No sólo Windows y Android son vulnerables ante los ataques de ransomware. El sistema operativo de Apple también lo es, y buena (o mala) prueba de ello es el que la compañía de ciberseguridad ESET describe como ‘Patcher’, un malware capaz de encriptar tus archivos de macOS sin remedio, ni siquiera para el hacker, que aun así no tiene problemas en solicitar un rescate en bitcoins.
Usualmente se recomienda no pagar nunca el rescate, y he aquí una de las razones. Este parece ser el extremo opuesto del tipo Spora, que incluso cuenta con ‘servicio a la víctima’ y tienda online para negociar los pagos. En cambio el Patcher, por estar pobremente desarrollado, no cuenta con el código que debería tener para comunicarse con ningún servidor de Comando y Control (C&C); por tanto, aunque el hacker asegure en la nota de rescate que la única forma de recuperar los archivos es enviando al menos 0.25 BTC ($295) a la dirección indicada, lo cierto es que ni siquiera él podría desencriptarlos. Simplemente no hay manera, ni siquiera utilizando programas de fuerza bruta (intentos numerosos y constantes), ya que la clave utilizada es demasiado larga y está generada al azar.
Este amargo viaje comienza para las víctimas, esta vez no en el correo, sino en BitTorrent, a través de un presunto ‘parche pirata’ para activar herramientas como Adobe Premiere 2017 y Office 2016 sin tener que pagar por ellas en las páginas oficiales.
Este Torrent contiene un archivo ZIP que a su vez guarda los falsos instaladores de los programas escogidos. Estos abren una sospechosa ventana transparente que insta a presionar el botón ‘empezar’ (Start) para empezar a parchar la herramienta. Sin embargo, lo que realmente va a suceder tras el click será el cifrado de todos los archivos del ordenador, que pasarán a tener la extensión .crypt, además de la original (p/e image.jpg.crypt) y cambiarán, por algún motivo no explicado, su fecha de modificación a la medianoche del 13 de febrero de 2010.
Un archivo de texto llamado ‘Readme!’ (Léeme) aparecerá entonces en los directorios personales indicando que los archivos están cifrados, solicitando el rescate e incluyendo una guía para comprar bitcoins. Asimismo, puede leerse que la falsa llave para descifrar los archivos llegará en 24 horas a cambio de 0.25 BTC, pero sería enviada en sólo 10 minutos a cambio de 0.45 BTC. De no recibir ninguna oferta en máximo una semana, los archivos se quedarían encriptados para siempre. Algo que en realidad es cierto desde el principio, por lo que no se debe pagar el rescate.
Hasta los momentos la dirección Bitcoin que se muestra en el texto no ha recibido absolutamente nada. Aunque esto no significa que no haya habido víctimas: el email publicado también en el texto para contactar es del servicio Mailinator, así que puede verse públicamente en la bandeja de entrada el reclamo de una desafortunada víctima, y no es seguro que otros no hayan sido borrados. Cabe mencionar que este hacker ha recibido más insultos que bitcoins.
Esta, sin duda, es una buena razón de porqué deberían conseguirse todos los programas que se requieran desde las páginas oficiales.
