KeRanger : ce que l'on sait sur le ransomware de Transmission

Mickaël Bazoge |

Palo Alto Research Center a mis au jour KeRanger (ou Ke.Ranger), un ransomware pour Mac. Sur notre plateforme, c'est le premier du genre même s'il y avait eu FileCoder en 2014, mais ce dernier était incomplet. KeRanger est lui parfaitement fonctionnel, ce qui le rend d'autant plus dangereux. Les chercheurs ont débusqué le malware dès le 4 mars. La version 2.9 de Transmission date du 28 février, après des années sans mise à jour pour ce logiciel BitTorrent.

Transmission 2.9.

Quelle est l'origine de cette infection ?

Il est difficile de dire encore comment le projet open-source Transmission a été infecté. Le malware se niche dans deux installeurs de Transmission, dont le certificat délivré par Apple est au nom d’une société turque possédant l’identifiant Z7276PX673). C'est un identifiant différent de celui utilisé pour signer les précédents logiciels d'installation de Transmission. Ces deux installeurs ont été générés et signés le matin du 4 mars.

Le certificat de l'installeur étant valide, il a donc pu passer sans encombres au travers de la protection Gatekeeper d'Apple. Le paquet de l'installeur inclut un fichier General.rtf, qui sous son allure banale, cache un fichier exécutable au format Mach-O.

Le malware s'installe en même temps que Transmission 2.9. Il copie le fichier General.rtf dans /Library/kernel_service, qui lance ensuite le processus kernel_service, le tout avant même qu'une interface utilisateur apparaisse.

KeRanger attend ensuite, tapi dans l'ombre, pendant trois jours. C'est pourquoi les premières victimes devraient être touchées ce lundi 7 mars, le malware étant présent dans le Transmission depuis le 4 mars.

Quel est le danger de KeRanger ?

Une fois ce délai de grâce achevé, KeRanger contacte un serveur via une connexion anonymisée Tor. Il lance la procédure de chiffrement de certains dossiers et documents contenus dans le disque dur. Une fois l'opération terminée, KeRanger réclame un paiement en Bitcoin d'une valeur équivalente à 400 $ pour déverrouiller les fichiers chiffrés.

Cliquer pour agrandir

D'après les chercheurs du centre Palo Alto, KeRanger est toujours en développement ; il semble qu'il tente aussi de chiffrer les fichiers de sauvegarde Time Machine, empêchant les utilisateurs de restaurer leurs Mac avec une ancienne sauvegarde, ce qui est une des solutions envisagées pour ne pas passer à la caisse. À l'heure actuelle, le chiffrement des sauvegardes Time Machine n'est pas fonctionnel.

Les fichiers chiffrés à l'insu de l'utilisateur sont ceux contenus dans le dossiers Utilisateurs. Il chiffre aussi 300 types de documents du dossier Volumes (notamment les fichiers classiques bureautiques en .rtf, .doc, mais aussi les .jpg, .mp3, .mp4, .zip…).

Comment savoir si on est infecté, et comment réagir ?

Les utilisateurs Mac qui ont téléchargé Transmission 2.9 entre le 4 et le 5 mars sont susceptibles d'avoir aussi installé KeRanger. Et même si vous aviez téléchargé le logiciel avant, ou pour en avoir le cœur net, Palo Alto Research propose le mode d'emploi suivant :

  • Ouvrez un Terminal ou utilisez le Finder pour rechercher les fichiers /Applications/Transmission.app/Contents/Resources/General.rtf ou /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf. S'ils sont présents, l'application Transmission est infectée et il est chaudement conseillé de la supprimer.
  • Utilisez l'application Moniteur d'activité d'OS X, et recherchez un processus du nom de kernel_service. Si vous le trouvez, cliquez deux fois dessus, et sélectionnez l'onglet Fichiers et ports ouverts ; cherchez ensuite un fichier /Users/Library/kernel_service. Cliquez sur Quitter, puis Forcer à quitter. Voir la capture écran ci-dessous.
  • Dans le dossier /Bibliothèque, recherchez les fichiers .kernel_pid, .kernel_time, .kernel_complete ou .kernel_service. Si vous trouvez un ou plusieurs de ces fichiers, supprimez-les.
Cliquer pour agrandir

Quelles ont été les réactions d'Apple et de Transmission ?

