De acuerdo con los investigadores de la firma Bitdefender, el malware KeRanger se basa en otro llamado Linux.Encoder que apareció por primera vez en noviembre dirigido a sistemas Linux. Las tres primeras versiones de este ransomware tenía fallos criptográficos que permitían a investigadores crear herramientas que podían ser utilizadas para descifrar los archivos afectados. KeRanger fue encontrar el 4 de Marzo en el sitio web oficial del popular cliente de BitTorrent. Los atacantes habían comprometido el servidor y sustituido el instalador para la versión 2.90.
Figura 1: Notificación de Transmission sobre los riegos de la versión 2.90
El instalador fue firmado con un certificado de desarrollador legítimo de Apple, el cual había sido otorgado a una sociedad turca. El certificado fue revocado por Apple a los pocos días. La actualización de Transmission infectada se ve prácticamente igual a la versión 4 del malware Linux.Encoder, el cual infectó miles de equipos desde el comienzo del 2016. Lógicamente hay diferencias, ya que KeRanger está orientado a OS X. Según los investigadores la versión 4 de Linux.Encoder tiene los mismos defectos criptográficos que las versiones anteriores, lo que significa que la aplicación de cifrado de KeRanger también se puede romper. Aún no se ha publicado una herramienta de descifrado de los archivos afectados, pero se realizará si hay demanda de ello, según afirma Bitdefender.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths
Continúar leyendo...