Transmission : la bombe à retardement du ransomware Ke.Ranger
Ke.Ranger (ou KeyRanger), le malware transmis avec la version 2.9 du logiciel BitTorrent Transmission, est une bombe à retardement dont les premiers effets vont se faire ressentir à partir de demain lundi. Et ces effets risquent d'être dévastateurs si on ne met pas à jour immédiatement l'application en version 2.91, proposée depuis aujourd'hui par l'éditeur.
Palo Alto Threat Intelligence déclare en effet à Reuters que Ke.Ranger est la première tentative réussie de ransomware (ou rançongiciel) sur Mac. Trois jours après son installation, le malware va chiffrer les données de l'utilisateur puis lui réclamer une rançon pour qu'il recouvre ses données. C'est donc très grave pour ceux qui n'appliqueront pas la mise à jour de Transmission, ou qui n'effectueront pas les modalités pour supprimer le malware (lire : Transmission : gare au malware dans la version 2.9).
Ceux qui ont installé la version 2.9 de Transmission vendredi sont donc susceptibles, dès lundi, d'être les victimes de Ke.Ranger. Apple a réagi en supprimant le certificat du développeur qui permettait d'installer le malware. Mais le constructeur devra sans doute en faire plus pour éviter une catastrophe potentielle. Une des solutions est de restaurer son Mac à partir d'une ancienne version du système, avant l'installation de Transmission. Car même une fois la rançon payée, rien ne dit que l'auteur déverrouillera effectivement les données.
Les ransomwares sont de plus en plus courants sur Windows, mais jusqu'à présent le Mac était épargné. Ce n'est désormais plus le cas.
@Powerdom :
ca c'est sur que c'est plus efficace qu'Adopi !!!
@MickaëlBazoge vous devriez faire un script pour aider les plus novices à virer ce malware.
Vous en avez la légitimité.
J'ai une version télécharger depuis internet sur mon ordinateur chez moi. Seul problème : je suis en vacance. Du coup comment je devrait faire à mon retour pour killer le processus sans démarrer OS X ? (L'équivalent du mode sans échec de Windows) Sachant que je revient dans une semaine donc que le mallware sera actif.
Peut-être en ligne de commande en démarrant en mode Single User, mais le plus simple est sans doute que tu tentes de brancher ton Mac à un autre en FireWire our en Thunderbolt et de démarrer ton Mac en mode Target Disk afin de supprimer le fichier en question sans lancer ton système :
https://support.apple.com/fr-fr/HT1661
Ce mode allume ton Mac mais ne démarre pas ton système. A la place, ton Mac se comporte comme un disques externe FireWire ou Thunderbolt et son disque dur monte dans le Finder du Mac sur lequel tu l'as branché. De là, tu peux naviguer dans ton disque dur jusqu'au fichier kernel_service décrit dans le précédent article de MacG.
Merci @flux_capacitor !
Après lecture, le malware a été placé sur le site le 4 mars. J'avais téléchargé la MàJ de transmission sur le site lors de sa sortie, le 29 février, donc pas de problèmes normalement. Dans le doute je ferait quand même un démarrage en disque cible pour être sûr.
Oh putain on va se marrer Lundi soir ahah
Maj effectuée et aucun trace de kernel service si jamais je l'ai eu...
Voici le post officiel de ceux qui ont découvert le malware : http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer/
Ils donnent plus de détails techniques sur son fonctionnement.
Lien intéressant surtout pour cette portion:
Users who have directly downloaded Transmission installer from official website after 11:00am PST, March 4, 2016 and before 7:00pm PST, March 5, 2016, may be been infected by KeRanger.
Quelques étapes:
We suggest users take the following steps to identify and remove KeRanger holds their files for ransom:
1. Using either Terminal or Finder, check whether /Applicaions/Transmission.app/Contents/Resources/ General.rtf or /Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf exist. If any of these exist, the Transmission application is infected and we suggest deleting this version of Transmission.
2. Using “Activity Monitor” preinstalled in OS X, check whether any process named “kernel_service” is running. If so, double check the process, choose the “Open Files and Ports” and check whether there is a file name like “/Users//Library/kernel_service” (Figure 12). If so, the process is KeRanger’s main process. We suggest terminating it with “Quit -> Force Quit”.
