Transmission : la bombe à retardement du ransomware Ke.Ranger
Ke.Ranger (ou KeyRanger), le malware transmis avec la version 2.9 du logiciel BitTorrent Transmission, est une bombe à retardement dont les premiers effets vont se faire ressentir à partir de demain lundi. Et ces effets risquent d'être dévastateurs si on ne met pas à jour immédiatement l'application en version 2.91, proposée depuis aujourd'hui par l'éditeur.
Palo Alto Threat Intelligence déclare en effet à Reuters que Ke.Ranger est la première tentative réussie de ransomware (ou rançongiciel) sur Mac. Trois jours après son installation, le malware va chiffrer les données de l'utilisateur puis lui réclamer une rançon pour qu'il recouvre ses données. C'est donc très grave pour ceux qui n'appliqueront pas la mise à jour de Transmission, ou qui n'effectueront pas les modalités pour supprimer le malware (lire : Transmission : gare au malware dans la version 2.9).
Ceux qui ont installé la version 2.9 de Transmission vendredi sont donc susceptibles, dès lundi, d'être les victimes de Ke.Ranger. Apple a réagi en supprimant le certificat du développeur qui permettait d'installer le malware. Mais le constructeur devra sans doute en faire plus pour éviter une catastrophe potentielle. Une des solutions est de restaurer son Mac à partir d'une ancienne version du système, avant l'installation de Transmission. Car même une fois la rançon payée, rien ne dit que l'auteur déverrouillera effectivement les données.
Les ransomwares sont de plus en plus courants sur Windows, mais jusqu'à présent le Mac était épargné. Ce n'est désormais plus le cas.
Le probleme surtout c'est qu'il peut recuperer les données ! Pour une prochaine fois sans doutes. En attendant, faites gaffe a ce que vous installez sur vos machines !
sur ce coup là en l'occurence, même en faisant attention je crains que beaucoup se soient fait berner puisqu'ils sont allé chercher transmission directement sur le site du développeur via le lien donné dans la News de MacG du 29 février par exemple (MacG qui encourageait à télécharger cette version qui corrigeait le trou de sécurité de la version de sparkle)
D'ailleurs, MacG devrait faire une mise à jour de la news du 29 février pour alerter sur cette version 2.9
...et sauvegardez, chiffrez.
@bugman : le fait de chiffrer ses données rend impossible la récupération des données par ce type de logiciel, tu penses ?
@pillouti :
Non mais la lecture peut être ?
Du tout.
@pillouti : Disons que chiffrées, elles sont difficilement exploitables (demande au FBI dans le doute). ;)
Une fois qu'on a remplacé Transmission, comment vérifier si Ke.Ranger n'est pas présent ailleurs dans le système?
J'aurais dû dire: une fois qu'on a remplacé Transmission par la version 2.91.
De toutes façons, il semblerait que la version malware était seulement en téléchargement à partir du site web et non pas la version mise à jour par Sparkle.
@Kewl :
Est ce que tu as une source pour appuyer ce que tu dis?
C'est quoi Sparkle ? C'est quand on met à jour à partir de l'application en faisant "rechercher les mises à jour" ?
Oups. Je n'avais pas suivi cette affaire. Merci pour l'info. Heureusement j'étais encore à 2.84. Merci!
@CNNN : Ah oui, effectivement. Ça paraît logique.
@pillouti :
Non du tout, chiffrer ses donnés permet de les rendre inaccessible à quelqu'un qui a accès physiquement à la machine et qui n'a pas le mot de passe, une fois celui ci déverrouiller le chiffrage ne protège pas d'un logiciel espion (chiffrage filevault) mettre les donnes sensible dans une image sparsbundle avec chiffrage est là meilleure solution
J'ai essayé de vous prévenir ici à 16H histoire que tt le monde soit prévenu :
https://www.macg.co/macgeneration/2016/03/le-resume-dune-semaine-ou-lon-veut-quapple-nous-obeisse-93266
@Jetel :
Essaie de leur envoyer un mail la prochaine fois, c'est plus efficace pour être sur qu'ils voient ce que tu veux leur dire ;)
Oui, je suis un peu con j'avoue.
Pas grave le message est passé visiblement.
Nouvelle MAJ au passage en 2.92, qui supprime automatiquement le malware. Rassurant pour les neophytes !
Bonne nuit
La mise à jour de Transmission indique la procédure à suivre pour vérifier si on est infecté.
Il faut lancer Moniteur d'activité, vérifier s'il y a un process "kernel_service" qui tourne.
Si c'est le cas, il faut double-cliquer dessus, choisir l'onglet "Fichiers et ports ouverts" et chercher dans la liste un fichier en "Users//Library/kernel_service".
Si c'est bien le cas, il faut forcer l'opération en question à quitter.
Y'a des cons qui vont payer encore, moi c'est reformattage complet du mac si sa m'arrive et fuck ils auront pas un seul centime
Si tout le monde utilisait le MAS on ne serait pas arrivé là...
Ah parce que tu crois ce ce logiciel est sur le MAP, tu es exceptionnel !
@fousfous :
Vilain troll !
@fousfous :
Tout le monde ne peux pas. Certains types d'applications y sont interdites.
@bugman :
Tiens, d'ailleurs un bien bel exemple (Little Snitch) dans les commentaires. ;)
Absolument pas besoin de réinstaller l'os ? J'ai vérifié dans moniteur d'activité, pas de trace du processus et la mise à jour est faite.
Comme si on avait que ça à faire sans déconner. Quelle perte de temps. D'autant qu'avec OS X, j'avoue ne plus être habitué à avoir ce genre de problème. Je fais attention à ce que je télécharge et point.
Merci pour les news à ce sujet <3
Pas besoin de réinstaller ... parce que .. tu n'est pas concerné ! Tu as compris !
C'est...comment dire...fort juste. J'ai fait quelques vérifications dans le même temps et tout semble ok. D'autant que j'avais fait la maj via l'application.
J'ai néanmoins pris une belle leçon ce soir, je vais prendre quelques précautions supplémentaires.
Merci l'ami.
Mais pourquoi la 2.90 contenait un malware ?
Telle est la question ! Il y aura forcément des gens touchés d'ici 3 jours, le développeur va devoir trouver des explications… Ça craint.
Probablement car il n'y a pas de malware sur OS X, et qu'a ce titre il est d'usage de ne pas utiliser de solution permettant de détecter une compromission de son système ou des fichiers que l'on distribue.
Bref une victime du marketing et des croyances.
Parce que le monde IL est méchant !
Je ne suis pas touché apparemment, mais je vais me chier dessus d'ici demain soir avec cet histoire…
Heureusement que j'ai une sauvegarde Time Machine.
Les ransomware sont de vraies saloperies.
Edit : MERCI de l'alerte, MacG !
@Kewl :
Si on peut faire la MAJ de transmission on peut être certain de ne pas etre infecté ?
Cela éviterait peut être la manip décrite plus haut ?
Non, faire la mise à jour ne désinstalle pas l'ancien malware a priori, si celui-ci est actif dans le Moniteur d'activité. À confirmer tout de même.
@CNNN :
Et pourquoi vous utilisez des logiciel de torrent, c'est ça la bonne question !
Ouf, j'étais resté en 2.84, mais merci MacG de l'info !
Un peu flippant quand même...
La version CLI (via brew) en 2.9 n'est pas affectée
Vous pouvez me rappeler à quoi sert Transmission à part entrer dans ce monde de gangsters ? Arroseur arrosé #etoussa
@Madalvée :
Même question c'est quoi ce truc "Transmission" ?
Je l'utilise pour télécharger les fichiers d'installation de LibreOffice entre autres : c'est tout ce qu'il y a de plus légal
Pareil je l'utilise pour dl la 9ème symphonie de Beethoven... Et quand je l'ai terminé, je le supprime et le retélécharge pour qu'elle soit comme neuve...
Merci, ta participation est estimée à sa juste valeur ... 0
@Madalvée :
Le genre de réflexion bien bête, dénué de tout bon sens, tu sais transmission ne s'utilise pas seulement pour pirater les films de Gayet.
@Madalvée :
Les torrents ne sont pas toujours des logiciels piratés.
Le raccourci arroseur arrosé et gangster, wahou la repartie.
La répartie, tu veux dire ?
Mais la répartie c'est une réponse, ici c'est lui qui s'exprime en premier... donc c'est... idiot, non ?!
Les gangsters sont moins chiants que les bien pensants ... et souvent bien plus malins.
@Madalvée :
+1, entre délinquants informatiques et pirates du net, c'est assez rigolo ... :D
C'est plus efficace qu'hadopi pour lutter contre le piratage !!
;-)
Pages