Attention, la version 2.9 de Transmission intègre un ransomware, le premier pour OS X !

Transmission compte de nombreux adeptes à travers le monde et il est possible que vous en fassiez partie. Si c’est le cas, alors cet article risque de beaucoup vous intéresser. En analysant la version 2.9 du programme, les chercheurs en sécurité de Palo Alto Threat Intelligence ont déniché un ransomware du nom de Ke.Ranger. Et attention car il est le tout premier de sa catégorie à s’attaquer à OS X.

Il existe de nombreux programmes malveillants de ce type sur le marché mais la plupart d’entre eux visent Windows. Jusqu’à présent, OS X avait été épargné mais les choses sont visiblement en train de changer.

C’est en tout cas ce que l’on peut déduire de cette nouvelle affaire.

Un ransomware particulièrement efficace

Comme indiqué un peu plus haut, les chercheurs de Palo Alto Threat Intelligence ont détecté la présence d’un ransomware dans la version 2.9 de Transmission, un client BitTorrent très en vogue chez les croqueurs de pommes.

Personne ne sait comment l’outil a été infecté. La seule chose que l’on sait, c’est que le programme utilise le même certificat que l’outil pour s’installer sur la machine. Ensuite, il reste inactif pendant trois jours avant de se réveiller et de commencer à chiffrer les données de l’utilisateur en s’attaquant à certains de ses dossiers.

Lesquels ? Tous ceux contenus dans son répertoire personnel et tous les documents JPG, MP3, MP4 ou ZIP.

Cela veut aussi dire que les premières victimes devraient être touchées ce lundi 7 mars puisque la dernière version du programme est disponible depuis vendredi dernier.

Lorsque tout sera en place, alors Ke.Ranger proposera à l’utilisateur de payer une rançon en bitcoins pour qu’il puisse récupérer ses documents, ses photos et ses vidéos, une rançon estimée à 400 $ environ.

Selon les chercheurs à l’origine de la découverte, ce programme malveillant n’est pas complètement finalisé et il est pour le moment incapable de s’attaquer aux sauvegardes Time Machine.

Si vous êtes touché par l’attaque, il suffira donc de restaurer une sauvegarde antérieure à l’installation de Transmission 2.9 pour remettre votre machine sur les rails.

Comment savoir si votre machine est infectée ?

Pour savoir si votre ordinateur est touché par ce ransomware, ce n’est pas très compliqué car il suffit de vous appuyer sur le Terminal ou sur le Finder pour chercher les fichiers suivants :

/Applications/Transmission.app/Contents/Resources/General.rtf

/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

S’ils sont présents, alors votre machine a bien été infectée par Ke.Ranger. Cela veut aussi dire que vous allez devoir le supprimer avant qu’il ne se mettre en route.

Pour se faire, suivez simplement les étapes suivantes :

1. Lancer le Moniteur d’Activité.
2. Cliquez sur l’onglet des processus.
3. Cherchez un processus nommé “kernel_service”.
4. Cliquez deux fois dessus.
5. Cliquez sur l’onglet “fichiers et ports ouverts”.
6. Cherchez le fichier “/Users/Library/kernel_service”.
7. Cliquez sur “Quitter” puis sur “Forcer à quitter”.
8. Allez dans le dossier “/Bibliothèque”.
9. Recherchez les fichiers “.kernel_pid”, “.kernel_time”, “.kernel_complete” ou “.kernel_service”.
10. Supprimez les.

Apple n’a pas tardé à réagir de son côté et la firme a ainsi immédiatement révoqué le certificat du développeur pour éviter de nouvelles infections. Elle a aussi mis à jour la base de données de Xprotect pour qu’il soit en mesure d’avertir l’utilisateur lorsqu’il tente d’installer le programme vérolé.

Transmission a supprimé les installeurs infectés de son site web avant de déployer une nouvelle version de son logiciel, la 2.91. Il vaudra mieux l’installer si vous souhaitez continuer à utiliser la solution.