Le 4 mars 2016, Palo Alto Networks, une firme de sécurité réputée, a annoncé la découverte du ransomware KeRanger infectant Transmission, le célèbre client Mac BitTorrent. Le logiciel malveillant réel a été trouvé dans le programme d'installation pour Transmission version 2.90.
Le site Web de Transmission a rapidement supprimé le programme d'installation infecté et exhorte toutes les personnes utilisant Transmission 2.90 à mettre à jour leur version 2.92, ce qui a été vérifié par Transmission comme étant exempt de KeRanger.
Transmission n'a pas expliqué comment le programme d'installation infecté a pu être hébergé sur son site Web, et Palo Alto Networks n'a pas été en mesure de déterminer la manière dont le site de transmission a été compromis.
KeRanger Ransomware
Le ransomware KeRanger fonctionne comme la plupart des ransomwares, en chiffrant les fichiers sur votre Mac, puis en exigeant le paiement. dans ce cas, sous la forme d'un bitcoin (évalué actuellement à environ 400 $) pour vous fournir la clé de cryptage pour récupérer vos fichiers.
Le ransomware KeRanger est installé par le programme d'installation de transmission compromis. Le programme d’installation utilise un certificat de développeur d’application Mac valide, qui permet à l’installation du logiciel de ransomware de dépasser la technologie Gatekeeper d’OS X, qui empêche l’installation de programmes malveillants sur le Mac.
Une fois installé, KeRanger établit la communication avec un serveur distant du réseau Tor. Il s'endort ensuite pendant trois jours. Une fois qu'il se réveille, KeRanger reçoit la clé de chiffrement du serveur distant et procède au chiffrement des fichiers sur le Mac infecté.
Les fichiers cryptés incluent ceux du dossier / Users, ce qui a pour conséquence que la plupart des fichiers utilisateur du Mac infecté deviennent cryptés et ne sont plus utilisables. En outre, Palo Alto Networks indique que le dossier / Volumes, qui contient le point de montage de tous les périphériques de stockage connectés, à la fois locaux et de votre réseau, est également une cible.
À l'heure actuelle, il existe diverses informations relatives au chiffrement des sauvegardes Time Machine par KeRanger, mais si le dossier / Volumes est ciblé, je ne vois aucune raison pour laquelle un disque Time Machine ne serait pas chiffré. Je suppose que KeRanger est un logiciel ransomware si récent que les rapports mixtes sur Time Machine ne sont qu'un bogue dans le code des ransomwares; parfois cela fonctionne, et parfois cela ne fonctionne pas.
Apple réagit
Palo Alto Networks a signalé le ransomware KeRanger à Apple et à Transmission. Les deux ont réagi rapidement; Apple a révoqué le certificat de développeur de l'application Mac utilisé par l'application, permettant ainsi à Gatekeeper d'empêcher toute installation ultérieure de la version actuelle de KeRanger. Apple a également mis à jour les signatures XProject, permettant ainsi au système de prévention des programmes malveillants OS X de reconnaître KeRanger et d'empêcher l'installation, même si GateKeeper est désactivé ou configuré pour un paramètre de sécurité faible.
Transmission a retiré Transmission 2.90 de son site Web et a rapidement réédité une version propre de Transmission, avec un numéro de version de 2.92. Nous pouvons également supposer qu'ils recherchent comment leur site Web a été compromis et prennent des mesures pour empêcher que cela ne se reproduise.
Comment supprimer KeRanger
N'oubliez pas que le téléchargement et l'installation de la version infectée de l'application Transmission constituent actuellement le seul moyen d'acquérir KeRanger. Si vous n'utilisez pas Transmission, vous n'avez actuellement pas à vous soucier de KeRanger.
Tant que KeRanger n'a pas encore crypté les fichiers de votre Mac, vous avez le temps de supprimer l'application et d'empêcher le cryptage de se produire. Si les fichiers de votre Mac sont déjà cryptés, vous ne pouvez rien faire à part espérer que vos sauvegardes n’ont pas été cryptées également. Cela indique une très bonne raison d'avoir un lecteur de sauvegarde qui n'est pas toujours connecté à votre Mac. Par exemple, j'utilise Carbon Copy Cloner pour créer un clone hebdomadaire des données de mon Mac. Le boîtier de lecteur que le clone n'est pas monté sur mon Mac jusqu'à ce que le processus de clonage soit nécessaire.
Si j'avais eu une situation de ransomware, j'aurais pu récupérer grâce à la restauration du clone hebdomadaire. La seule pénalité pour utiliser le clone hebdomadaire est d'avoir des fichiers qui pourraient être obsolètes jusqu'à une semaine, mais c'est beaucoup mieux que de payer une rançon d'un crétin infâme.
Si vous vous retrouvez dans la situation malheureuse de KeRanger ayant déjà lancé son piège, je ne connais pas d'autre solution que de payer la rançon ou de recharger OS X et de recommencer avec une nouvelle installation.
Supprimer la transmission
Dans le Finder, accédez à / Applications.
Recherchez l'application Transmission, puis cliquez avec le bouton droit sur son icône.
Dans le menu contextuel, sélectionnez Afficher le contenu du paquet.
Dans la fenêtre du Finder qui s'ouvre, accédez à / Sommaire / Ressources /.
Recherchez un fichier nommé General.rtf.
Si le fichier General.rtf est présent, vous avez une version infectée de Transmission installée. Si l'application Transmission est en cours d'exécution, quittez-la, faites-la glisser dans la corbeille, puis videz la corbeille.
Supprimer KeRanger
Lancez Activity Monitor, situé dans / Applications / Utilitaires.
Dans Activity Monitor, sélectionnez l'onglet CPU.
Dans le champ de recherche du moniteur d'activité, entrez les informations suivantes:
kernel_service
puis appuyez sur retour.
Si le service existe, il sera répertorié dans la fenêtre du moniteur d'activité.
Si présent, double-cliquez sur le nom du processus dans le Moniteur d'activité.
Dans la fenêtre qui s'ouvre, cliquez sur le bouton Ouvrir fichiers et ports.
Notez le chemin kernel_service; ce sera probablement quelque chose comme:
/ users / homefoldername / Library / kernel_service
Sélectionnez le fichier, puis cliquez sur le bouton Quitter.
Répétez ce qui précède pour le kernel_time et kernel_complete noms de service.
Bien que vous ayez quitté les services dans Activity Monitor, vous devez également supprimer les fichiers de votre Mac. Pour ce faire, utilisez les noms de chemin de fichiers que vous avez notés pour naviguer vers les fichiers kernel_service, kernel_time et kernel_complete. (Remarque: tous ces fichiers ne sont peut-être pas présents sur votre Mac.)
Étant donné que les fichiers que vous devez supprimer se trouvent dans le dossier Bibliothèque de votre dossier de base, vous devez rendre ce dossier spécial visible. Vous trouverez des instructions sur la procédure à suivre dans l'article OS X masque votre dossier de bibliothèque.
Une fois que vous avez accès au dossier Bibliothèque, supprimez les fichiers susmentionnés en les faisant glisser dans la corbeille, puis en cliquant avec le bouton droit de la souris sur l'icône de la corbeille et en sélectionnant Vider la corbeille.
