Transmission : la bombe à retardement du ransomware Ke.Ranger

Mickaël Bazoge |

Ke.Ranger (ou KeyRanger), le malware transmis avec la version 2.9 du logiciel BitTorrent Transmission, est une bombe à retardement dont les premiers effets vont se faire ressentir à partir de demain lundi. Et ces effets risquent d'être dévastateurs si on ne met pas à jour immédiatement l'application en version 2.91, proposée depuis aujourd'hui par l'éditeur.

Palo Alto Threat Intelligence déclare en effet à Reuters que Ke.Ranger est la première tentative réussie de ransomware (ou rançongiciel) sur Mac. Trois jours après son installation, le malware va chiffrer les données de l'utilisateur puis lui réclamer une rançon pour qu'il recouvre ses données. C'est donc très grave pour ceux qui n'appliqueront pas la mise à jour de Transmission, ou qui n'effectueront pas les modalités pour supprimer le malware (lire : Transmission : gare au malware dans la version 2.9).

Ceux qui ont installé la version 2.9 de Transmission vendredi sont donc susceptibles, dès lundi, d'être les victimes de Ke.Ranger. Apple a réagi en supprimant le certificat du développeur qui permettait d'installer le malware. Mais le constructeur devra sans doute en faire plus pour éviter une catastrophe potentielle. Une des solutions est de restaurer son Mac à partir d'une ancienne version du système, avant l'installation de Transmission. Car même une fois la rançon payée, rien ne dit que l'auteur déverrouillera effectivement les données.

Les ransomwares sont de plus en plus courants sur Windows, mais jusqu'à présent le Mac était épargné. Ce n'est désormais plus le cas.


avatar bugman | 

Le probleme surtout c'est qu'il peut recuperer les données ! Pour une prochaine fois sans doutes. En attendant, faites gaffe a ce que vous installez sur vos machines !

avatar r e m y | 

sur ce coup là en l'occurence, même en faisant attention je crains que beaucoup se soient fait berner puisqu'ils sont allé chercher transmission directement sur le site du développeur via le lien donné dans la News de MacG du 29 février par exemple (MacG qui encourageait à télécharger cette version qui corrigeait le trou de sécurité de la version de sparkle)

D'ailleurs, MacG devrait faire une mise à jour de la news du 29 février pour alerter sur cette version 2.9

avatar bugman | 

...et sauvegardez, chiffrez.

avatar pillouti | 

@bugman : le fait de chiffrer ses données rend impossible la récupération des données par ce type de logiciel, tu penses ?

avatar CNNN | 

@pillouti :
Non mais la lecture peut être ?

avatar Nicolas R. | 

Du tout.

avatar bugman | 

@pillouti : Disons que chiffrées, elles sont difficilement exploitables (demande au FBI dans le doute). ;)

avatar Daniel Courville | 

Une fois qu'on a remplacé Transmission, comment vérifier si Ke.Ranger n'est pas présent ailleurs dans le système?

avatar Mickaël Bazoge | 
Il faut suivre la procédure décrite ici : https://www.macg.co/logiciels/2016/03/transmission-gare-au-malware-dans-la-version-29-93271
avatar Daniel Courville | 

J'aurais dû dire: une fois qu'on a remplacé Transmission par la version 2.91.

De toutes façons, il semblerait que la version malware était seulement en téléchargement à partir du site web et non pas la version mise à jour par Sparkle.

avatar iGeek07 | 

@Kewl :
Est ce que tu as une source pour appuyer ce que tu dis?

avatar sinbad21 | 

C'est quoi Sparkle ? C'est quand on met à jour à partir de l'application en faisant "rechercher les mises à jour" ?

avatar Mirage Breton | 

Oups. Je n'avais pas suivi cette affaire. Merci pour l'info. Heureusement j'étais encore à 2.84. Merci!

avatar pillouti | 

@CNNN : Ah oui, effectivement. Ça paraît logique.

avatar Neorry | 

@pillouti :
Non du tout, chiffrer ses donnés permet de les rendre inaccessible à quelqu'un qui a accès physiquement à la machine et qui n'a pas le mot de passe, une fois celui ci déverrouiller le chiffrage ne protège pas d'un logiciel espion (chiffrage filevault) mettre les donnes sensible dans une image sparsbundle avec chiffrage est là meilleure solution

avatar Jetel | 

J'ai essayé de vous prévenir ici à 16H histoire que tt le monde soit prévenu :
https://www.macg.co/macgeneration/2016/03/le-resume-dune-semaine-ou-lon-veut-quapple-nous-obeisse-93266

avatar iGeek07 | 

@Jetel :
Essaie de leur envoyer un mail la prochaine fois, c'est plus efficace pour être sur qu'ils voient ce que tu veux leur dire ;)

avatar Mickaël Bazoge | 
Ah oui parce que là ;) En plus un dimanche à 16h, c'est pas évident de tomber sur quelqu'un qui lit les commentaires.
avatar Jetel | 

Oui, je suis un peu con j'avoue.
Pas grave le message est passé visiblement.

Nouvelle MAJ au passage en 2.92, qui supprime automatiquement le malware. Rassurant pour les neophytes !

