11 de marzo de 2016

A principios de marzo, muchos medios de comunicación, ediciones virtuales y blogs informaron sobre la difusión del primer troyano cifrador en la historia que ataca los equipos Apple bajo la administración del sistema operativo OS X. Los expertos de la empresa Doctor Web investigaron detalladamente este programa nocivo llamado Mac.Trojan.KeRanger.2, y desarrollaron una tecnología para descifrar los archivos dañados por el troyano.

El troyano cifrador Mac.Trojan.KeRanger.2 por primera vez fue detectado en la actualización infectada de un cliente torrent popular para OS X, que se difundía como distribución en formato DMG. El programa fue firmado con un certificado válido del desarrollador de aplicaciones para OS X, gracias a lo cual pudo esquivar el sistema incrustado de protección del SO de Apple.

Una vez instalado en el equipo atacado, Mac.Trojan.KeRanger.2 espera tres días, durante los cuales está en modo de suspensión. Luego el enconder establece conexión con su servidor administrativo usando la red TOR. A continuación, inicia el proceso de cifrado de archivos del usuario: en la carpeta del usuario, Mac.Trojan.KeRanger.2 cifra todos los archivos a los cuales tiene derechos de acceso, así mismo, el troyano puede funcionar tanto con privilegios de usuario ordinario, como en nombre de la cuenta root. Luego el programa nocivo intenta cifrar el contenido de la sección lógica /Volumes, es decir, los archivos almacenados en el disco duro y en secciones lógicas montadas. En este caso, los archivos se cifran usando un listado existente— en total, los malintencionados han previsto 313 tipos de archivos en este listado, incluidos los documentos de texto y las imágenes gráficas. El archivo para cifrar y el archivo con requerimientos de los malintencionados el troyano los recibe desde el servidor administrativo. Un indicio característico de funcionamiento de este encoder es la aparición de las extensiones ".encrypted" para archivos cifrados, así como la aparición de archivo llamado "README_FOR_DECRYPT.txt" en carpetas.

Los expertos de la empresa Doctor Web desarrollaron una tecnología que permite descifrar los archivos dañados como resultado de actividad nociva de este encoder.

Para usar el servicio de descifrar archivos no disponibles por causa de penetración de Mac.Trojan.KeRanger.2, realice las acciones siguientes:

• Presente una denuncia correspondiente en la policía;
• No intente de ninguna forma cambiar el contenido de las carpetas con archivos cifrados;
• No borre ningún archivo en el equipo;
• No intente recuperar los archivos cifrados sin ayuda;
• Contacte con el servicio de soporte técnico de la empresa Doctor Web (este servicio es gratis para los usuarios de licencias comerciales Dr.Web);
• Adjunte al ticket algún archivo cifrado por el troyano;
• Espere la respuesta de un experto del servicio de soporte técnico; por causa del gran número de solicitudes, esto puede llevar un rato.

Recordamos que los servicios de descifrar archivos son gratis solo para los titulares de licencias comerciales de productos antivirus Dr.Web. Para los requisitos completos para enviar una solicitud de descifrar, véase el enlace. La empresa Doctor Web no garantiza el descifrado completo de todos los archivos dañados por el encoder, pero nuestros expertos harán todo lo posible para salvar la información cifrada.

Más información sobre el troyano