Рансъмуер FileCoder за macOS

Киберпрестъпниците непрекъснато разработват нови начини за експлоатация на нищо неподозиращи потребители, а ransomware остава една от най-вредните заплахи. Сред потребителите на macOS, ransomware-ът FileCoder, известен още като Patcher или Findzip, е известен пример. След като се активира, той криптира личните ви файлове и изисква плащане за тяхното освобождаване. За съжаление, лошото кодиране на FileCoder означава, че дори плащането няма да възстанови данните ви, което прави силните стратегии за превенция от съществено значение.

Какво е FileCoder рансъмуер?

FileCoder е рансъмуер за криптиране на файлове, насочен към macOS системи. Често се маскира като инструмент за инсталиране на пачове за популярен софтуер като Adobe Premiere Pro CC и Microsoft Office 2016. Изследователите първоначално наблюдават разпространението му чрез BitTorrent платформи, което прави потребителите, търсещи пиратски софтуер, основните му жертви.

Зловредният софтуер засяга предимно системи с OS X 10.11.x (El Capitan) и macOS 10.12.x, въпреки че могат да бъдат засегнати и по-стари, и по-нови версии. Изпълнимият му файл не е подписан от Apple, което би трябвало да е червен флаг за предпазливите потребители.

Как FileCoder заразява устройства?

Процесът на заразяване започва, когато потребителите изтеглят нещо, което изглежда като „патчър“ или „кракер“ за премиум софтуер от торент сайтове. След стартиране, фалшивият патч показва прозорец за напредък с три стъпки, но това е просто разсейване. Процесът на криптиране започва веднага след като потребителят щракне върху „СТАРТ“. Докато интерфейсът покаже стъпка 2/3, щетите вече са нанесени.

FileCoder криптира всичко в папката „Потребители“, оставяйки системните файлове и файловете на приложенията недокоснати. Външни устройства и мрежови томове, свързани по време на изпълнението, също са цел. Зловредният софтуер генерира локално 25-символен произволен ключ за криптиране и изтрива оригиналните файлове, използвайки командата rm. Той дори се опитва да изчисти свободното пространство с diskutil, но не успява поради неправилен път до файла – грешка, която предоставя малка вероятност за частично възстановяване на данните.

Какво се случва след криптирането?

След като криптирането приключи, работният плот на потребителя се запълва с искания за откуп, като например README.txt и DECRYPT!.txt. Жертвите са инструктирани да платят 280 долара в биткойн, за да отключат файловете си в рамките на 24 часа, или 500 долара за по-бързо декриптиране. Това изискване обаче е подвеждащо, защото FileCoder няма възможност да комуникира със сървър за командно-контролни операции или да изпрати ключ за декриптиране. С други думи, плащането на откупа няма да възстанови достъпа до файловете ви.

Освен това, рансъмуерът променя датата на модификация на криптираните файлове на 13 февруари 2010 г. по неизвестни причини. Рестартирането на системата показва екран „Влизане в iCloud“, тъй като потребителските предпочитания и настройки се криптират заедно с данните.

Слабости и възможности за възстановяване

Въпреки разрушителния си потенциал, FileCoder съдържа няколко недостатъка:

• Криптира файловете бавно, като за видеофайл от 250 MB това отнема около 30 секунди. Бързото действие може да спре криптирането.
• Затварянето на приложението по средата на процеса спира по-нататъшното криптиране на файлове.
• Неправилният път на diskutil предотвратява пълното и сигурно изтриване, предлагайки възможност за частично възстановяване с помощта на инструменти като Data Rescue.

Изследователите са разработили и метод за декриптиране на файлове, криптирани от FileCoder. Този процес е досаден и изисква технически познания, но предлага крайна мярка за жертвите.

За да се опитат да възстановят файлове, жертвите се нуждаят от няколко ресурса: втори работещ компютър, некриптирано копие на поне един от криптираните файлове, надежден текстов редактор, инструментите за команден ред на Xcode и pkcrack, помощна програма, която извършва атака с известен открит текст върху криптиране на ZIP файлове.

Въпреки това, наличието на оригинална, некриптирана версия на файл не винаги е задължително. Ако няма такъв файл, потребителите могат да използват рансъмуер софтуера срещу самия него. В случаите, когато приложението FileCoder е било изпълнено от папката на потребителя, като например директорията „Изтегляния“, зловредният софтуер вероятно е криптирал свой собствен изпълним файл. Жертвите могат да изтеглят ново копие на заразеното приложение, за да подпомогнат процеса на декриптиране.

Изследователите предупреждават, че този метод е бавен и трудоемък, тъй като груповото декриптиране не е възможно. Въпреки това, за тези, които са решени да си възвърнат достъпа до данните си, този подход предоставя жизнеспособна последна мярка.

Доказани практики за сигурност за предотвратяване на инфекции

Предотвратяването на инфекции с ransomware като FileCoder е много по-лесно от възстановяването от тях. Следвайте тези мерки за сигурност, за да защитите системата си:

1. Навици за безопасна работа с компютър

• Избягвайте да изтегляте софтуер или пачове от торент сайтове или други непроверени източници.
• Винаги проверявайте подписите на приложенията и инсталирайте само приложения от доверени разработчици или официалния Mac App Store.
• Бъдете информирани за най-новите заплахи и съвети за сигурност.

2. Силна защита на системата

• Активирайте надеждно решение против зловреден софтуер и го поддържайте актуализирано.

• Редовно архивирайте важни файлове, използвайки Time Machine или облачна услуга за архивиране. Съхранявайте резервните копия офлайн или на сигурно място, което не е постоянно свързано със системата ви.

• Поддържайте macOS и целия инсталиран софтуер актуални с най-новите корекции за сигурност.

Чрез комбиниране на тези практики значително намалявате излагането си на заплахи от ransomware и гарантирате, че дори в най-лошите сценарии вашите данни остават в безопасност и могат да бъдат възстановени.