Un premier ransomware a fait son apparition sur Mac, et ce n’est clairement pas une bonne nouvelle. Nommé KeRanger, ce ransomware a pour vocation de chiffrer le disque dur des utilisateurs pour ensuite leur demander de l’argent afin de le déchiffrer. S’ils ne payent pas, leurs données seront perdues.

Transmission Ransonware KeRanger

KeRanger a fait son apparition avec l’application Transmission, le client le plus populaire pour télécharger des torrents sur Mac. La version 2.90 a été infectée par le ransomware, certains utilisateurs ont été touchés sans le savoir. Il se mettra en place dès demain, il est important de le bloquer dès maintenant.

Pour savoir si vous êtes infectés, il faut ouvrir Moniteur d’activité puis chercher un processus nommé « kernel_service ». Si c’est le cas, cliquez dessus à deux reprises et vérifiez s’il y a quelque chose avec le nom « /Users//Library/kernel_service ». Si c’est le cas, fermez le processus. Et surtout (!) mettez à jour Transmission avec la mise à jour 2.91.

Apple a annoncé à Reuters être au courant du ransomware et a d’ores et déjà révoqué le certificat provenant d’un développeur légitime qui a permis l’installation de KeRanger sur les Mac.

En fouillant dans le fichier XProtect d’Apple, on note qu’un blocage a déjà été effectué comme l’en témoigne la capture d’écran ci-dessous.

KeRanger XProtect