Pas envie d’être rançonné, alors n’installez pas Transmission 2.90 pour OS X !

Hicham EL ALAOUI
Rédigé par Hicham EL ALAOUI

On a coutume de dire que les ransomwares sont une exclusivité des ordinateurs Windows. Les chercheurs en sécurité de Palo Alto Threat Intelligence viennent de tirer la sonnette d’alarme au sujet de l’application Transmission 2.90 pour OS X. En son sein, les chercheurs ont découvert le tout premier ransomware pour le système d’exploitation Apple : Ke.Ranger.

Si vous êtes un utilisateur de l’appli Transmission, n’installez surtout pas la version 2.90. Pour ne pas avoir de problème, il faut directement passer à Transmission 2.92, une version à jour où le ransomware Ke.Ranger a été éliminé.

Pour ceux qui ne connaissent pas Transmission, il s’agit d’un client BitTorrent très populaire auprès des utilisateurs d’ordinateurs Mac. Personne ne sait encore comment cette version a été infectée. Selon les chercheurs, le ransomware utilise le même certificat que l’outil pour s’installer sur la machine. Après être resté inactif trois jours après son installation, il se réveille et commence à crypter certains dossiers de l’utilisateur. A priori, tous les documents JPG, MP3, MP4 et ZIP, mais aussi le répertoire personnel sont visés.

Vu la date de publication de Transmission 2.90 est vendredi dernier, les premières victimes devraient être touchées à partir de ce lundi 7 mars. Dès que Ke.Ranger aura rempli sa mission de cryptage, l’appli réclamera une rançon en bitcoins pour que l’utilisateur puisse récupérer ses documents, ses photos et ses vidéos. Il est estimé que le montant de la rançon devrait s’élever aux alentours de 400 dollars.

Les chercheurs de Palo Alto Threat Intelligence estiment que Ke.Ranger a été déployé sans être finalisé, car le ransomware est incapable de s’attaquer aux sauvegardes Time Machine.

Si vous êtes touché par l’attaque, il est aussi possible de remettre en état sa machine simplement en restaurant une sauvegarde antérieure à l’installation de Transmission 2.90.

Apple a rapidement bloqué Transmission 2.90

Dès l’annonce de ce ransomware, Apple a promptement réagi à la menace. La firme de Cupertino a immédiatement révoqué le certificat du développeur, ce qui a évité de nouvelles infections. De plus, la base de données de Xprotect a été mise à jour pour que l’appli avertisse l’utilisateur en cas de tentative d’installation du programme vérolé. De son côté, Transmission s’est empressé de supprimer la version infectée et propose désormais une version 2.92 propre, car débarrassée de Ke.Ranger.

Comment se débarrasser de Ke.Ranger ?

Il faut espérer ne pas être pas infecté par ce ransomware. Si vous ne savez pas quoi faire, commencez par déterminer si votre Mac est concerné. Voici comment faire :

Pour savoir si votre ordinateur est touché par ce ransomware, ce n’est pas très compliqué, car il suffit de vous appuyer sur le Terminal ou sur le Finder pour chercher les fichiers suivants :

· /Applications/Transmission.app/Contents/Resources/General.rtf

· /Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

S’ils sont présents, mauvaise nouvelle : votre machine est infectée par Ke.Ranger. Il faut les supprimer au plus vite en suivant ces étapes :

  1. Lancer le Moniteur d’Activité
  2. Cliquez sur l’onglet des processus
  3. Cherchez un processus nommé « kernel_service »
  4. Double cliquez dessus
  5. Cliquez sur l’onglet « Fichiers et ports ouverts »
  6. Recherchez le fichier « /Users/Library/kernel_service »
  7. Cliquez sur « Quitter » puis sur « Forcer à quitter »
  8. Se rendre dans le dossier « /Bibliothèque »
  9. Recherchez et supprimez les fichiers « .kernel_pid », « .kernel_time », « .kernel_complete » ou « .kernel_service »

Ce qu’il est important de souligner dans cette affaire, c’est que ce ne sont plus seulement les PC Windows qui sont menacés par des ransomwares. Les ordinateurs Mac sont désormais aussi une cible pour les personnes malveillantes.

TAGGED :
Laisser un commentaire

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Quitter la version mobile