Dès le 4 mars, Apple a été mise au courant de l'existence de KeRanger. Le constructeur a révoqué le certificat du développeur, ce qui signifie que Gatekeeper bloque toute tentative d'installation. Apple a aussi mis à jour la base de données de signatures de virus Xprotect — intégrée à même le système d'exploitation et mise à jour automatiquement.

Si jamais vous tentiez d'installer une version infectée de Transmission, OS X affiche une boîte de dialogue le prévenant de la dangerosité du logiciel. Évidemment, il faudra obéir au système et supprimer l'image disque. Par défaut, Gatekeeper autorise uniquement l'installation d'applications provenant du Mac App Store et des développeurs identifiés (dans les préférences OS X, Sécurité et confidentialité > Général).

Pour modifier le réglage, il faut cliquer sur le cadenas puis entrer le mot de passe admin — Cliquer pour agrandir

De son côté, Transmission a supprimé les installeurs infectés de son site web. L'équipe a mis en ligne en urgence une version 2.91 de son logiciel dimanche 6 mars, puis quelques heures plus tard, une version 2.92. Une mise à jour qui est évidemment à effectuer toutes affaires cessantes.

Peut-on être sûr que KeRanger ne fera aucun mal ?

Malgré les précautions d'Apple et de Transmission, et des conseils de Palo Alto Research Center, on se gardera de crier victoire immédiatement. Dans ce domaine, la prudence est de mise et les prochaines heures devraient nous éclairer davantage sur le sujet.

Illustration du bandeau : Christiaan Colen, CC BY-SA

avatar byte_order | 

en quoi cela justifie de punir la minorité, alors ?

avatar Average Joe | 

Toi et melaure êtes de grands comiques.
Comme si le partage datait d'internet. Non, vous n'avez jamais copié un disque d'un ami ou d'une discothèque de prêt sur cassette, ni jamais enregistré d'émission de télé en VHS ou DVD que vous avez prêté ou montré à quelqu'un. Il y a un moment où il faut arrêter l'hypocrisie. Le P2P ce n'est rien d'autre que cela. Il a même contribué non pas à voler les artistes comme vous le prétendez mais au contraire à les faire revenir, à commencer par mon groupe préféré. Miki, la chanteuse, a même pu retrouver ses accords de guitare en voyant les vidéos postées sur Youtube de son groupe, préalablement disponibles sous forme de torrents (enfin, à part ceux qui y ont mis des archives jusque là seulement personnelles). J'en ai moi-même posté et il est possible que ça l'ait aidé, hé hé. Le partage en général a contribué à maintenir le feu sacré des fans, résultat maintenant le groupe revient et vend à nouveau des disques. En fait ce qu'il y avait de disponible sous forme de torrents n'était pas disponible dans le commerce : séquences d'émissions de télé, séances radios plus ou moins locales non publiées, etc.

avatar macinoe | 

Le point commun est évident.

C'est la disproportion entre le délit et la punition que tu préconise.

De toute façon quand on souhaite le malheur des autres comme tu le fait c'est qu'on est vraiment pas une bonne personne.

Ca ne me concerne pas donc que les autres crèvent...

Nul comme attitude.
Et je dis ça d'autant plus que personnellement j'en ai rien à carrer du p2p.

avatar BeePotato | 

@ macinoe : « Le point commun est évident. C'est la disproportion entre le délit et la punition que tu préconise. De toute façon quand on souhaite le malheur des autres comme tu le fait c'est qu'on est vraiment pas une bonne personne. »

Dans son commentaire, melaure ne préconisait pourtant aucune punition, ni ne disait souhaiter le malheur des autres.
Il a juste dit qu’en raison du comportement des victimes, il ne se sentirait pas tellement touché par leur malheur. Ça n’a rien à voir avec l’extrapolation que tu viens de faire de ses propos.

