KeRanger: Le premier Mac Ransomware dans la nature découvert

Palo Alto Networks découvre des Macs ciblant les Ransomware

Le 4 mars 2016, Palo Alto Networks, une société de sécurité bien connue, a publié sa découverte de KeRanger ransomware infectant Transmission, le populaire client Mac BitTorrent. Le logiciel malveillant a été trouvé dans le programme d'installation de Transmission version 2.90.

Le site Web de Transmission a rapidement supprimé l'installateur infecté et demande à quiconque utilisant Transmission 2.90 de se mettre à jour vers la version 2.92, qui a été vérifiée par Transmission comme étant exempte de KeRanger.

Transmission n'a pas expliqué comment le programme d'installation infecté pouvait être hébergé sur son site Web, et Palo Alto Networks n'a pas été en mesure de déterminer comment le site de transmission a été compromis.

KeRanger Ransomware

Le KeRanger ransomware fonctionne comme la plupart des rançongiciels, en cryptant des fichiers sur votre Mac, puis en exigeant des paiements; dans ce cas, sous la forme d'un bitcoin (actuellement évalué à environ 400 $) pour vous fournir la clé de chiffrement pour récupérer vos fichiers.

Le KeRanger ransomware est installé par le programme d'installation de Transmission compromise. Le programme d'installation utilise un certificat de développeur d'application Mac valide, permettant l'installation du ransomware pour dépasser la technologie Gatekeeper d'OS X , ce qui empêche l'installation de logiciels malveillants sur le Mac.

Une fois installé, KeRanger établit une communication avec un serveur distant sur le réseau Tor. Il va ensuite dormir pendant trois jours. Une fois réveillé, KeRanger reçoit la clé de chiffrement du serveur distant et procède au chiffrement des fichiers sur le Mac infecté.

Les fichiers chiffrés incluent ceux du dossier / Users, ce qui entraîne le chiffrement et la non-utilisation de la plupart des fichiers utilisateur sur le Mac infecté. En outre, Palo Alto Networks signale que le dossier / Volumes, qui contient le point de montage de tous les périphériques de stockage connectés, locaux et sur votre réseau, est également une cible.

Actuellement, il existe des informations mixtes concernant les sauvegardes Time Machine cryptées par KeRanger, mais si le dossier / Volumes est ciblé, je ne vois pas pourquoi un disque Time Machine ne serait pas crypté. Ma conjecture est que KeRanger est un nouveau morceau de ransomware que les rapports mixtes sur Time Machine sont simplement un bug dans le code ransomware; parfois cela fonctionne, et parfois non.

Apple réagit

Palo Alto Networks a signalé le rançongiciel KeRanger à Apple et à Transmission. Les deux ont réagi rapidement; Apple a révoqué le certificat du développeur de l'application Mac utilisé par l'application, permettant ainsi à Gatekeeper d'arrêter d'autres installations de la version actuelle de KeRanger. Apple a également mis à jour les signatures XProject, permettant au système de prévention des logiciels malveillants OS X de reconnaître KeRanger et d'empêcher l'installation, même si GateKeeper est désactivé ou configuré pour un paramètre de sécurité faible.

Transmission supprimé Transmission 2.90 de leur site Web et rapidement réédité une version propre de transmission, avec un numéro de version de 2,92. Nous pouvons également supposer qu'ils regardent comment leur site Web a été compromis et prendre des mesures pour empêcher que cela se reproduise.

Comment faire pour supprimer KeRanger

N'oubliez pas que le téléchargement et l'installation de la version infectée de l'application Transmission est actuellement le seul moyen d'acquérir KeRanger. Si vous n'utilisez pas la transmission, vous n'avez actuellement pas à vous soucier de KeRanger.

Tant que KeRanger n'a pas encore crypté les fichiers de votre Mac, vous avez le temps de supprimer l'application et d'empêcher le cryptage de se produire. Si les fichiers de votre Mac sont déjà cryptés, vous ne pouvez pas faire grand-chose, sauf que vos sauvegardes n'ont pas été cryptées. Cela indique une très bonne raison pour avoir un lecteur de sauvegarde qui n'est pas toujours connecté à votre Mac. À titre d'exemple, j'utilise Carbon Copy Cloner pour faire un clone hebdomadaire des données de mon Mac . Le boîtier du lecteur qui clone n'est pas monté sur mon Mac jusqu'à ce qu'il soit nécessaire pour le processus de clonage.

Si j'avais été confronté à une situation de ransomware, j'aurais pu récupérer en rétablissant le clone hebdomadaire. La seule pénalité pour l'utilisation du clone hebdomadaire est d'avoir des fichiers qui pourraient être jusqu'à une semaine à jour, mais c'est beaucoup mieux que de payer une crétine infâme une rançon.

Si vous vous trouvez dans la situation malheureuse de KeRanger ayant déjà sauté son piège, je ne connais pas d'autre issue que de payer la rançon ou de recharger OS X et de recommencer avec une installation propre .

Supprimer la transmission

Dans le Finder , accédez à / Applications.

Recherchez l'application de transmission, puis cliquez avec le bouton droit sur son icône.

Dans le menu contextuel, sélectionnez Afficher le contenu du package.

Dans la fenêtre du Finder qui s'ouvre, accédez à / Contents / Resources /.

Recherchez un fichier intitulé General.rtf.

Si le fichier General.rtf est présent, vous avez installé une version infectée de Transmission. Si l'application de transmission est en cours d'exécution, quittez l'application, faites-la glisser vers la corbeille, puis videz la corbeille.

Supprimer KeRanger

Lancez Activity Monitor , situé dans / Applications / Utilities.

Dans Activity Monitor, sélectionnez l'onglet CPU.

Dans le champ de recherche d'Activity Monitor, entrez les informations suivantes:

kernel_service

puis appuyez sur retour.

Si le service existe, il sera répertorié dans la fenêtre du moniteur d'activité.

Si présent, double-cliquez sur le nom du processus dans le moniteur d'activité.

Dans la fenêtre qui s'ouvre, cliquez sur le bouton Ouvrir les fichiers et les ports.

Prenez note du chemin d'accès kernel_service; ce sera probablement quelque chose comme:

/ users / homefoldername / Bibliothèque / kernel_service

Sélectionnez le fichier, puis cliquez sur le bouton Quitter.

Répétez la procédure ci-dessus pour les noms de service kernel_time et kernel_complete .

Bien que vous quittiez les services dans Activity Monitor, vous devez également supprimer les fichiers de votre Mac. Pour ce faire, utilisez les chemins d'accès aux fichiers que vous avez pris en note pour accéder aux fichiers kernel_service, kernel_time et kernel_complete. (Remarque: vous ne pouvez pas avoir tous ces fichiers sur votre Mac.)

Étant donné que les fichiers que vous devez supprimer se trouvent dans le dossier Bibliothèque de votre dossier de départ, vous devez rendre ce dossier spécial visible. Vous pouvez trouver des instructions sur la façon de procéder dans l'article OS X Is Hiding Your Library Folder .

Une fois que vous avez accès au dossier Bibliothèque, supprimez les fichiers mentionnés ci-dessus en les faisant glisser vers la corbeille, puis en cliquant avec le bouton droit sur l'icône de la corbeille et en sélectionnant Vider la corbeille.