Le ransomware KeRanger a été détecté sur Mac OS X dans le logiciel Transmission

virus malware keyraider-infoidevice

Un premier cas malware du type ransomware a été découvert sur Mac OS X au travers de la version 2.90 du client BitTorrent Transmission publié la semaine dernière.

KeRanger : chiffrement des fichiers et demande de rançon

La version 2.90 du logiciel se trouve infectée par le logiciel malveillant connu sous le nom KeRanger ou encore KeyRanger. Cette alerte n’est pas à prendre à la légère puisque d’ici demain les premiers utilisateurs vont se retrouver avec leurs fichiers chiffrés sur leur disque dur !

Contrairement aux services de chiffrement habituels qui permettent de protéger vos données, l’objectif pour le ou les créateurs de ce virus est de recueillir des fonds via les utilisateurs en payant la rançon demandée en échange de la clé pour déchiffrer les dossiers.

Le malware vous demandera le paiement de 1 bitcoin (soit plus de 8000 €) pour permettre à l’utilisateur de décrypter leur disque et accéder à nouveau à leurs données.

Comment se prémunir du ransonware KeRanger

Tel que rapporté par Palo Alto Networks, Apple a déjà pris des mesures pour freiner la propagation du malware en révoquant le certificat de Transmission. Ce qui signifie que la version infectée de Transmission ne pourra plus s’installer mais cela n’aidera pas ceux qui sont déjà été affectés.

Il est donc fortement recommandé de supprimer la version 2.90 et de télécharger la dernière version 2.92 de Transmission depuis le site officiel.
ransonware keranger transmission torrent mac-infoidevice

Comment vérifier si votre Mac est infecté

Les utilisateurs inquiétés par le ransomware KeyRanger doivent rechercher si le processus « kernelservice » est en cours dans le Moniteur d’Activité.

Pour ce faire :

  1. rendez-vous dans le dossier Utilitaires dans vos Applications Mac
  2. démarrez le Moniteur d’Activité
  3. dans l’onglet recherche tapez ceci : kernel_service
Si vous découvrez ce processus alors sélectionnez-le et forcez le à quitter puis supprimez Transmission avant de télécharger la nouvelle version.

Une deuxième méthode consiste à rechercher le fichier General.rtf qui peut se trouver dans :

/Applications/Transmission.app/Contents/Resources/General.rtf
/Volumes/Transmission/Transmission.app/Contents/Resources/General.rtf

Si vous trouvez ce dossier, il faut le supprimer ainsi que la version installée de Transmission. La meilleure façon de vous assurer que le virus a été complètement retiré du système est de restaurer une sauvegarde antérieure de votre système avant l’installation de transmission.

Il faut noter que le malware ne se déclarera que 3 jours après l’installation de Transmission 2.90 , on ne sait pas encore si ce malware affectera d’autres applications communes.