Malas noticias para todos los que somos usuarios de OS X: el primer ransomware ha llegado a los Mac. Su nombre es KeRanger (OSX.KeRanger.A) y se trata de un tipo de software malicioso capaz de infectar a equipos con OS X, bloquearlos y encriptar todos los datos almacenados en sus discos duros. Una vez que el malware consigue infectar y encriptar los datos almacenados en él, la única forma de recuperarlos es “pasar por caja” y pagar a sus creadores para que los desencripten y podamos recuperar nuestros documentos de trabajo, fotografías, música, vídeo, películas, etc, etc…
KeRanger ha sido distribuido a través de la reciente actualización del cliente de Bittorrent Transmissión. Tras prácticamente dos años sin ninguna actualización, el malware consiguió colarse en el paquete de la actualización (aprovechándose de que se trata de un software de código abierto) y infectó a un montón de Mac alrededor del mundo.
Los responsables de la aplicación detectaron rápidamente el problema y publicaron una nueva actualización que corrige este problema, aunque es más que recomendable comprobar manualmente si estamos infectados por seguridad y para limpiar el equipo.
Es posible que en más de una ocasión hayáis escuchado eso de que los Mac no tienen virus. Esta es sólo una verdad a medias, ya que como cualquier otro sistema operativo OS X está expuesto a virus y cualquier otro tipo de malware. La frase se ha utilizado en infinidad de ocasiones ya que los Mac están mucho menos expuestos a ellos que los equipos con Windows por ser una plataforma minoritaria y con menor interés para los creadores de este tipo de software maligno, por lo que apenas existían incidencias. Ahora que los Mac son más populares y cada vez tienen mas presencia en el mercado, los riesgos aumentan y es importante que seamos precavidos y prestar mucha atención a lo que instalamos en nuestro equipo, sobre todo si no conocemos al 100 % su procedencia.
Cómo detectar y eliminar KeRanger de nuestro Mac
Comprobar si estamos infectados por KeRanger es una tarea bastante sencilla y que no nos llevará más que unos segundos. Como decíamos, es muy recomendable hacer esta comprobación para cerciorarnos de que nuestro equipo no está infectado por el ransomware y no mantener en un posible riesgo nuestros datos.
Los pasos a seguir son los siguientes:
- Comprobar que tenemos la última versión de Transmission (2.91 o superior) instalada en nuestro equipo.
- Abrimos Terminal o Finder y comprobamos que no existe un archivo llamado General.rtf en la ruta /Applications/Transmission.app/Contents/Resources/. En caso de que el archivo exista es que estamos infectados y lo primero que debemos hacer es eliminarlo completamente.
- Ahora tenemos que abrir el Monitor de Actividad (Aplicaciones – Utilidades) y comprobar si existe un proceso en ejecución llamado kerner_service. En caso de que exista hacemos doble click sobre él y después vemos si dentro de la pestaña Archivos y Puertos Abiertos (Open Files and Ports) existe una entrada llamada /Users//Library/kernel_service. En caso afirmativo debemos forzar el cierre del proceso completo con el botón derecho.
- Por último, accedemos a ~/Library y comprobamos si existen los archivos .kernel_pid, .kernel_time, .kernel_complete o kernel_service. Si están presentes los eliminamos.
Esto es todo, después de dar estos pasos y eliminar los archivos en caso de estar presentes KeRanger habrá sido eliminado por completo y nuestros datos estarán seguros nuevamente.
Como siempre decimos, es muy aconsejable mantener copias de seguridad en localizaciones externas. De esta forma en caso de contagio por algún malware de este tipo tendremos una forma de recuperar los datos sin tener que pasar por la extorsión de los autores del mismo. Además, en caso de fallo de hardware u otro tipo de accidente con el equipo estaremos seguros de poder recuperar toda nuestra información.