La compañía especializada en software antimalware, Malwarebytes, ha descubierto recientemente un nuevo ransomware que afecta a ordenadores Mac. El nombre que le han dado es OSX.ThiefQuest (anteriormente conocido como EvilQuest).
Este nuevo ransomware ha sido encontrado en una distribución pirata de la aplicación Little Snitch realizada en un foro de origen ruso en el cual un usuario ofrecía descargar gratuitamente este programa de pago.
Las aplicaciones piratas para Mac están detrás del nuevo ransomware
Cuando se descargaba el programa en cuestión, aparecía un instalador genérico totalmente diferente al que tiene habitualmente la aplicación Little Snitch. Era la primera señal de que algo iba mal. Además, analizando el contenido del instalador, éste incluía un extraño archivo ejecutable llamado patch que se copiaba automáticamente en la ruta /Users/Shared/.
Posteriormente, cuando finalizaba la instalación, se ejecutaba un script malicioso que movía el ejecutable patch a la ruta de la aplicación para después renombrarlo como CrashReport (nombre que tiene un proceso legítimo de macOS) para poder ejecutarlo sin levantar sospechas.
Finalmente, el ransomware, pasados unos días desde su instalación comenzaba a duplicarse y a cifrar todo el contenido del disco. Saber si nos hemos infectado es bastante sencillo ya que dejaremos de poder acceder a la mayoría de archivos que tuviésemos guardados en el Mac, además, perderíamos el acceso al llavero del Mac e incluso el Dock se restaura a su apariencia inicial ya que todos los archivos de configuración del sistema también habrán sido cifrados.
Pagar el rescate nunca es la solución
Cuando todos los archivos han sido cifrados, el sistema muestra un aviso indicando que para recuperar todos los datos hay que pagar un rescate de 50 dólares, pero bajo ningún concepto deberíamos realizar este pago ya que probablemente se trate de una estafa y nuestro Mac seguiría infectado. Además, realizar el pago supondría colaborar en la financiación de las bandas de ciberdelincuentes.
La mejor medida para mitigar un ataque a nuestro ordenador por un ransomware es realizar copias de seguridad periódicas. Una vez que estamos afectados, la única solución es restaurar el sistema y recuperar los archivos de una copia de seguridad que tuviésemos hecha. También es importante destacar que las copias de seguridad que tengamos no deberían estar permanentemente conectadas al Mac. Este ransomware o cualquier otro podría afectar también a todas las unidades externas que estén conectadas.