3. After these steps, we also recommend users check whether the files “.kernel_pid”, “.kernel_time”, “.kernel_complete” or “kernel_service” existing in ~/Library directory. If so, you should delete them.
En effet, le lien est instructif. La partie où il est question d'un possible cryptage des sauvegardes Time Machine est franchement flippante... Je réinstalle mon système dans la nuit, par précaution.
Maintenant on passe à la 2.92, sans changelog donc pas forcément pratique pour savoir à quoi ça sert par rapport à la 2.91…
Edit : La 2.92 intégrerait un outil qui enlève le ransomware
Pas mis à jour depuis des années, e là 3 maj en 1 semaine
Enfin un malware dans l'air du temps. Apple, chiffrage, tout ça...
en ce moment les ransonware sont la panacée … c'est une vraie plaie !
Backup backup backup !
Sébastien
La grande question maintenant est de savoir comment Ke.Ranger (ou KeyRanger) s'est retrouvé dans ce logiciel !?!
Donc une personne a du compiler le malware dans ce logiciel nan ?
Selon Palo Alto Networks:
It’s possible that Transmission’s official website was compromised and the files were replaced by re-compiled malicious versions, but we can’t confirm how this infection occurred.
C'est une théorie logique.
@Steve Gosselin :
Il n'est pas signé ce logiciel ?
Si oui, comment a-t-il pu être recompilé avec un malware et signé par quelqu'un d'autre que les développeurs officiels ??
@farscape54 :
Très bonne question ! Et ceux qui utilisent Little Snitch il peuvent voir quelque chose ?
Cette cochonnerie communique peut-être ?
À l'époque du malware "flashback" celui-ci vérifier si Little Snitch était installé sur la machine avant de s'installer...
Comme quoi Little Snitch est dissuasif dans certains cas apparemment...
@Yoskiz :
Little snitch est indispensable !
L'onglet Ports ouverts, c'est que dans El Capitan ? Je vois rien dans Yosemite et la case Quitter est en grisé.
3eme Maj ! Au moins là c'est plus clair.
Après vérification, je ne l'avais pas. Maj faite depuis très longtemps via l'App elle même.
Un dommage collatéral de l'affrontement de Apple contre le FBI ?
@Jamé 203 :
J'aurais plutôt dit les Illuminatis, mais bon, je peux me tromper !
:D J'ai vérifié dans moniteur d'activité, pas de trace du processus et la mise à jour est faite.
Cela m'étonne que la réinstallation de l'os ne soit pas demandée...
D'autant qu'avec OS X, j'avoue ne plus être habitué à avoir ce genre de problème. Je fais attention à ce que je télécharge et point...
Je viens de mettre à jour mon MacBook. La version est 2.92.
2.92 est à présent proposée
Je reste sur la 2.84
La 2.91 ne serait pas suffisamment fiable ?
Faites gaffe !
Aucun soucis selon ceci:
Users of 2.91 should also immediately upgrade to and run 2.92. Even though 2.91 was never infected, it did not automatically remove the malware-infected file.
mieux c'est d'utiliser un logiciel de torrents payant. d'ailleurs j'ai remarqué que de plus en plus de gens utilisent d'autres logiciels que Transmission. beaucoup l'avait abandonné en fait. je ne sais pas pourquoi.
je ne suis pas pour autant convaincu qu'un logiciel payant te donne plus de garanties
Oh là là j'ai failli faire la MAJ...
Le pauvre gars qui a osé parler du Mac AppStore. Pourtant, cette source de logiciels est à l'évidence plus sûr que d'aller directement télécharger sur le Net. Le fait que les logiciels doivent respecter un certain formalisme et certaines règles, le fait qu'ils soient contrôlés, doivent pouvoir éviter un maximum de désagrément de ce genre (pas tous, on est bien d'accord, mais le plus possible).
Alors, même si tout n'est pas nécessairement parfait au pays des lutins, il me semble que le MAS apporte des garanties de sécurité qui ne sont pas négligeables.
Je ne dis pas qu'il faut dès lors vouer un culte sans limites au MAS, mais je trouve que cette mésaventure remet les choses en perspective. Libre à vous de me traiter de troll, mais toute leçon est bonne à prendre, non ?
Vive bitdefender sur mon mac ;-)
Ah ouai quand même !! Bizarrement je n'avais pas fait cette maj.
Pages