KeRanger est le fléau que viennent de rencontrer les utilisateurs de Mac via le client Bittorent open source Transmission.
Ils ont été avertis du danger d’installer une version distribuée par le site officiel de l’application, car elle est, semble-t-il, infectée par un nouveau type de ransomware.
KeRanger, le ransomware pour MAC
Il semble que des hackers aient réussi à compromettre l’installateur de la version 2.90 de Transmission, depuis le site de téléchargement, le vendredi 4 mars, de manière à disséminer le ransomware, depuis, baptisé KeRanger par des chercheurs de Palo Alto.
Si vous avez eu la malchance de télécharger Transmission 2.90 sur votre Mac, votre ordinateur est certainement devenu l’équivalent digital d’une bombe à retardement.
Il faut trois jours à KeRanger pour sortir de son sommeil, et se mettre à crypter vos données et vos fichiers, avant d’entrer en cantact avec son serveur de contrôle et demander la rançon de 1 Bitcoin (environ 400$) pour que les données soient rendues saines et sauves.
Selon les chercheurs, le malware KeRanger aurait aussi essayé de crypter les données du Time Machine, qui est le logiciel de sauvegarde des données des utilisateurs de MAC. Pour, on s’en doute, empêcher les utilisateurs de recourir à ce logiciel pour récupérer leurs données sans passer par la case Bitcoin.
Ce n’est d’ailleurs pas la protection Gatekeeper intégrée à l’OS X, qui aurait pu être d’une grande utilité étant donné que le KeRanger infecté était signé avec un certificat de développement MAC totalement valide.
Un message d’alerte sur le site officiel de Transmission a confirmé la menace et conseille aux utilisateurs de « mettre à jour en toute urgence » avec la version 2.92. « Toute personne utilisant la version 2.90 sur OS X devrait immédiatement mettre le logiciel à jour, car elle pourrait avoir été infectée.
Cette nouvelle version va s’assurer d’éliminer toute trace du ransomware « OSX.KeRanger.A » de votre ordinateur.
L’équipe de chercheurs de Palo Alto annonçait qu’Apple avait annulé le certificat dont se servait le malware pour attaquer le système, en mettant à jour l’antivirus rudimentaire XProtect, lui aussi intégré à l’OSX. Les téléchargements malveillants ont aussi été enlevés du site internet de Transmission.
Selon un rapport de MacRumors, le logiciel alerte les utilisateurs par une lumière rouge pour les avertir de la disponibilité de la mise à jour.
Toute personne qui utilise la version 2.90 sur OSX devrait immédiatement mettre à jour avec la version 2.91, et supprimer la copie 2.90, car celle-ci est infectée. A l’aide d’ »Activity Monitor » préinstallé sur votre ordinateur, vérifiez si vous avez un processus en cours nommé « Kernel_service ».
Dans le cas positif, vérifiez, à l’aide de « Open Files and Ports » s’il trouve un fichier dénommé « /Users//Library/kernel-service ». Si oui, ce processus est le processus principal de KeRanger. Nous vous suggérons donc de le fermer en utilisant « Quit- Force Quit »
Apple a depuis, annulé le certificat infecté, et mis à jour la signature de XProtect, et le site internet Transmission s’est lui aussi débarrassé des installateurs malveillants.
Cela aurait-il pu être évité?
Reste que le mystère demeure, quant à la façon dont le virus s’est propagé grâce à un certificat valide. La thèse proposée et que les hackers ont réussi à exploiter une faille de sécurité sur le site internet en mettant à jour le code binaire, ayant recodé les codes opensource après y avoir rajouté le malware.
Les reporteurs de Reuters affirment que c’est la première fois que des utilisateurs de MAC se voient menacés par un ransomware, ce qui est assez commun pour les utilisateurs de Windows.
Cela n’est pas complètement vrai, il semble que les ransomwares qui ont beaucoup fait parler d’eux ces derniers temps, auraient très bien pu selon certains chercheurs faire plus de dégâts plus tôt, sur la plate-forme d’Apple, comme ils l’ont fait pour les utilisateurs de Windows.
