On a trouvé l’origine du ransomware KeRanger qui sévit sur les Mac

Le ransomware KeRanger, qui exige une rançon pour vous restituer vos données et qui cible les Mac, serait en fait le dérivé du malware plus connu Linux.Encoder, qui lui sévit sur les distributions Linux.

Il y a quelques jours, on apprenait que l’environnement OS X d’Apple devenait vulnérable pour la première fois à un ransomware, baptisé KeRanger. Celui-ci se dissimule dans une version du client BitTorrent, Transmission. Hier, la société spécialisée dans la sécurité informatique Bitdefender Labs, annonçait que ce ransomware serait un portage du malware Linux.Encoder ayant pour cible le système Linux.

KeRanger  le tout premier ransomware qui affecte les Mac

Le ransomware est un type de malware de plus en plus répandu. Une fois que l’ordinateur est infecté, ce logiciel malveillant crypte vos données. Ensuite il vous demande de payer une certaine somme pour que le chiffrement soit annulé et que vous ayez de nouveau accès à vos données. Une prise en otage des données en quelque sorte.

KeRanger fait partie de ce type de malware et on apprenait il y a quelques jours qu’il s’attaquait aux Mac. Il s’agit du tout premier malware qui débarque sur les produits Apple et de nombreuses machines en ont déjà fait les frais. Heureusement, depuis, la firme de Cupertino a réagi et a bloqué ce logiciel malveillant qui se trouvait dans Transmission, un client Bittorrent très utilisé sur cette plateforme.

KeRanger serait un dérivé du malware Linux.Encoder

Les experts en sécurité de chez Bitdefender, l’éditeur de l’antivirus du même nom, ont analysé KeRanger et se sont rendus compte qu’il serait le portage d’un malware qui avait sévit il y a plusieurs mois sur les systèmes Linux. Les hackers responsables de KeRanger pourraient donc être les mêmes qui sont à l’origine de Linux.Encoder.

KeRanger serait la copie quasi parfaite de la dernière version de Linux.Encoder selon Catalin Cosoi, le responsable de la sécurité au sein de Bitdefender. “Les fonctions de chiffrement sont identiques et ont les mêmes noms : encrypt_file, recursive_task, currentTimestamp et createDaemon pour ne mentionner que ceux-là. La routine de chiffrement est identique à celle utilisée dans Linux.Encoder“, expliquait-il.