KeRanger : le premier “ransomware” (rançonneur) sur Mac !

KeRanger : le premier “ransomware” (rançonneur) sur Mac !

7 mars 2016

Un ransomware (malware qui vous demande une rançon pour récupérer vos informations cryptées ou corrompues) a été découvert très récemment par Claud Xiao de Palo Alto Networks.

Nommé “KeRanger”, c’est le premier ransomware (mais certainement pas le dernier) à faire son apparition sous Mac OS X. Une preuve de plus, s’il en fallait, que notre plateforme intéresse de plus en plus les cybercriminels. Ca n’est en aucun cas une raison de passer sous Windows : la cybercriminalité s’étend à toute plateforme représentant un marché suffisamment large pour être “rentable”.

Ne nous faisons pas d’illusions, cela ne fera que s’aggraver. Nos comportements doivent changer (connaissance des risques et adaptation), utilisation de logiciels de protections adaptés à l’utilisation que nous faisons de nos appareils (antivirus/antimalware, VPN –surtout sur les points d’accès publics !, sauvegardes régulières, etc.).

KeRanger est diffusé (peut être pas exclusivement) par l’infection du logiciel client BitTorrent Transmission version 2.90. Les conditions dans lesquelles la version officielle de Transmission 2.90 a été remplacée par une copie infectée (signée par un certificat valide Apple !), sont inconnues à ce jour. Il est extrêmement peu probable que l’éditeur Open Source de ce logiciel ait quelque implication que ce soit dans cette escroquerie. Bien plus vraisemblablement, leur site a été piraté.

Alerte Transmission Keranger

Le Transmission Project a immédiatement retiré ces copies infectées de sa zone de téléchargement, et mis à disposition une version 2.92 qui, lors de son processus d’installation, supprime le malware. Tous les utilisateurs des versions 2.90 et 2.91 sont invités à installer d’urgence cette version 2.92. Changer de client BitTorrent n’est pas forcément une bonne idée : les autres ne sont pas à l’abri et certains ont des pratiques réputées nettement moins éthiques que celles du Transmission Project…

A noter : Apple vient d’ajouter la détection de ce malware à XProtect (ce qui ne résout pas le problème si vous êtes déjà infecté), mais veillez à mettre votre système à jour (comme toujours… et manuellement, les mises-à-jour automatiques pouvant parfois prendre un peu de temps avant d’être téléchargées et installées). App Store → Mises à jour, ou menu Pomme → “Mise à jour de logiciels…” sur les systèmes vraiment anciens.

Que fait KeRanger ?

Pour faire simple et court : il commence par attendre 3 jours (tourne en tâche de fond (arrière-plan), sans se faire repérer et prépare l’attaque proprement dite…), puis il “crypte” (chiffre) vos fichiers, d’abord ceux de votre dossier /Utilisateur, puis tout ce qu’il peut crypter sur vos “volumes externes” (disques de sauvegarde ou autre, clés USB, cartes SD, serveurs, etc.). Autant dire que quand vous n’avez pas la clé de décryptage, ni de sauvegarde pas encore affectée et récente, vous êtes… fou de joie !

Puis apparaît dans chaque dossier corrompu (infecté), un fichier nommé “README_FOR_DECRYPT.txt”, qui vous explique gentiment comment acheter une clé de “décryptage”, ce qu’il ne faut évidemment pas faire ! Les chances que vous receviez quoi que ce soit ou, a fortiori, une clé de décryptage qui fonctionne, sont extrêmement maigres… Evitez !

Que pouvez-vous faire ?

  • Si vous avez téléchargé Transmission 2.90 récemment, effacez-la dans votre dossier /Applications et redémarrez votre Mac.
  • Téléchargez Malwarebytes Anti-Malware for Mac (gratuit & fiable) et scannez votre système. Même s’il ne trouve pas KeRanger, il trouvera peut être d’autres choses “intéressantes” (générateurs de pop-ups, etc.).
  • Si vous voulez continuer à utiliser Transmission, téléchargez leur version 2.92 !
  • Soyez prudent avec les torrents… N’importe quelle application peut être impliquée, techniquement, mais c’est souvent par là et par les “sites de streaming” que le malheur arrive. Même sur des sites “légaux” de ce type, l’utilisation d’un bon VPN pour Mac n’est pas un luxe (évitez les gratuits… Optez pour un bon, bon marché…) !
  • Faites des sauvegardes régulières, si possible multiples…