Et pour reprendre ton parallèle avec les piétons : non, ceux qui traversent en dehors des clous ne méritent pas pour autant d’être écrasés. En revanche, on est parfaitement en droit de se sentir moins choqué s’il leur arrive de se faire écraser, que quand le même accident arrive à quelqu’un qui a bien pris soin de traverser à l’endroit prévu pour.

avatar melaure | 

Merci BeePotato, de toutes façon la comparaison entre un délinquant informatique et un malheureux piéton n'avait aucun sens ... ;)

avatar macinoe | 

"En revanche, on est parfaitement en droit de se sentir moins choqué s’il leur arrive de se faire écraser, que quand le même accident arrive à quelqu’un qui a bien pris soin de traverser à l’endroit prévu pour."

Non. C'est typiquement cette mentalité que je dénonce.
Le côté c'est bien fait pour sa gueule et l'idée que les gens ont toujours ce qu'ils méritent.

Il n'y a pas de quoi se réjouir du malheur des autres. Jamais.
Pas plus que de chambrer un cancéreux en lui disant qu'il n'avait qu'à pas fumer.
C'est nul comme attitude. juste nul.

avatar melaure | 

L'attitude nul c'est de toujours promouvoir l'irresponsabilité, le non respect des lois, etc ...

Tu est surement un pote à Taubira, l'ancienne ministre de la délinquance ...

Les gens qui ne respectent rien DOIVENT ramasser, raz le bol du laxisme !

Perso j'aimerais bien venir voler le travail de tous ceux qui font du torrent pour voir si ça les fait encore rire de travailler gratos ...

avatar pocketalex | 

Commentaire complètement crétin niveau discussion de comptoir, macg n'a pas besoin de ça. Il vaudrait mieux vous exprimer sur les forums de TF1 ou d'NRJ

Et la guerre c'est pas bien. Et la maladie aussi.

Cordialement, bla bla bla

avatar wanabi | 
avatar alan1bangkok | 

Deluge est très bien

avatar fautedegout | 

Heu Transmission n'a pas (et n'a jamais eu) besoin d'un installeur (donc d'un mdp) pour etre installé...du moins la version officielle s'installe par drag&drop seulement.... Ou avez-vous été chercher cette info fausse dans votre article ??

avatar macaronboy | 

Si votre compte est admin c'est sur y a pas besoin de mot de passe... Mais vous vivez en risque vous...

avatar BeePotato | 

@ macaronboy : « Si votre compte est admin c'est sur y a pas besoin de mot de passe... Mais vous vivez en risque vous... »

Ne relançons pas encore une fois cette vieille légende.
Comme le souligne fautedegout, le logiciel Transmission est distribué sous forme d’une image disque contenant l’application, prête à être lancée. Il n’y a aucun « installeur » ou « paquet de l’installeur » (termes utilisés dans l’article).

Quant au malware, il est exécuté quand on lance l’application Transmission, et il pose des fichiers là où l’utilisateur à le droit d’écrire, avant de se mettre à chiffre des fichiers pour lesquels l’utilisateur dispose des droits d’accès requis. Il n’y a donc besoin d’aucun mot de passe, quel que soit le type de compte utilisé.

Il est dommage de se dire que certains se croiront peut-être à l’abri de tout ça juste parce qu’ils s’obligent à utiliser un compte utilisateur non administrateur, pensant de cette façon augmenter sensiblement leur sécurité alors que dans les faits il n’en est rien.

avatar Apollo11 | 

Vérification faite, apparemment je n'ai aucune de ces cochonneries.

J'avais téléchargé la mise à jour de Transmission dès que j'avais vu la news sur MacG.

Maintenant en version 2.92 après avoir fait la 2.91 après la première news sur le sujet.

Ouf.

avatar bunam | 

c'est quoi ce chemin à 2 balles ??? :
/Users//Library/kernel_service
dans la capture d'écran on vois clairement le nom de compte, donc il faut vérifier la présence de
~/Library/kernel_service
ou
/Users/$USER/Library/kernel_service

soit dans le terminal soit :
ls ~/Library/kernel_service
soit :
ls /Users/$USER/Library/kernel_service

si cela répond :
ls: /Users/ votre nom de compte /Library/kernel_service: No such file or directory

alors le fichier n'est pas présent

avatar bunam | 

Je pense que le CMS a du virer quand vous avez copié la ligne :
/Users/ username /Library/kernel_service
depuis la page :
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
Le CMS a du penser que c'était une balise non valide ;(

