KeRanger : on a trouvé un ransomware pour Mac

MacPare-feuxPoste de travailRisquesSécuritéSystèmes d'exploitationVirus
apple-mac-ransomware-keranger

L’éditeur de solutions de pare-feu applicatifs Palo Alto dévoile un premier vrai rançongiciel qui vise les utilisateurs de Mac OS X : KeRanger.

Mac n’est plus épargné par les malware. Une nouvelle illustration par Ryan Olson, chercheur de la société Palo Alto Networks (pare-feu applicatifs) qui assure avoir découvert un premier rançongiciel (ransomware) pour cet environnement OS d’Apple.

Nom de code : KeRanger. Un malware « fonctionnel qui crypte les fichiers et demande une rançon ».

Auparavant, des spécialistes avaient découvert des versions expérimentales de ransomware pour Mac issues de souches existantes comme FileCoder et Mabouia, rappelle Silicon.fr qui décortique le mode opératoire pour l’infection.

KeRanger s’appuie sur un cheval de Troie pour sa propagation via les ordinateurs de type Mac.

Ryan Olson l’a déniché dans une version récente du client Transmission BitTorrent (2.90). Le site du projet Open Source a sans doute été compromis pour favoriser le téléchargement du client infecté.

Une fois téléchargé, KeRanger met 3 jours avant de chiffrer les données de l’utilisateur.

Selon Ryan Olson, il existe un moyen de supprimer le ransomware selon une méthode fournie par Palo Alto. Mais sous certaines conditions très précises, indique l’éditeur américain de solutions de sécurité IT.

En cas d’infection, il faut s’accrocher pour un retour à la normale. Plusieurs types de documents (300 extensions prises en charge) sont chiffrés (en AES) à l’insu de l’utilisateur.

Et la victime devra s’acquitter du versement d’un bitcoin (équivalent à 373 euros selon bitcoincours.com) avec l’espoir de retrouver pleine possession de son Mac.

KeRanger est opérationnel mais il réserve encore des surprises, estime Silicon.fr. En analysant le code source du malware, Ryan Olson a trouvé des fonctions susceptible de chiffrer les fichiers de sauvegarde Time Machine de Mac OS X mais aussi d’exploiter un certificat valide.

Néanmoins, Apple a pris des mesures pour révoquer le certificat en cause et mettre à jour des logiciels de sécurité pour bloquer les installations néfastes de KeRanger comme Gatekeeper (nouvelle fonctionnalité de Mountain Lion et d’OS X Lion 10.7.5) et le filtre Xprotect.

(Crédit photo : Radu Bercan / Shutterstock.com)

Lire aussi :