KeRanger : le premier ransomware sous Mac OS X.

ransomeware

Le premier ransomware fonctionnant sous Mac OS X utilise le réseau BitTorrent pour se propager en utilisant le client Transmission, or, Apple utilise ce réseau en interne pour ses propres besoins ce qui pourrait poser quelques problèmes aux développeurs de la firme s’ils venaient à se faire contaminer.

Qu’est ce qu’un Ransomware ?

Les ransomwares ne sont pas des virus à proprement parler, ils infectent effectivement la machine et demandent à son utilisateur de payer une rançon pour pouvoir continuer à utiliser l’ordinateur. Parfois, ce genre de logiciel prend en otage vos photos et autres documents et vous demande de payer une certaine somme pour pouvoir débloquer l’accès, mais sans savoir si le déverrouillage sera bien effectif…

La propagation de KeRanger s’est faite via le client Transmission dans sa version 2.9 sur le site officiel entre le 4 et le 5 mars 2016. Lorsque cette version est installée sur le Mac, l’installation du ransomware se fait en parallèle, contaminant ainsi votre ordinateur. Mais il ne se lance pas tout de suite, il faut attendre 3 jours avant de voir la fameuse fenêtre qui vous demande de payer, donc méfiez-vous à partir d’aujourd’hui…

L’ordinateur contaminé reçoit un numéro identifiant unique qui le redirige vers un serveur mis en place par le pirate. De ce fait, il peut savoir à qui appartient le Mac et d’un autre côté il peut se cacher sans que l’on puisse le localiser.

KeRanger demande à sa victime 1 bitcoin soit l’équivalent de plus de 370 euros pour déchiffrer les fichiers qu’il a pris soin de chiffrer en utilisant la bibliothèque open-source mbed TLS et en renommant les extensions par .encrypted rendant aussi le contenu illisible. La transaction s’effectue via le Darkweb vers un compte anonyme.

Une nouvelle version à télécharger en urgence.

La bonne nouvelle est qu’il est possible de résoudre ce problème rapidement en installant la dernière version du client BitTorrent Transmission estampillée 2.92 puisqu’elle intègre un outil de suppression de ce ransomware.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *