Ke.Ranger, le ransomware de Transmission, venait de Linux

Ke.Ranger est sans doute l’un des ransomwares les plus populaires en ce moment et cela n’a rien de surprenant car il s’agit du tout premier programme malveillant de ce type à s’attaquer à OS X. Bitdefender Lab a cherché à en savoir plus à son sujet et les chercheurs de l’éditeur se sont alors rendus compte qu’il était assez proche d’un autre malware ciblant cette fois les serveurs sous Linux : Linux.Encoder.

Tout a commencé vendredi dernier lorsque des chercheurs en sécurité ont trouvé un ransomware dans la dernière version (2.9) de Transmission, un client BitTorrent très en vogue dans le milieu.

Ke.Ranger
On en sait un peu plus sur les origines de Ke.Ranger.

L’affaire a fait beaucoup de bruit car ce programme malveillant visait uniquement les ordinateurs sous OS X.

Ke.Ranger est le premier ransomware à viser OS X

L’éditeur du programme a été prompt à réagir et il a immédiatement supprimé le fichier infecté de son serveur. Apple, de son côté, à révoqué le certificat utilisé par la solution pour éviter que le malware ne se répande chez ses clients.

Au total, moins de 7 000 machines ont été infectées par le virus.

Bitdefender Labs a demandé à ses équipes d’analyser le programme afin d’en apprendre un peu plus sur son fonctionnement et sur ses origines. Les chercheurs en charge de l’enquête se sont alors rendus compte qu’il était très proche d’un autre ransomware, Linux.Encoder.

Ce malware est très populaire chez les pirates mais il n’est pas parfait pour autant car il est tout à fait possible de générer une clé de déchiffrement sans avoir besoin de payer la rançon fixée par ses propriétaires.

Je ne sais pas si vous connaissez le fonctionnement des ransomwares mais ces programmes sont assez particuliers. Contrairement à un virus traditionnel, ils ne cherchent pas à corrompre le système et ils se contentent finalement de chiffrer les différents volumes d’un ordinateur pour en bloquer l’accès.

Un ransomware en provenance de Linux

Lorsque c’est fait, ils proposent à l’utilisateur de payer une rançon en échange de la clé de déchiffrement.

Si ces programmes sont autant populaires depuis quelques temps, c’est parce qu’ils peuvent rapporter beaucoup d’argent aux pirates. Sans cette fameuse clé, l’utilisateur perd effectivement l’accès à toutes ses données et cela peut s’avérer très problématique dans certains cas, et notamment pour les entreprises.

Quoi qu’il en soit, après avoir fouiné dans ses sources, Catalin Cosoi s’est rendue compte que le programme était presque identique à la version actuelle de Linux.Encodeur.

Ke.Ranger utilise effectivement les mêmes fonctions de chiffrement et ses fichiers portent en outre les mêmes noms.

C’est évidemment une très bonne nouvelle pour tous ceux qui ont été victimes de ce ransomware car cela veut aussi dire qu’ils devraient être en mesure de récupérer l’accès à leurs données sans avoir besoin de sortir la carte bleue.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.