Transmission : la bombe à retardement du ransomware Ke.Ranger

Mickaël Bazoge |

Ke.Ranger (ou KeyRanger), le malware transmis avec la version 2.9 du logiciel BitTorrent Transmission, est une bombe à retardement dont les premiers effets vont se faire ressentir à partir de demain lundi. Et ces effets risquent d'être dévastateurs si on ne met pas à jour immédiatement l'application en version 2.91, proposée depuis aujourd'hui par l'éditeur.

Palo Alto Threat Intelligence déclare en effet à Reuters que Ke.Ranger est la première tentative réussie de ransomware (ou rançongiciel) sur Mac. Trois jours après son installation, le malware va chiffrer les données de l'utilisateur puis lui réclamer une rançon pour qu'il recouvre ses données. C'est donc très grave pour ceux qui n'appliqueront pas la mise à jour de Transmission, ou qui n'effectueront pas les modalités pour supprimer le malware (lire : Transmission : gare au malware dans la version 2.9).

Ceux qui ont installé la version 2.9 de Transmission vendredi sont donc susceptibles, dès lundi, d'être les victimes de Ke.Ranger. Apple a réagi en supprimant le certificat du développeur qui permettait d'installer le malware. Mais le constructeur devra sans doute en faire plus pour éviter une catastrophe potentielle. Une des solutions est de restaurer son Mac à partir d'une ancienne version du système, avant l'installation de Transmission. Car même une fois la rançon payée, rien ne dit que l'auteur déverrouillera effectivement les données.

Les ransomwares sont de plus en plus courants sur Windows, mais jusqu'à présent le Mac était épargné. Ce n'est désormais plus le cas.

avatar daze | 

@Powerdom :
ca c'est sur que c'est plus efficace qu'Adopi !!!

avatar Mr Bob | 

@MickaëlBazoge vous devriez faire un script pour aider les plus novices à virer ce malware.
Vous en avez la légitimité.

avatar SteamEdge (non vérifié) | 

J'ai une version télécharger depuis internet sur mon ordinateur chez moi. Seul problème : je suis en vacance. Du coup comment je devrait faire à mon retour pour killer le processus sans démarrer OS X ? (L'équivalent du mode sans échec de Windows) Sachant que je revient dans une semaine donc que le mallware sera actif.

avatar flux_capacitor | 

Peut-être en ligne de commande en démarrant en mode Single User, mais le plus simple est sans doute que tu tentes de brancher ton Mac à un autre en FireWire our en Thunderbolt et de démarrer ton Mac en mode Target Disk afin de supprimer le fichier en question sans lancer ton système :

https://support.apple.com/fr-fr/HT1661

Ce mode allume ton Mac mais ne démarre pas ton système. A la place, ton Mac se comporte comme un disques externe FireWire ou Thunderbolt et son disque dur monte dans le Finder du Mac sur lequel tu l'as branché. De là, tu peux naviguer dans ton disque dur jusqu'au fichier kernel_service décrit dans le précédent article de MacG.

avatar SteamEdge (non vérifié) | 

Merci @flux_capacitor !
Après lecture, le malware a été placé sur le site le 4 mars. J'avais téléchargé la MàJ de transmission sur le site lors de sa sortie, le 29 février, donc pas de problèmes normalement. Dans le doute je ferait quand même un démarrage en disque cible pour être sûr.

avatar TmrFromNO | 

Oh putain on va se marrer Lundi soir ahah

avatar Alies | 

Maj effectuée et aucun trace de kernel service si jamais je l'ai eu...

avatar nayals | 

Voici le post officiel de ceux qui ont découvert le malware : http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/

Ils donnent plus de détails techniques sur son fonctionnement.

avatar Steve Gosselin | 

Lien intéressant surtout pour cette portion:

Users who have directly downloaded Transmission installer from official website after 11:00am PST, March 4, 2016 and before 7:00pm PST, March 5, 2016, may be been infected by KeRanger.

Quelques étapes:

We suggest users take the following steps to identify and remove KeRanger holds their files for ransom:

1. Using either Terminal or Finder, check whether /Applicaions/Transmission.app/Contents/Resources/ General.rtf or /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf exist. If any of these exist, the Transmission application is infected and we suggest deleting this version of Transmission.

2. Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users//Library/kernel_service” (Figure 12). If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”.

3. After these steps, we also recommend users check whether the files “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service” existing in ~/Library directory. If so, you should delete them.

avatar charlesbovary | 

En effet, le lien est instructif. La partie où il est question d'un possible cryptage des sauvegardes Time Machine est franchement flippante... Je réinstalle mon système dans la nuit, par précaution.

avatar mrtn34 | 

Maintenant on passe à la 2.92, sans changelog donc pas forcément pratique pour savoir à quoi ça sert par rapport à la 2.91…

Edit : La 2.92 intégrerait un outil qui enlève le ransomware

avatar TmrFromNO | 

Pas mis à jour depuis des années, e là 3 maj en 1 semaine

avatar Flashy | 

Enfin un malware dans l'air du temps. Apple, chiffrage, tout ça...

avatar apossium | 

en ce moment les ransonware sont la panacée … c'est une vraie plaie !

Backup backup backup !

Sébastien

avatar farscape54 | 

La grande question maintenant est de savoir comment Ke.Ranger (ou KeyRanger) s'est retrouvé dans ce logiciel !?!
Donc une personne a du compiler le malware dans ce logiciel nan ?

avatar Steve Gosselin | 

Selon Palo Alto Networks:

It’s possible that Transmission’s official website was compromised and the files were replaced by re-compiled malicious versions, but we can’t confirm how this infection occurred.

C'est une théorie logique.

avatar marc_os | 

@Steve Gosselin :
Il n'est pas signé ce logiciel ?
Si oui, comment a-t-il pu être recompilé avec un malware et signé par quelqu'un d'autre que les développeurs officiels ??

avatar Yoskiz (non vérifié) | 

@farscape54 :
Très bonne question ! Et ceux qui utilisent Little Snitch il peuvent voir quelque chose ?

Cette cochonnerie communique peut-être ?

À l'époque du malware "flashback" celui-ci vérifier si Little Snitch était installé sur la machine avant de s'installer...

Comme quoi Little Snitch est dissuasif dans certains cas apparemment...

avatar iVador | 

@Yoskiz :
Little snitch est indispensable !

avatar Pongo | 

L'onglet Ports ouverts, c'est que dans El Capitan ? Je vois rien dans Yosemite et la case Quitter est en grisé.

avatar Alies | 

3eme Maj ! Au moins là c'est plus clair.
Après vérification, je ne l'avais pas. Maj faite depuis très longtemps via l'App elle même.

avatar Jamé 203 | 

Un dommage collatéral de l'affrontement de Apple contre le FBI ?

avatar Strix | 

@Jamé 203 :
J'aurais plutôt dit les Illuminatis, mais bon, je peux me tromper !

avatar dragonfroid | 

:D J'ai vérifié dans moniteur d'activité, pas de trace du processus et la mise à jour est faite.

Cela m'étonne que la réinstallation de l'os ne soit pas demandée...

D'autant qu'avec OS X, j'avoue ne plus être habitué à avoir ce genre de problème. Je fais attention à ce que je télécharge et point...

avatar Rhiquo | 

Je viens de mettre à jour mon MacBook. La version est 2.92.

avatar supermars | 

2.92 est à présent proposée
Je reste sur la 2.84
La 2.91 ne serait pas suffisamment fiable ?
Faites gaffe !

avatar Steve Gosselin | 

Aucun soucis selon ceci:

Users of 2.91 should also immediately upgrade to and run 2.92. Even though 2.91 was never infected, it did not automatically remove the malware-infected file.

avatar marenostrum | 

mieux c'est d'utiliser un logiciel de torrents payant. d'ailleurs j'ai remarqué que de plus en plus de gens utilisent d'autres logiciels que Transmission. beaucoup l'avait abandonné en fait. je ne sais pas pourquoi.

avatar Filou53 | 

je ne suis pas pour autant convaincu qu'un logiciel payant te donne plus de garanties

avatar ZANTAR2054 | 

Oh là là j'ai failli faire la MAJ...

avatar zearnal | 

Le pauvre gars qui a osé parler du Mac AppStore. Pourtant, cette source de logiciels est à l'évidence plus sûr que d'aller directement télécharger sur le Net. Le fait que les logiciels doivent respecter un certain formalisme et certaines règles, le fait qu'ils soient contrôlés, doivent pouvoir éviter un maximum de désagrément de ce genre (pas tous, on est bien d'accord, mais le plus possible).
Alors, même si tout n'est pas nécessairement parfait au pays des lutins, il me semble que le MAS apporte des garanties de sécurité qui ne sont pas négligeables.

Je ne dis pas qu'il faut dès lors vouer un culte sans limites au MAS, mais je trouve que cette mésaventure remet les choses en perspective. Libre à vous de me traiter de troll, mais toute leçon est bonne à prendre, non ?

avatar fessebook | 

Vive bitdefender sur mon mac ;-)

avatar JPTK | 

Ah ouai quand même !! Bizarrement je n'avais pas fait cette maj.

Pages

CONNEXION UTILISATEUR