Le rançongiciel OSX.KeRanger. A
L’éditeur du client bittorrent Transmission, très populaire sur Mac, a prévenu ses utilisateurs que toutes les personnes utilisant la version 2.90 du logiciel sous OS X doivent immédiatement mettre à jour vers la version 2.92.
La version 2.90 peut contenir un rançongiciel, OSX.KeRanger.A, qui chiffre les fichiers de la victime trois jours après son installation, puis contacte un serveur de commande et contrôle pour exiger une rançon.
La victime est alors invitée à payer un bitcoin, environ 400 euros, sans quoi elle perd l’accès à ses données, voire à son système.
Le premier rançongiciel pour Mac, FileCoder, avait été découvert en 2014 par KasperskyLab mais il était incomplet.
OSX.KeRanger.A, découvert le 4 mars 2016 par le spécialiste de la cybersécurité Palo Alto Networks, est lui complet, et fonctionne.
Ce dernier a immédiatement contacté Apple, qui a invalidé le certificat développeur utilisé pour signer l’application. Il ne sera donc plus possible de le télécharger sur l’App Store. En revanche, l’invalidation n’est pas transmise au système de protection d’OS X, Gatekeeper, et il est donc toujours possible d’installer le rançongiciel.
Protection
Les utilisateurs inquiets peuvent vérifier la présence du rançongiciel en cherchant si l’un des fichiers suivants existe :
/Applications/Transmission.app/Contents/Resources/ General.rtf ou
/Volumes/Transmission/Transmission.app/Contents/Resources/ General.rtf
Si c’est le cas ils devraient immédiatement supprimer Transmission de leur système.
À l’aide du moniteur d’activité d’OS X, vérifier si le processus kernel_service existe. Si c’est le cas le sélectionner, choisir ouvrir les fichiers et les ports, et vérifier l’existence d’un fichier du type :
/Users/nomdutilisateur/Library/Kernel_service. Si c’est le cas il s’agit de OSX.KeRanger.A. Utiliser Quitter/Forcer à quitter pour terminer le processus.
Si les fichiers suivants sont trouvés dans le répertoire /Library, les effacer :
.kernel_pid .kernel_time .kernel_complete ou kernel_service