Clicky

Ke.Ranger, le ransomware de Transmission, venait de Linux

Ke.Ranger est sans doute l’un des ransomwares les plus populaires en ce moment et cela n’a rien de surprenant car il s’agit du tout premier programme malveillant de ce type à s’attaquer à OS X. Bitdefender Lab a cherché à en savoir plus à son sujet et les chercheurs de l’éditeur se sont alors rendus compte qu’il était assez proche d’un autre malware ciblant cette fois les serveurs sous Linux : Linux.Encoder.

Tout a commencé vendredi dernier lorsque des chercheurs en sécurité ont trouvé un ransomware dans la dernière version (2.9) de Transmission, un client BitTorrent très en vogue dans le milieu.

Ke.Ranger

On en sait un peu plus sur les origines de Ke.Ranger.

L’affaire a fait beaucoup de bruit car ce programme malveillant visait uniquement les ordinateurs sous OS X.

Ke.Ranger est le premier ransomware à viser OS X

L’éditeur du programme a été prompt à réagir et il a immédiatement supprimé le fichier infecté de son serveur. Apple, de son côté, à révoqué le certificat utilisé par la solution pour éviter que le malware ne se répande chez ses clients.

Au total, moins de 7 000 machines ont été infectées par le virus.

Bitdefender Labs a demandé à ses équipes d’analyser le programme afin d’en apprendre un peu plus sur son fonctionnement et sur ses origines. Les chercheurs en charge de l’enquête se sont alors rendus compte qu’il était très proche d’un autre ransomware, Linux.Encoder.

Ce malware est très populaire chez les pirates mais il n’est pas parfait pour autant car il est tout à fait possible de générer une clé de déchiffrement sans avoir besoin de payer la rançon fixée par ses propriétaires.

Je ne sais pas si vous connaissez le fonctionnement des ransomwares mais ces programmes sont assez particuliers. Contrairement à un virus traditionnel, ils ne cherchent pas à corrompre le système et ils se contentent finalement de chiffrer les différents volumes d’un ordinateur pour en bloquer l’accès.

Un ransomware en provenance de Linux

Lorsque c’est fait, ils proposent à l’utilisateur de payer une rançon en échange de la clé de déchiffrement.

Si ces programmes sont autant populaires depuis quelques temps, c’est parce qu’ils peuvent rapporter beaucoup d’argent aux pirates. Sans cette fameuse clé, l’utilisateur perd effectivement l’accès à toutes ses données et cela peut s’avérer très problématique dans certains cas, et notamment pour les entreprises.

Quoi qu’il en soit, après avoir fouiné dans ses sources, Catalin Cosoi s’est rendue compte que le programme était presque identique à la version actuelle de Linux.Encodeur.

Ke.Ranger utilise effectivement les mêmes fonctions de chiffrement et ses fichiers portent en outre les mêmes noms.

C’est évidemment une très bonne nouvelle pour tous ceux qui ont été victimes de ce ransomware car cela veut aussi dire qu’ils devraient être en mesure de récupérer l’accès à leurs données sans avoir besoin de sortir la carte bleue.

Mots-clés mac os xsécurité

Share this post

Frédéric Pereira

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.

  • Pingback: KeRanger, le ransomware qui attaque les Mac est passé par Linux - Mes Actus()

  • Yann Bessin

    Cette nouvelle est rassurante en ce qui concerne la récupération des accès. Néanmoins c’est une mauvaise nouvelle pour les possesseurs de Mac qui se pensaient à l’abri des ransomwares. (https://secuweb.fr/keranger-premier-ransomware-de-lhistoire-osx/)

  • Philippes Yap

    Bonjour,
    C’est dommage que l’usage d’Internet soit ainsi, des milliers de gens sous le risque de se faire piocher dans leur carte juste pour récupérer des choses qui leurs appartiennent. Heureusement on sauve des milliers avec cette découverte mais pour de futurs ransomwares que faire? S’équiper d’un antivirus up to date est essentiel, c’est sur. J’ai trouvé mieux un guide pour les malwares en 2016 c’est par là https://www.meilleurantivirus.com/ j’espère que ça peut servir. A bientôt.