Bonne nuit

avatar Dwigt | 

La mise à jour de Transmission indique la procédure à suivre pour vérifier si on est infecté.
Il faut lancer Moniteur d'activité, vérifier s'il y a un process "kernel_service" qui tourne.
Si c'est le cas, il faut double-cliquer dessus, choisir l'onglet "Fichiers et ports ouverts" et chercher dans la liste un fichier en "Users//Library/kernel_service".

Si c'est bien le cas, il faut forcer l'opération en question à quitter.

avatar guersouf | 

Y'a des cons qui vont payer encore, moi c'est reformattage complet du mac si sa m'arrive et fuck ils auront pas un seul centime

avatar fousfous | 

Si tout le monde utilisait le MAS on ne serait pas arrivé là...

avatar nemrod | 

Ah parce que tu crois ce ce logiciel est sur le MAP, tu es exceptionnel !

avatar Hertzfield | 

@fousfous :
Vilain troll !

avatar bugman | 

@fousfous :
Tout le monde ne peux pas. Certains types d'applications y sont interdites.

avatar bugman | 

@bugman :
Tiens, d'ailleurs un bien bel exemple (Little Snitch) dans les commentaires. ;)

avatar Chury | 

Absolument pas besoin de réinstaller l'os ? J'ai vérifié dans moniteur d'activité, pas de trace du processus et la mise à jour est faite.
Comme si on avait que ça à faire sans déconner. Quelle perte de temps. D'autant qu'avec OS X, j'avoue ne plus être habitué à avoir ce genre de problème. Je fais attention à ce que je télécharge et point.

Merci pour les news à ce sujet <3

avatar nemrod | 

Pas besoin de réinstaller ... parce que .. tu n'est pas concerné ! Tu as compris !

avatar Chury | 

C'est...comment dire...fort juste. J'ai fait quelques vérifications dans le même temps et tout semble ok. D'autant que j'avais fait la maj via l'application.
J'ai néanmoins pris une belle leçon ce soir, je vais prendre quelques précautions supplémentaires.
Merci l'ami.

avatar nayals | 

Mais pourquoi la 2.90 contenait un malware ?

avatar simnico971 | 

Telle est la question ! Il y aura forcément des gens touchés d'ici 3 jours, le développeur va devoir trouver des explications… Ça craint.

avatar lmouillart | 

Probablement car il n'y a pas de malware sur OS X, et qu'a ce titre il est d'usage de ne pas utiliser de solution permettant de détecter une compromission de son système ou des fichiers que l'on distribue.

Bref une victime du marketing et des croyances.

avatar nemrod | 

Parce que le monde IL est méchant !

avatar simnico971 | 

Je ne suis pas touché apparemment, mais je vais me chier dessus d'ici demain soir avec cet histoire…
Heureusement que j'ai une sauvegarde Time Machine.
Les ransomware sont de vraies saloperies.

Edit : MERCI de l'alerte, MacG !

avatar CNNN | 

@Kewl :
Si on peut faire la MAJ de transmission on peut être certain de ne pas etre infecté ?
Cela éviterait peut être la manip décrite plus haut ?

avatar nayals | 

Non, faire la mise à jour ne désinstalle pas l'ancien malware a priori, si celui-ci est actif dans le Moniteur d'activité. À confirmer tout de même.

avatar melaure | 

@CNNN :
Et pourquoi vous utilisez des logiciel de torrent, c'est ça la bonne question !

avatar flambi | 

Ouf, j'étais resté en 2.84, mais merci MacG de l'info !
Un peu flippant quand même...

avatar Bil | 

La version CLI (via brew) en 2.9 n'est pas affectée

avatar Madalvée | 

Vous pouvez me rappeler à quoi sert Transmission à part entrer dans ce monde de gangsters ? Arroseur arrosé #etoussa

avatar Yoskiz (non vérifié) | 

@Madalvée :
Même question c'est quoi ce truc "Transmission" ?

avatar nykk | 

Je l'utilise pour télécharger les fichiers d'installation de LibreOffice entre autres : c'est tout ce qu'il y a de plus légal

avatar Nicolas R. | 

Pareil je l'utilise pour dl la 9ème symphonie de Beethoven... Et quand je l'ai terminé, je le supprime et le retélécharge pour qu'elle soit comme neuve...

avatar nemrod | 

Merci, ta participation est estimée à sa juste valeur ... 0

avatar ofabriceo | 

@Madalvée :
Le genre de réflexion bien bête, dénué de tout bon sens, tu sais transmission ne s'utilise pas seulement pour pirater les films de Gayet.

avatar Hertzfield | 

@Madalvée :
Les torrents ne sont pas toujours des logiciels piratés.
Le raccourci arroseur arrosé et gangster, wahou la repartie.

avatar Nicolas R. | 

La répartie, tu veux dire ?
Mais la répartie c'est une réponse, ici c'est lui qui s'exprime en premier... donc c'est... idiot, non ?!

avatar Jetel | 

Les gangsters sont moins chiants que les bien pensants ... et souvent bien plus malins.

avatar melaure | 

@Madalvée :
+1, entre délinquants informatiques et pirates du net, c'est assez rigolo ... :D

avatar Powerdom | 

C'est plus efficace qu'hadopi pour lutter contre le piratage !!
;-)

Pages

CONNEXION UTILISATEUR