Recientemente hemos conocido más detalles sobre los orígenes de KeRanger, descubriendo que está basado en otro malware del mismo tipo para Linux llamado Linux.Encoder, que apareció en noviembre del año pasado y tenía como objetivo servidores web. Las tres primeras versiones de Linux.Encoder tienen un fallo en la implementación de su critpogragía que permitió a los investigadores de Bitdefender crear herramientas para descifrar los ficheros afectados por el programa malicioso.

KeRanger fue encontrado en el sitio web oficial del cliente de BitTorrent Transmission, introducido en el instalador de la versión 2.90 de esa aplicación para Mac OS X. La infección se producía a través de un abuso de los certificados, así que Apple decidió revocar el certificado utilizado por la versión ilegítima de Transmission.

Bitdefender Labs ha analizado la aplicación ilegítima ya ha descubierto que “parece virtualmente idéntico a la versión 4 del troyano Linux.Encoder, que ha infectado a miles de servidores Linux desde el comienzo de 2016”, según recoge la compañía en una entrada publicada en su blog corporativo.

Bitdefender comenta que la cuarta versión de Linux.Encoder tiene los mismos fallos de cifrado que sus predecesores, esto abre la puerta a que se pueda resolver el problema de los ficheros cifrados por KeRanger en OS X. La compañía todavía no ha lanzado ninguna herramienta de descifrado para los ficheros afectados (cifrados) por KeRanger, pero está considerando su desarrollo en caso de que haya demanda suficiente.

Según un portavoz del Proyecto Transmission, la versión ilegítima del cliente de BitTorrent ha sido descargada unas 6.500 veces. Sin embargo, debido a que KeRanger toma tres días en empezar a actuar y la vulnerabilidad ha sido descubierta con rapidez, muy posiblemente el número real de afectados por KeRanger sea mucho menor.

Fuente: CSO | muyseguridad