Si vous êtes sous OSX, vous n’êtes pas non plus à l’abri de certains ransomwares. En plus de la vigilance naturelle dont vous faites preuve, et qui reste le meilleure des protections, il existe un outil nommé RansomWhere capable de détecter à tout moment l’arrivée d’un ransomware sur votre ordinateur.
Mis au point par Patrick Wardle, un ancien de la NSA qui bosse maintenant dans le privé pour la boite de sécu Synack, cet outil une fois installé, surveille en permanence votre système. Contrairement à un outil qui détecterait la signature du malware, celui-ci détecte les processus non signés par Apple qui se mettent à chiffrer des trucs sur votre ordinateur. Il les bloque et vous alerte via une popup comme celle-ci :
Vous l’aurez compris, si le malware a usurpé une signature made in Apple, Ransomwhere ne sera d’aucune utilité. De plus, pour que Ransomwhere détecte une activité malveillante, il faut que celle-ci ait lieu. Donc il faut que le malware ait déjà commencé à chiffrer quelques fichiers (2 ou 3) avant de se faire gauler. Priez juste pour que ça ne soit pas des fichiers importants.
Enfin, les fichiers qui se trouvent hors de votre dossier home ne seront pas analysés. Donc si le ransomware est assez évolué, il pourra quand même chiffrer pas mal de trucs hors de votre dossier personnel, donc faire quand même des dégâts.
Pour le moment RansomWhere fonctionne avec les ransomware classiques pour OSX comme KeRanger ou Gopher (qui est un proof of concept mis au point par Pedro Vilaca). Malheureusement, il est fort à parier que les prochains qui sortiront sauront contourner ou neutraliser facilement la protection RansomWhere. Pedro Vilaca a d’ailleurs réussi à le faire en ajoutant simplement 10 lignes de code à son PoC (Proof of Concept) Gopher.