[INFO] Un ransomware nommé « KeRanger » déguisé en client BitTorrent affecte les systèmes OS X

[INFO] Un ransomware nommé « KeRanger » déguisé en client BitTorrent affecte les systèmes OS X

Comme chaque semaine, le CERT-XMCO vous partage une information ayant fait l’actualité durant la semaine écoulée. Nous vous proposons cette semaine de revenir sur l’apparition d’un des premiers ransomwares affectant Mac OS X.

Un ransomware nommé « KeRanger » déguisé en client BitTorrent affecte les systèmes OS X Virus 08 mars 2016

Criticité
Moyenne
Description
Un des premiers ransomware pour le système d’exploitation OS X vient de faire son apparition sous le nom de « KeRanger ». Un programme similaire nommé « FileCoder » avait fait son apparition en 2014, mais ne présentait pas toutes les fonctionnalités d’un ransomware.

La particularité de « KeRanger » est de s’être introduit dans deux installateurs du client BitTorrent « Transmission ». Ce projet étant open-source, une compromission du site est plutôt envisagée, mais l’enquête est toujours en cours.
Le programme malveillant contournait les mesures de protection de GateKeeper, car signé par un certificat légitime. Celui utilisé pour la version malveillante du programme a désormais été radié par Apple et ne permet donc plus de contourner GateKeeper.

Après l’installation du ransomware, et dans le but d’éviter tout soupçon, le processus attend 3 jours avant de contacter les serveurs de contrôle accessible depuis le réseau Tor uniquement. Il commence ensuite à chiffrer les documents de l’utilisateur. Une fois terminée, une rançon de 1 bitcoin (environ 375 euros) est ensuite réclamée à l’utilisateur s’il souhaite récupérer ses documents.

Référence(s)
http://researchcenter.paloaltonetworks.com/2016/03/new-os-x-ransomware-keranger-infected-transmission-bittorrent-client-installer
Référence CERT-XMCO
CXN-2016-0752

Cert-XMCO