De acuerdo con especialistas de BitDefender, la actualización infectada llevaba una versión idéntica a la 4 de Linux.Encoder. Los investigadores indicaron que una vez se ejecutaba el instalador infectado, el troyano se conectaba al C&C a través de la red TOR y recuperaba una clave de cifrado. Una vez que se finalizaba el cifrado, el ransomware creaba un archivo llamado README_FOR_DECRYPT.txt, el cual contenía la información sobre cómo la víctima debía pagar el rescate. Las funciones de cifrado son idénticas a las desplegadas por el malware Linux.Encoder, teniendo incluso los mismos nombres.
Figura 1: Readme_for_decrypt de KeRanger
La versión de Linux no es antigua, ya que fue vista por primera vez hace 6 meses. Antes de esto, los ransomware era una preocupación para usuarios de Windows y Android. Como se puede ver, y debido a la cuota de mercado que va ganando Apple, los ransomware pueden empezar a ser una preocupación para los usuarios de este sistema. Apple ya tiene la firma del ransomware, por lo que no se podrá ejecutar dicho malware, pero durante unos días el malware pudo ser ejecutado y afectar a diversos usuarios de la empresa de Cupertino.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...