KeRanger : ce que l'on sait sur le ransomware de Transmission

Mickaël Bazoge |

Palo Alto Research Center a mis au jour KeRanger (ou Ke.Ranger), un ransomware pour Mac. Sur notre plateforme, c'est le premier du genre même s'il y avait eu FileCoder en 2014, mais ce dernier était incomplet. KeRanger est lui parfaitement fonctionnel, ce qui le rend d'autant plus dangereux. Les chercheurs ont débusqué le malware dès le 4 mars. La version 2.9 de Transmission date du 28 février, après des années sans mise à jour pour ce logiciel BitTorrent.

Transmission 2.9.

Quelle est l'origine de cette infection ?

Il est difficile de dire encore comment le projet open-source Transmission a été infecté. Le malware se niche dans deux installeurs de Transmission, dont le certificat délivré par Apple est au nom d’une société turque possédant l’identifiant Z7276PX673). C'est un identifiant différent de celui utilisé pour signer les précédents logiciels d'installation de Transmission. Ces deux installeurs ont été générés et signés le matin du 4 mars.

Le certificat de l'installeur étant valide, il a donc pu passer sans encombres au travers de la protection Gatekeeper d'Apple. Le paquet de l'installeur inclut un fichier General.rtf, qui sous son allure banale, cache un fichier exécutable au format Mach-O.

Le malware s'installe en même temps que Transmission 2.9. Il copie le fichier General.rtf dans /Library/kernel_service, qui lance ensuite le processus kernel_service, le tout avant même qu'une interface utilisateur apparaisse.

KeRanger attend ensuite, tapi dans l'ombre, pendant trois jours. C'est pourquoi les premières victimes devraient être touchées ce lundi 7 mars, le malware étant présent dans le Transmission depuis le 4 mars.

Quel est le danger de KeRanger ?

Une fois ce délai de grâce achevé, KeRanger contacte un serveur via une connexion anonymisée Tor. Il lance la procédure de chiffrement de certains dossiers et documents contenus dans le disque dur. Une fois l'opération terminée, KeRanger réclame un paiement en Bitcoin d'une valeur équivalente à 400 $ pour déverrouiller les fichiers chiffrés.

Cliquer pour agrandir

D'après les chercheurs du centre Palo Alto, KeRanger est toujours en développement ; il semble qu'il tente aussi de chiffrer les fichiers de sauvegarde Time Machine, empêchant les utilisateurs de restaurer leurs Mac avec une ancienne sauvegarde, ce qui est une des solutions envisagées pour ne pas passer à la caisse. À l'heure actuelle, le chiffrement des sauvegardes Time Machine n'est pas fonctionnel.

Les fichiers chiffrés à l'insu de l'utilisateur sont ceux contenus dans le dossiers Utilisateurs. Il chiffre aussi 300 types de documents du dossier Volumes (notamment les fichiers classiques bureautiques en .rtf, .doc, mais aussi les .jpg, .mp3, .mp4, .zip…).

Comment savoir si on est infecté, et comment réagir ?

Les utilisateurs Mac qui ont téléchargé Transmission 2.9 entre le 4 et le 5 mars sont susceptibles d'avoir aussi installé KeRanger. Et même si vous aviez téléchargé le logiciel avant, ou pour en avoir le cœur net, Palo Alto Research propose le mode d'emploi suivant :

  • Ouvrez un Terminal ou utilisez le Finder pour rechercher les fichiers /Applications/Transmission.app/Contents/Resources/General.rtf ou /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf. S'ils sont présents, l'application Transmission est infectée et il est chaudement conseillé de la supprimer.
  • Utilisez l'application Moniteur d'activité d'OS X, et recherchez un processus du nom de kernel_service. Si vous le trouvez, cliquez deux fois dessus, et sélectionnez l'onglet Fichiers et ports ouverts ; cherchez ensuite un fichier /Users/Library/kernel_service. Cliquez sur Quitter, puis Forcer à quitter. Voir la capture écran ci-dessous.
  • Dans le dossier /Bibliothèque, recherchez les fichiers .kernel_pid, .kernel_time, .kernel_complete ou .kernel_service. Si vous trouvez un ou plusieurs de ces fichiers, supprimez-les.
Cliquer pour agrandir

Quelles ont été les réactions d'Apple et de Transmission ?

