Passer au contenu

RansomWhere détecte les malwares qui chiffrent sur Mac OS X

Un chercheur en sécurité a mis au point une méthode d’analyse comportementale pour bloquer n’importe quel rançongiciel sur un Mac. Des logiciels similaires existent également sur Windows. Mais leur efficacité n’est pas vraiment prouvée.

Si vous avez un Mac et que vous pensez être à l’abri des horribles ransomwares, vous faites fausse route. Depuis mars dernier, les fans de la pomme sont en ligne de mire de KeRanger, un ransomware pour Mac OS X. Et il est probable qu’il ne sera pas le dernier, car les utilisateurs Mac appartiennent généralement à la catégorie CSP+, une cible très intéressante pour les auteurs de ransomwares.

À lire : Comment le ransomware Jigsaw joue avec les nerfs de ses victimes

Heureusement, il existe maintenant une solution gratuite pour se protéger : RansomWhere. Développé par le chercheur en sécurité Patrick Wardle, ce logiciel scrute en permanence les processus. Dès qu’il y en a un qui commence à chiffrer des fichiers sur l’ordinateur, il est bloqué. Un message d’alerte permet ensuite à l’utilisateur de le tuer définitivement ou, au contraire, de le réactiver (en cas de faux-positif).

Comme cette méthode de détection est purement comportementale, elle s’applique – à priori – à tous les ransomwares, même ceux qui ne sont pas encore connus. Il y a néanmoins quelques bémols. RansomWhere n’est pas proactif, mais réactif. Au moment de l’alerte, il est donc probable que le malware ait déjà réussi à chiffrer quelques données.

Par ailleurs, le logiciel ne bloquera pas les processus d’applications signés par Apple. Un pirate qui arriverait à se faire passer pour Apple – ce qui n’est pas simple – pourrait donc passer à travers les mailles du filet. Par défaut, RansomWhere fait également confiance aux logiciels déjà installés sur la machine. Il faut donc espérer que le malware ne se déclenche pas avec retardement. Enfin, ce logiciel ne scrute que les fichiers situés dans le répertoire de l’utilisateur.

Une protection déjà contournée

Cette dernière limitation a été rapidement utilisée par Pedro Vilaca, un autre chercheur en sécurité, pour contourner la protection imaginée par Patrick Wardle. Il a créé un prototype de ransomware qui, avant de chiffrer les fichiers, les déplacent en dehors du répertoire de l’utilisateur. Il a montré son attaque dans une vidéo YouTube. Mais il est probable que M. Wardle trouvera, à son tour, un antidote à cette technique relativement simpliste.

Sur Windows, la méthode de détection comportementale fait également partie des pistes explorées par les éditeurs de solutions de sécurité. En janvier dernier, MalwareBytes a présenté une version bêta de son logiciel « Anti-Ransomware », qui analyse en permanence les agissements des processus.

Le logiciel BitDefender 2016 semble procéder de manière analogue pour détecter ce type de malwares. L’éditeur propose également un logiciel gratuit baptisé « Anti-Ransomware », mais celui-ci ne fournit pas de protection générique. Il ne détecte que certains ransomwares (CTB-Locker, Locky, TeslaCrypt, Petya).

Télécharger :

RansomWhere
MalwareBytes Anti-Ransomware 
BitDefender Anti-Ransomware

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN