Transmission : la bombe à retardement du ransomware Ke.Ranger
Ke.Ranger (ou KeyRanger), le malware transmis avec la version 2.9 du logiciel BitTorrent Transmission, est une bombe à retardement dont les premiers effets vont se faire ressentir à partir de demain lundi. Et ces effets risquent d'être dévastateurs si on ne met pas à jour immédiatement l'application en version 2.91, proposée depuis aujourd'hui par l'éditeur.
Palo Alto Threat Intelligence déclare en effet à Reuters que Ke.Ranger est la première tentative réussie de ransomware (ou rançongiciel) sur Mac. Trois jours après son installation, le malware va chiffrer les données de l'utilisateur puis lui réclamer une rançon pour qu'il recouvre ses données. C'est donc très grave pour ceux qui n'appliqueront pas la mise à jour de Transmission, ou qui n'effectueront pas les modalités pour supprimer le malware (lire : Transmission : gare au malware dans la version 2.9).
Ceux qui ont installé la version 2.9 de Transmission vendredi sont donc susceptibles, dès lundi, d'être les victimes de Ke.Ranger. Apple a réagi en supprimant le certificat du développeur qui permettait d'installer le malware. Mais le constructeur devra sans doute en faire plus pour éviter une catastrophe potentielle. Une des solutions est de restaurer son Mac à partir d'une ancienne version du système, avant l'installation de Transmission. Car même une fois la rançon payée, rien ne dit que l'auteur déverrouillera effectivement les données.
Les ransomwares sont de plus en plus courants sur Windows, mais jusqu'à présent le Mac était épargné. Ce n'est désormais plus le cas.
Le probleme surtout c'est qu'il peut recuperer les données ! Pour une prochaine fois sans doutes. En attendant, faites gaffe a ce que vous installez sur vos machines !
sur ce coup là en l'occurence, même en faisant attention je crains que beaucoup se soient fait berner puisqu'ils sont allé chercher transmission directement sur le site du développeur via le lien donné dans la News de MacG du 29 février par exemple (MacG qui encourageait à télécharger cette version qui corrigeait le trou de sécurité de la version de sparkle)
D'ailleurs, MacG devrait faire une mise à jour de la news du 29 février pour alerter sur cette version 2.9
...et sauvegardez, chiffrez.
@bugman : le fait de chiffrer ses données rend impossible la récupération des données par ce type de logiciel, tu penses ?
@pillouti :
Non mais la lecture peut être ?
Du tout.
@pillouti : Disons que chiffrées, elles sont difficilement exploitables (demande au FBI dans le doute). ;)
Une fois qu'on a remplacé Transmission, comment vérifier si Ke.Ranger n'est pas présent ailleurs dans le système?
J'aurais dû dire: une fois qu'on a remplacé Transmission par la version 2.91.
De toutes façons, il semblerait que la version malware était seulement en téléchargement à partir du site web et non pas la version mise à jour par Sparkle.
@Kewl :
Est ce que tu as une source pour appuyer ce que tu dis?
C'est quoi Sparkle ? C'est quand on met à jour à partir de l'application en faisant "rechercher les mises à jour" ?
Oups. Je n'avais pas suivi cette affaire. Merci pour l'info. Heureusement j'étais encore à 2.84. Merci!
@CNNN : Ah oui, effectivement. Ça paraît logique.
@pillouti :
Non du tout, chiffrer ses donnés permet de les rendre inaccessible à quelqu'un qui a accès physiquement à la machine et qui n'a pas le mot de passe, une fois celui ci déverrouiller le chiffrage ne protège pas d'un logiciel espion (chiffrage filevault) mettre les donnes sensible dans une image sparsbundle avec chiffrage est là meilleure solution
J'ai essayé de vous prévenir ici à 16H histoire que tt le monde soit prévenu :
https://www.macg.co/macgeneration/2016/03/le-resume-dune-semaine-ou-lon-veut-quapple-nous-obeisse-93266
@Jetel :
Essaie de leur envoyer un mail la prochaine fois, c'est plus efficace pour être sur qu'ils voient ce que tu veux leur dire ;)
Oui, je suis un peu con j'avoue.
Pas grave le message est passé visiblement.
Nouvelle MAJ au passage en 2.92, qui supprime automatiquement le malware. Rassurant pour les neophytes !
Bonne nuit
La mise à jour de Transmission indique la procédure à suivre pour vérifier si on est infecté.
Il faut lancer Moniteur d'activité, vérifier s'il y a un process "kernel_service" qui tourne.
Si c'est le cas, il faut double-cliquer dessus, choisir l'onglet "Fichiers et ports ouverts" et chercher dans la liste un fichier en "Users//Library/kernel_service".
Si c'est bien le cas, il faut forcer l'opération en question à quitter.
Y'a des cons qui vont payer encore, moi c'est reformattage complet du mac si sa m'arrive et fuck ils auront pas un seul centime
Si tout le monde utilisait le MAS on ne serait pas arrivé là...
Ah parce que tu crois ce ce logiciel est sur le MAP, tu es exceptionnel !
@fousfous :
Vilain troll !
@fousfous :
Tout le monde ne peux pas. Certains types d'applications y sont interdites.
Pages