Dès le 4 mars, Apple a été mise au courant de l'existence de KeRanger. Le constructeur a révoqué le certificat du développeur, ce qui signifie que Gatekeeper bloque toute tentative d'installation. Apple a aussi mis à jour la base de données de signatures de virus Xprotect — intégrée à même le système d'exploitation et mise à jour automatiquement.

Si jamais vous tentiez d'installer une version infectée de Transmission, OS X affiche une boîte de dialogue le prévenant de la dangerosité du logiciel. Évidemment, il faudra obéir au système et supprimer l'image disque. Par défaut, Gatekeeper autorise uniquement l'installation d'applications provenant du Mac App Store et des développeurs identifiés (dans les préférences OS X, Sécurité et confidentialité > Général).

Pour modifier le réglage, il faut cliquer sur le cadenas puis entrer le mot de passe admin — Cliquer pour agrandir

De son côté, Transmission a supprimé les installeurs infectés de son site web. L'équipe a mis en ligne en urgence une version 2.91 de son logiciel dimanche 6 mars, puis quelques heures plus tard, une version 2.92. Une mise à jour qui est évidemment à effectuer toutes affaires cessantes.

Peut-on être sûr que KeRanger ne fera aucun mal ?

Malgré les précautions d'Apple et de Transmission, et des conseils de Palo Alto Research Center, on se gardera de crier victoire immédiatement. Dans ce domaine, la prudence est de mise et les prochaines heures devraient nous éclairer davantage sur le sujet.

Illustration du bandeau : Christiaan Colen, CC BY-SA

avatar Aphelion | 

Question : est-ce que l'infection est uniquement lors d'une nouvelle installation, ou bien également lors d'une mise à jour automatique ? J'ai fait la mise à jour automatique du logiciel en début de semaine dernière, et j'ai suivi les instructions pour savoir si j'étais infecté ou non, et il ne me semble pas avoir vu de fichiers correspondants à ce qui est décrit dans l'article (pas de "General.rtf" dans les dossiers, ni de "kernel_service" dans le moniteur d'activité), mais je préférerai en être certain.

avatar pocketalex | 

La mise à jour automatique n'est pas concernée

avatar reno732 | 

Et bah voilà on va pouvoir vendre du ESET Nod32 sur mac !

avatar patrick86 | 

RAS. J'avais fait la mise à jour via l'app.

avatar iDanny | 

@Jeckill13 :
Le RAID ne sert pas à faire du backup mais de la haute disponibilité.
Pour avoir ses données dispo 24h / 24, sur des NAS allumés en permanence.
Et tu indiques que ton NAS n'est allumé qu'en cas de besoin.
Donc RAID carrément inutile dans ton cas :)

avatar Jeckill13 | 

@iDanny :
Sauf à utiliser le RAID 1 qui permet surtout de protéger les données. Effectivement en utilisant les autres RAID c'est l'accès qui est privilégié, mais en RAID 1 c'est la redondance, et en 5 c'est les deux combinés mais ça demande au moins 4 disques. Et en ce qui me concerne j'ai surtout besoin de les protéger, même si ce n'est pas la sécurité absolu et que ça demande aussi de faire une sauvegarde externe.

avatar byte_order | 

Sauf que la moindre erreur d'écriture (effacement, écrasement, etc) sur un raid 1 et tu as bel et bien perdu des données.
Même le RAID 1 est orienté haute disponibilité (et performance), pas protection des données.

Depuis toujours, c'est l'archivage et les copies qui permettent d'éviter de perdre des données. Cela vaut pour le papier comme pour le numérique.

avatar pocketalex | 

Le RAID 1 ne protège que d'une chose et une seule : la défaillance d'un disque. Et c'est tout.

avatar Jeckill13 | 

@iDanny :

Selon Wikipedia :
Le RAID est un ensemble de techniques de virtualisation du stockage permettant de répartir des données sur plusieurs disques durs afin d'améliorer soit les performances, soit la sécurité ou la tolérance aux pannes de l'ensemble du ou des systèmes.

