KeRanger, le premier ransomware entièrement fonctionnel sur Mac serait le dérivé de Linux.Encoder, un malware qui sévit sur Linux.
Récemment, nous avons évoqué l’apparition du premier ransomware entièrement fonctionnel sur Mac, connu sous le nom de KeRanger. Les chercheurs de la société de sécurité informatique Bitdefender ont annoncé que KeRanger était un dérivé d’un autre ransomware, appelé Linux.Encoder, qui est apparu en novembre dernier et qui visent les distributions Linux.
Les trois premières versions de Linux.Encoder avaient des failles dans leurs implémentations cryptographiques qui ont permis aux chercheurs de Bitdefender de créer des outils pouvant être utilisés pour décrypter les fichiers affectés par le programme malveillant.
KeRanger a été repéré le 4 mars sur le site officiel du client BitTorrent Transmission. Les pirates avaient compromis le serveur et remplacé le programme d’installation de la version 2.90 de Transmission par une version malveillante.
« La mise à jour infectée du client Transmission pour Mac OS X analysée par Bitdefender Labs semble pratiquement identique à la version 4 du programme Linux.Encoder, qui a infecté des milliers de serveurs Linux depuis le début de 2016 », ont déclaré les chercheurs de Bitdefender. « Les fonctions de chiffrement sont identiques et ont les mêmes noms : encrypt_file, recursive_task, currentTimestamp et createDaemon pour ne mentionner que ceux-là ».
Une fois que le programme infecté est installé, KeRanger patiente 3 jours avant de passer à l’action, cryptant documents, images, audio, vidéo, archives, emails etc… Une fois passé à l’offensive, il demande à l’utilisateur de payer une rançon d’1 bitcoin (environ 400 dollars) pour qu’il puisse décrypter ses fichiers et retrouver un accès complet à ses données. Pour veiller à ce que le ransomware soit supprimé, les développeurs de Transmission ont donc invité les utilisateurs à procéder à une mise à jour vers la mouture 2.92.
Récemment, Outre-Atlantique, une autre affaire de ransomware a fait couler beaucoup d’encre, celle d’un hôpital d’Hollywood. Les pirates avaient pris en otage le réseau informatique et réclamaient une rançon de plus de 3,4 millions de dollars. Le Centre médical Presbytarien d’Hollywood avait finalement versé une rançon de 40 bitcoins, l’équivalent de 17.000 dollars, pour pouvoir accéder de nouveau à son système informatique.