En 2014 par exemple, les chercheurs avaient alerté l’opinion à propos d’un ransomware pour MAC appelé « FileCoder », qui était à l’époque décrit comme n’étant pas abouti. En novembre dernier, Rafael Salema Marques un chercheur avait produit une preuve irréfutable du fonctionnement d’un concept de ransomware appelé Mabouia.
Deux mois plus tôt, Pedro Vilaça lui aussi chercheur sur la sécurité de l’OSX, publiait le code de son propre ransomware pour alerter de ce qui pourrait arriver.
Cela peut-il être le début de l’avènement de plus de ransomware pour les utilisateurs de MAC? Seul l’avenir nous le dira.
Comment se prémunir contre les ransomwares
Il est évident que les ransomwares sont des virus très efficaces pour extorquer de l’argent aux utilisateurs de Windows, et il est peu probable que les cybercriminels ne décident pas de s’attaquer aux utilisateurs de MAC, plus particulièrement, parce que de nombreux utilisateurs de MAC pensent qu’ils n’ont pas besoin de prendre de mesures de sécurités élémentaires pour se protéger, comme par exemple, faire un point de sécurité en utilisant un logiciel antivirus tel que Norton, Kaspersky, ou AVG.
Que vous utilisiez windows ou MAC ne fait aucune différence, la meilleure façon de réduire les risques d’être infecté par un ransomware est simple:
- Faites régulièrement des sauvegardes de vos données les plus importantes, et séparées de votre ordinateur. (Pour éviter au malware de se retrouver aussi dans vos sauvegardes)
- Faites tourner des antivirus mis à jour sur votre ordinateur et assurez-vous que votre système d’exploitation ainsi que vos programmes sont eux aussi à jour.
- Méfiez-vous toujours des liens non sollicités et des pièces-jointes qui vous sont envoyées, et téléchargez vos applications sur des sites fiables, pour réduire les chances de contamination.
Notre dernier conseil étant de toujours rester sur vos gardes.
Nous savons que les cybercriminels ont éssayé de disséminer leur ransomware via une version infectée de l’application Transmission.
Ce que nous ne savons pas, c’est si d’autres applications ont elles aussi put être corrompues, et il serait inconscIent de penser que les personnes derrière cette attaque, ne sont pas prêtes à recommencer, ou à continuer à développer leur malware.
Cela est triste à dire, mais il semble que l’ère du ransomware ait aussi sonné pour les utilisateurs de MAC.
Pour résumer
Comment savoir si l’ordinateur est infecté et comment se débarrasser du ransomware?
A l’aide d’un antivirus mit à jour et qui detecte les dernières définitions des malwares, comme le OSX/KeRanger. Vous avez aussi la possibilité de retirer manuellement KeRanger de votre ordinateur, s’il est infecté.
Pour ce faire, vérifiez la présence du processus kernel_service (Il s’agit du processus infecté qui se déclenche lorsque l’application Transmission dans sa version 2.90, est elle aussi mise en route) à l’intérieur de l’ »Activity Monitor »
Si le service est en marche vous devez manuellement l’enlever car il semble qu’il ne fera que se recharger si vous faites l’action « Force Quit ». Si kernel_service est en marche, double-cliquez dessus de manière à voir toutes les informations le concernant, pour ensuite sélectionner « Open Files and Ports ».
Dans « Open Files and Ports » cherchez ce fichier
/Users/<username>/Library/kernel_service
Si ce fichier existe, vous venez de trouver le processus principal de l’OSX/KeRanger. Terminez le processus en utilisant Quit>ForceQuit.
Une fois que vous avez quitté le processus, utilisez Spotlight pour trouver si certains de ces fichiers se trouvent dans le répertoire de la bibliothèque:
- .kernel_pid
- .kernel_time
- .kernel_complete
- .kernel_service
Si vous voyez l’un de ces fichiers, effacez-les de votre ordinateur. Nous recommandons aussi aux utilisateurs de MAC de vérifier l’application Transmission, pour ce faire, ouvrez Terminal, et entrez les données suivantes.
S le Terminal vous renvoi le détail des permissions fichiers de l’un de ces fichiers, vous devriez vous débarasser de l’application immédiatement.
Nous continuerons à vous tenir au courant de l’évolution de cette affaire dès que nous aurons d’autres détails, n’hésitez pas à revenir nous voir pour toujours plus d’infos.