernel_time”, “.kernel_complete” o “kernel_service” existente en el directorio ~ / Library. Si es así, debe eliminarlos.

Queremos extender las gracias publicadas en la página Palo Alto Networks a los que contribuyeron a la investigación:

Damos las gracias en gran medida Yi Ren , Yuchen Zhou , Jack Wang , Jun Wang, de Palo Alto Networks, por ayudando a analizar KeRanger y proteger a nuestros clientes de manera oportuna . Gracias a Richard Wartell , Ryan Olson y Chad Berndtson de Palo Alto Networks, por su ayuda en el análisis e informes.

Fuente: paloaltonetworks.com(6 de Marzo, 2016)