Présenté par Palo Alto Networks comme le premier ransomware pleinement fonctionnel pour OS X, KeRanger semble avoir des origines du côté d'un malware pour les systèmes Linux. Pour les chercheurs de Bitdefender, KeRanger est une réécriture de Linux.Encoder.

serrure-numerique Au cours de derniers mois, Linux.Encoder a pris pour cible des serveurs Web sur Linux. Un ransomware à la conception toutefois maladroite dont les actions de chiffrement ont pu être cassées à plusieurs reprises. Il fait moins sourire aujourd'hui.

KeRanger paraît ainsi quasiment identique à la version 4 de Linux.Encoder. " Les fonctions de chiffrement sont identiques et ont les mêmes noms : encrypt_file, recursive_task, currentTimestamp et createDaemon pour n'en citer que quelques-uns. La routine de chiffrement est identique à celle employée dans Linux.Encoder ", écrit Catalin Cosoi, responsable des recherches en sécurité chez Bitdefender.

Jusqu'à la version 3 de Linux.Encoder, Bitdefender a proposé un outil gratuit de déchiffrement. Il n'est actuellement pas disponible pour la version 4 qui a donc manifestement connu un portage sur la plateforme OS X. Cependant, Bitdefender indique que ses chercheurs ont été en mesure de contourner le chiffrement pour les quatre versions dans la nature.

L'adaptation au Mac peut être le fait du créateur de Linux.Encoder lui-même. Une autre hypothèse est que le code a été mis dans les mains d'un groupe spécialisé dans les attaques à l'encontre d'OS X.

KeRanger a été diffusé par le biais d'une version 2.90 infectée du client BitTorrent Transmission pour OS X. La fenêtre de propagation a toutefois été courte. Elle concerne les utilisateurs ayant téléchargé Transmission depuis le site officiel entre le 4 mars à 20h et le 5 mars à 2h (heure de Paris). Cela concerne en tout 6 500 téléchargements.