En ce qui me concerne je l'utilise surtout pour sa capacité à sécuriser de façon relative bien sûr mes fichiers. Et si je l'éteins c'est surtout pour la consommation d'électricité

avatar Milouze | 

@byte_order : c'est ce qui différencie sauvegarde courante et archivage.

L'archivage en principe se fait avec des vérifications d'intégrité (checksum, MD5 hash trucbidule) des copies, ce que le Finder ne fera pas de lui-même.

C'est le risque le plus courant, un fichier illisible sur un support pourtant en état de fonctionnement, être tombé sur le dixième de chance d'avoir ce genre d'erreur.

Normalement les logiciels de sauvegarde le font, ou alors il est possible de bricoler au terminal (des shareware existent aussi juste dedié à ça mais je les connais pas pour en conseiller un).

avatar DouceProp | 

Merci pour l'info MacG. Par prévention, j'ai supprimé Transmission à la maison, même si mes versions n'étaient pas en 2.9... Je m'en sers même plus de toute façon.

avatar powerjaja | 

[Hors sujet ON]
C'est fou ce qu'on apprend sur les rapaces dans ce fil. Je vais encore me coucher moins bête ce soir.

Perso je serais tout aussi affecté par quelqu'un d'écrasé en dehors des clous que dedans.
Pour rappel, traverser en dehors des clous, c'est autorisé si l'on se trouve à plus de 50 mètres d'un "passage clouté" (passage piéton de nos jours )
[Hors sujet OFF]

avatar BeePotato | 

@ powerjaja : « Pour rappel, traverser en dehors des clous, c'est autorisé si l'on se trouve à plus de 50 mètres d'un "passage clouté" »

Bon, puisqu’on veut faire dans la précision, reformulons l’expression de macinoe : des piétons qui se font écraser lorsqu’ils traversent hors des clous à moins de 50 mètres d’un passage pour piétons (article R412-37) ou lorsqu’ils traversent à plus de 50 mètres d’un passage pour piétons mais suivant un axe non perpendiculaire à la chaussée (article R412-39) ou lorsqu’ils traversent où que ce soit sans « tenir compte de la visibilité ainsi que de la distance et de la vitesse des véhicules » (article R412-37 encore). ;-)

avatar Un Type Vrai | 

"Le certificat de l'installeur étant valide, il a donc pu passer sans encombres au travers de la protection Gatekeeper d'Apple."

Donc ça ne sert à rien Gatekeeper...

Il me semble que la confiance doit absoluement se situer à 2 niveaux :
1) L'archive installée sur un ordinateur est la même que celle testée par Apple (sha ou md5 identique)
2) Le logiciel installé ne fait pas d'opération louche (Apple doit vérifier qu'aucun fichier système n'est affecté par la lancement et l'utilisation d'un logiciel).

Empêcher les utilisateurs lambda a installer des logiciels tout venant DOIT AVOIR comme contre partie une vérification sérieuse des logiciels "certifiés"...

En fait, c'est une passoire qui se contente annihiler la concurrence des softs d'Apple.

avatar BeePotato | 

@ Un Type Vrai : « Il me semble que la confiance doit absoluement se situer à 2 niveaux :
1) L'archive installée sur un ordinateur est la même que celle testée par Apple (sha ou md5 identique)
2) Le logiciel installé ne fait pas d'opération louche (Apple doit vérifier qu'aucun fichier système n'est affecté par la lancement et l'utilisation d'un logiciel).
Empêcher les utilisateurs lambda a installer des logiciels tout venant DOIT AVOIR comme contre partie une vérification sérieuse des logiciels "certifiés"... »

Il semble que tu confondes GateKeeper et l’App Store.
La fonction de GateKeeper ne consiste aucunement à certifier des logiciels, et Apple ne voit passer aucune archive.
GateKeeper, ça se contente de permettre de vérifier, grâce à la signature d’un logiciel par son développeur, que le logiciel en question n’a pas été altéré par quelqu’un d’autre durant son cheminement entre le développeur et l’utilisateur. Mais ça ne garantit rien au sujet de la qualité du logiciel. On se contente de ce qu’affirme le développeur à ce sujet (comme on l’a toujours fait).
Cependant, en bonus, GateKeeper permet aussi, quand un logiciel est détecté comme nuisible comme dans le cas présent, de bloquer rapidement son exécution (sur les machines où GateKeeper n’a pas été désactivé). Donc ça n’empêche pas ce genre de problème d’arriver, mais ça permet d’en limiter l’échelle.

