Pida Presupuesto sin compromiso

lunes, 7 de marzo de 2016

Apple Iphone bajo ataque: Ransomware Keranger

El pasado 4 de Marzo varios dispositivos resultaron infectados por un programa de "Ransomware" llamado KeRanger a través de una aplicación de Iphone llamada Transsmission.

El popularmente conocido como Ransomware es un software que se instala en un sistema (PC, Móvil, Mac, etc...) y que una vez instalado encripta todos sus archivos bloqueándolos sin posibilidad de acceder a ellos.

Para poder desbloquearlos, exige un pago por transferencia en dinero o en bitcoins que aunque se pague raramente soluciona el mal producido ya que no hay control sobre él.

Anteriormente ya se habia infectado a usuarios de MAC en 2.014 con otro Ransomware llamado Foilecoder, si bien este era algo incompleto. No como el KeRanger que si parece más completo.


 Varios virus de este tipo son el cryptolocker o virus de la policia también en sus diversas mutaciones.

Si recibimos algún tipo de mail que no conocemos y el cual lleva un archivo, no hace falta decir que no hay que abrirlo y que hay que proceder a su borrado lo más rápido posible.

Si bien hay versiones de Ransomware tan evolucionadas que ni siquiera hay opción a evitarlo, basta con que se descargue en nuestro equipo.

En estos casos solo un hardware de seguridad perimetral tipo Watchguard u otros fabricantes es capaz de evitarlo. Siempre contando con que dicho firewall este actualizado y que no sea el primero que recibe dicho ataque, si no, no valdrá de nada tampoco.

Lo que es bastante nuevo, es que ataque a un dispositivo móvil y en concreto Iphone.

Apple no ha dado ninguna solución por el momento pero si ha comentado que es la primera vez que esto pasa a un Iphone.

Es curioso que en pleno dilema de seguridad entre el FBI y Apple ocurra esto, poniendo en entredicho la seguridad de dichos terminales a pesar de las afirmaciones de apple que se negaba a revelar claves por seguridad en sus terminales. Dicha última afirmación ha sido más que cuestionada por poco creíble a la vez que poco colaborativa en contra del terrorismo y más en USA.


Preguntas y respuestas:

1.- Puedo ser infectado por este "Ransomware"?

Actualmente no, debido a que se ha actualizado el certificado que utilizaba Transmission para poder funcionar con este malware. Adicionalmente se ha actualizado también Xprotect para poder evitar esta situación.
De cualquier forma es interesante actualizar Xprotect desde Terminal con la siguiente orden:

"sudo softwareupdate --background-critical"

2.- Como saber si estamos infectados?

De momento tendríamos que meternos a través de Terminal y mirar si tenemos el archivo General.rtf en estas rutas:
- / Applications/transmission.app/contents/resources/
- /Volumes/Transmission/transmission.app/contents/resources/

Si fuera así, tendremos que desinstalar Transmission y verificar en el Monitor de Actividad que no hay un proceso como el siguiente:
- Kernel_service

si existiera habría que detenerlo.

También es necesario borrar la carpeta de usuario /Users/username/library/kernel_service con sus archivos:

- "kernel_pid"
-"kernel_time"
-"kernel_complete"
-"kernel_service"

3.- Como solucionarlo?

lo dicho, desinstalando Transmission o instalando de nuevo con la versión actualizada que corrige dicho problema en la 2.92

En definitiva, ningún equipo esta a salvo total de que no haya software que pueda infectarle y para muestra un botón.

Videos de Coratec