Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Mac.Trojan.KeRanger.2

Added to the Dr.Web virus database: 2016-03-09

Virus description added:

SHA1:

  • fd1f246ee9effafba0811fd692e2e76947e82687 (upx)
  • 689cf98c54357d90527a38d922412c04a7107a89 (unpacked)

Le Trojan Encoder ciblant OS X a été détecté pour la première fois dans l’installateur contaminé d'un client torrent populaire pour OS X diffusé sous forme de fichier DMG. Le programme a été signé par le certificat valide d'un éditeur d'applications pour OS X, ce qui lui a permis de contourner le système de protection embarqué de l'OS. Il peut fonctionner avec les privilèges Root ainsi qu'avec les privilèges utilisateur. Après sont lancement, il supprime son propre fichier initial. Il crée trois fichiers :

  • ~/Library/.kernel_pid – dans lequel le PID du processus du Trojan est enregistré ;
  • ~/Library/.kernel_time - qui contient des informations sur le premier lancement du Trojan (le cryptage commence trois jours plus tard) ;
  • ~/Library/.kernel_complete – qui contient la chaîne « do not touch this\n » créée après un chiffrage réussi des fichiers.

Trois jours après la date du premier lancement, l'encoder se connecte à l'un des trois serveurs C&C en utilisant le réseau TOR. Le Trojan envoie au serveur une requête de type suivant :

Lcl******ohlkcml.onion/osx/ping?user_id=general&uuid=hwid&model=hw_model

Où :

  • hw_model – données sur le modèle de l'appareil contaminé ;
  • hwid – cette valeur est obtenue en créant un hachage SHA256 des valeurs IOPlatformUUID et IOPlatformSerialNumber.

En réponse, le serveur transmet au Trojan deux chaînes chiffrées avec base64 qui contiennent la clé publique RSA et un fichier avec les exigences des criminels.

Le cryptage est effectué avec l'algorithme AES-CBC-256.

En premier lieu, l'encoder chiffre tout le contenu du dossier " / Users ", sauf ses propres fichiers: ".encrypted", "README_FOR_DECRYPT.txt", ".kernel_pid", ".kernel_time", ".kernel_complete".

Dans le dossier " /Volumes ", les fichiers sont chiffrés selon la liste se trouvant dans le corps du Trojan - au total, la liste des pirates prévoit 313 types de fichiers différents.

Après le cryptage d'un fichier, l'encoder lui attribue les mêmes dates de création et de modification que celles d’avant le chiffrage, de plus, il restaure les droits d'accès antérieurs.

Un trait caractéristique de ce Trojan Encoder est l'ajout de l'extension " .encrypted " aux fichiers chiffrés et l'apparition dans les dossiers d'un fichier nommé « README_FOR_DECRYPT.txt ».

Les chercheurs de Doctor Web ont développé une technologie permettant de décrypter les données endommagées par ce malware.

News sur le Trojan

Recommandations pour le traitement


macOS

Veuillez lancer le scan complet du système à l'aide de Dr.Web Antivirus pour macOS.

Version démo gratuite

Pour 1 mois (sans enregistrement) ou 3 mois (avec enregistrement et remise pour le renouvellement)

Télécharger Dr.Web sur le site

Par le numéro de série