Sinon il y a déjà une version 2.92 (14714) qui tente de supprimer le malware...

avatar wanabi | 

Les autres clients bit torrent open source sont-ils concernés ?

avatar pocketalex | 

non

avatar simK | 

Nous avons eu droit à un virus de ce type au bureau il y a deux semaines, je peux vous dire que le cryptage s'étend aussi sur le réseau et que donc vous devez absolument couper tous les accès réseau à votre machine. La seule et unique solution consistant à faire un backup sur Windows ou OS X, ce type de virus va nécessairement viser les fichiers de sauvegarde. C'est une véritable saloperie

avatar pocketalex | 

Ooooh un commentaire très intéressant et surement très instructif : tu pourrais nous dire par quel biais le ransomware s'est installée ? MAC ? PC ? par fichier transmis par email ?

avatar Memo | 

POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI

C'est en turque. "Polisan S.A. Production et commercialisation de peinture.

Si les societes de peinture se lancent dans le rancomware...

avatar Jeckill13 | 

Je ne stock rien à long terme sur mon ordinateur. Tous les fichiers "importants" je les mets sur un nas en raid. Et je n'allume celui ci que si j'en ai besoin. Donc si toutefois j'étais contaminé par une rançonware je réinstalle direct.

avatar iDanny | 

@Jeckill13 :
Encore un qui n'a pas compris à quoi sert le RAID :)

avatar Jeckill13 | 

@iDanny :
Tu peux développer ?

avatar byte_order | 

que d'avoir un RAID ne garantit en rien de ne jamais perdre tes données, seulement de résister à une panne d'un voire plusieurs disques avant de les perdre.

Pour ne pas perdre de données, il faut multiplier les sauvegardes régulières sur des supports différents et à différents emplacements géographiques (sinon, vol, incendie, inondation etc et hop, même problème).

avatar powerjaja | 

La flippe ! Je crois bien avoir installé la version 2.9
J'ai lancé Transmission ce soir peu après minuit, il m'a proposé la mise à jour 2.92, je l'ai faite.

Et là je me couche et tombe sur l'article sur mon iPhone...

Je me suis relevé d'un bond ! Pas d'infection apparente mais je ne sais pas si c'est la 2.92 qui a fait le ménage ou non.
Je suis presque sûr d'avoir installé Transmission le 4 Mars au soir : peut-on savoir si c'était bien la 2.9 à ce moment là alors qu'elle est maintenant déjà à jour ?

J'ai tout déconnecté (Ethernet et WiFi) en attendant.

J'hésite à continuer ma sauvegarde Time Machine : j'ai peur qu'elle se retrouve cryptée pendant la nuit ou demain matin

avatar alan1bangkok | 

desinstaller le boudin et attendre la suite , semble plus prudent

avatar philiipe | 

Jamais utilisé ce logiciel... mais je pense qu'il sera devenu si peu populaire que nous le connaîtrons soit plus soit sous un autre nom...
Dans le fond, ce qui arrive à ce logiciel pourrait très bien arrivé à n'importe quel autre. Flippant.

avatar iGeek07 | 

@Seccotine :
Je suis désolé de vous froisser en vous apprenant que les mots ont un sens particulier, et en particulier certains termes techniques.
Il est facile de faire des anglicismes et de penser qu'on a raison mais :
Encrypt = Chiffrement (et pas Crypter)
Et Eagle = Pygargue (et pas Aigle Royal) Ce n'est pas parce que tout le monde pense que l'emblème des États Unis est un aigle royal que c'était est un (c'est un Pygargue si ça vous intéresse), et c'est pareil avec avec crypter. Mais si vous êtes trop vieux pour vouloir apprendre, et parler correctement avec les mots qui veulent dire ce que vous voulez réellement exprimer, c'est votre problème.

avatar philiipe | 

@iGeek07
[début du hors sujet]
Aigle royal= https://fr.m.wikipedia.org/wiki/Aigle_royal
Pygargue= https://fr.m.wikipedia.org/wiki/Pygargue
[fin du hors sujet]

avatar iDanny | 

@iGeek07 :
Oui l'emblème des USA est un Pygargue à tête blanche, mais ça ne veut pas dire que Eagle signifie Pygargue !..
Eagle signifie aigle comme en français, çàd un terme générique regroupant plusieurs types de piafs du même genre :)
Et donc le Pygargue en anglais, c'est lui: https://en.m.wikipedia.org/wiki/Bald_eagle

avatar iGeek07 | 

@iDanny :
Oui, je suis allé un peu vite avec mes "=" mais tout ça pour dire que la traduction ce n'est pas bijectif, et que ce n'est pas parce que les mots se ressemblent que ce sont les bonnes traductions. Et le fond de mon argument est surtout que les mots on un sens précis (sinon pourquoi en avoir pleins?) et que lorsqu'on parle de termes techniques, je trouve important d'utiliser les bons. MacG utilise les bons (et je les en remercie), alors aux commentateurs de faire un effort également.

Cela étant dit, merci pour la correction :)

avatar cham | 

@iGeek07 :
On s'en fiche, on est dans le "digital" ! :-)

avatar fautedegout | 

Pour le moment, mefiez vous de cette info, elle est truffée d'incohérences.

Première chose : Transmission n'a jamais ete distribué via un installeur.

avatar byte_order | 

Via une image disque DMG. Mais l'exécutable Transmission est infecté pour, au démarrage, déployer le malware. L'installateur du malware, c'est l'application "Transmission" elle même.

avatar fautedegout | 

Ce n'est pas ce qui est expliqué dans l'article.

Il parle d'un installeur et d'un certificat d'installeur....c'est TRES clair.

avatar daspermont | 

Propriétaire d'un mac mini (fin 2012, Mavericks), j'ai fait la mise à jour 2.9 puis 2.91, mais ne trouve aucun des fichiers douteux — suis je le seul dans ce cas, dois je m'inquiéter ? merci de nous avoir prévenus

avatar Milouze | 

Récemment ma mère a attrapé une saleté dans Chrome, une extension "PCconverter Myway" qui redirige le trafic, un genre d'adware.

Elle est encore sous Snow Leopard et je crois qu'elle s'est faite avoir à cause de la fonction "Voulez-vous recherchez une application sur le Net pour ouvrir ce type de fichier ?" en voulant ouvrir une pièce jointe illisble et probablement noyée ensuite sous les tonnes de pop-up qui ont installé une extension.

Je lui a toujours dit de rien installer qui demande son mot de passe donc c'est resté au niveau de Chrome... mais comme il ne va plus être mit à jour pour Snow, il es temps de lui installer un SSD et un OS plus recent sur son iMac C2Duo ;)

avatar lord-j | 

Est-ce que la maj auto depuis transmission à récupéré une version infectée ou est-ce seulement le cas depuis le site web??

avatar iDanny | 

@Yoskiz :
Au moins LS va t'avertir que Ke.Ranger essaie d'accéder à l'internet interlope :)

avatar iDanny | 

@Yoskiz :
Oui c'est ce que je me dis aussi :)
Vive LS :)

avatar softjo | 

@Milouze:

J'ai été infecté également. C'était une extension qui fonctionnait très bien.

Un jour chrome forçait le http sur les pages ce qui donnait ses avertissement sur chaque page. Il n'y avait encore rien sur Google. J'ai désactivé les extensions et trouvé laquelle emmerdait. Une visiblement populaire à un moment qui est devenu une saleté lors d'une mise à jour.

avatar Kriskool | 

J'avais bien la 2.9 mais aucun signe d'infection. J'ai enlevé l'application de toute façon. Je vais passé à un autre client

avatar Flash | 

c'est bon stress pas -_-

avatar pocketalex | 

Enlever l'application, si le ransomware est intallé ...

avatar SIMOMAX1512 | 

Ce logiciel transmission est vachement répandu sur Mac on dirait au vu des commentaires .

avatar Androshit | 

@SIMOMAX1512 :
Oui, sans doute le client torrent le plus efficace (rapide, léger, complet, gratuit)

avatar Flash | 

normal, c'est le meilleure

Pages

CONNEXION UTILISATEUR