Le fonctionnement dont tu parles, avec vérification de chaque logiciel par Apple, ce n’est pas celui de GateKeeper, mais de l’App Store.

« En fait, c'est une passoire qui se contente annihiler la concurrence des softs d’Apple. »

En effet, tu ne sais vraiment pas ce qu’est GateKeeper. :-)

avatar TimeMachine | 

Si FileVault est activé, est-ce que ce malware peut encrypter ce qui est déjà encrypté ? Question au hasard, comme ça.

avatar sdebacker | 

J'ai la version 2.90 installée pile poil le 4 mars via la mise à jour automatique, et je n'ai aucune trace d'infection.
La vérification du certificat m'a définitivement rassuré : Authority=Developer ID Application: Digital Ignition LLC. L'application malicieuse est signée par POLISAN BOYA SANAYI VE TICARET ANONIM SIRKETI et non Digital Ignition LLC.
La commande Terminal pour obtenir les infos du certificat est codesign -d -vvv /Applications/Transmission.app.

avatar t-bo | 

*** Sifflote avec une seedbox. ***

avatar ElGringo13 | 

Peut-on encore faire confiance à ce logiciel ? Je suis passé de Vuze à Transmission pour sa simplicité et j'y gagne la plus grosse alerte depuis que j'ai rejoint le monde Mac...

avatar cham | 

A propos de kernel _task et kernelEventAgent, est-ce que quelqu'un peut confirmer aux béotiens dans mon genre que ce sont des processus (root) normaux ? Et qu'ils ne signifient pas qu'on est infecté ? Merci.

Désolé si double post, je pense avoir posté dans le 1er article au de le faire ici.

avatar BeePotato | 

@ cham : Oui, ces deux processus sont des éléments normaux de Mac OS X (et le nom choisi pour le processus du malware vise manifestement à créer une confusion avec ces processus).

avatar cham | 

@BeePotato :
Merci !

avatar laurrent-m | 

Moi j'aime bien la premiere illustration, Transmission qui telecharge ubuntu :D

avatar Mymakao | 

Question idiote (j'avoue j'ai survolé les commentaires en biais, j'ai peut-être loupé le truc) - J'ai la version 2.82 de transmission... Installée depuis un bail et pas mise à jour. Du coup : quoi faire ???? Laisser tel quel ? Ou faire le MAJ 2.92 ???????

avatar Moonwalker | 

C'est toi qui voit.

La dernière avant la 2.90 était la 2.84. J'en étais satisfait. La nouvelle version (2.92 maintenant) corrige quelques bugs. Le descriptif est disponible sur le site de Transmission.

Maintenant, si pour toi tout marche bien comme c'est, personne ne te force à faire la mise à jour.

avatar adixya | 

Ca ma l'air d'être un non événement ce malware au final lol (et là pouf tout se crypte su mon ordi au moment ou je poste ce message !!)

avatar Average Joe | 

Bon, nous sommes le 10 mars, la version 2.92 de Transmission est installée, j'ai accès à mes données, pas de problème apparemment.
C'est d'ailleurs le logiciel lui-même qui m'a informé du problème au lancement du Mac cette semaine.

avatar Changi | 

On peut faire un droplet avec Filebuddy, récemment mis à jour, qui reste le meilleur "gestionnaire de fichiers" (je ne sais pas le terme exact), même si la fonction "rechercher" sur un disque un peu rempli est longue.
Ce petit outil, ancien mais à jour, mériterait une présentation détaillée dans un article : j'ai pu vérifier que j'étais pas infecté grâce à lui, et plein d'autres choses encore.

Pages

CONNEXION UTILISATEUR