KeRanger, le premier ransomware apparu sur Mac, refait parler de lui. Celui qui a été injecté dans 6 500 Mac au maximum a vite été détecté, Apple l’a alors bloqué pour éviter que les pirates forcent les utilisateurs concernés à payer une rançon pour accéder de nouveau à leurs fichiers. C’est le principe d’un ransomware, le disque dur est chiffré, il faut payer le hacker pour qu’il débloque la situation.

Securite-informatique

Bitdefender, bien connu pour son antivirus, a analysé le ransomware KeRanger apparu sur Mac et a déterminé qu’il s’agit d’une version plus que similaire au Trojan Encoder. Ce dernier a fait son apparition sur Linux il y a quelques mois, certains utilisateurs ont aussi été bloqués à cause de hackers.

Il est possible que les hackers derrière Trojan Encoder soient les mêmes que ceux pour KeRanger. Ou du moins, ils ont fait appel à une équipe spécialisée dans le Mac pour faire le portage. Les auteurs ont utilisé un certificat autorisé par Apple et appartenant à une entreprise turque pour s’installer sur les Mac. Sachant que le certificat est authentique, OS X n’a pas détecté de problème.

Une fois que le ransomware est exécuté, il se connecte quelque part via le réseau TOR afin de récupérer une clé de chiffrement. Quand le chiffrement du disque dur est réalisé, un fichier (README_FOR_DECRYPT.txt) se crée pour indiquer à l’utilisateur comment il doit payer le hacker afin de débloquer la situation.

Pour rappel, les hackers sont passés par le client de torrent Transmission, l’un des plus utilisés sur Mac, pour injecter le ransomware.