Ransomware de FileCoder per a macOS

Els ciberdelinqüents desenvolupen constantment noves maneres d'explotar usuaris desprevinguts, i el ransomware continua sent una de les amenaces més perjudicials. Entre els usuaris de macOS, el ransomware FileCoder, també conegut com a Patcher o Findzip, n'és un exemple notori. Un cop activat, xifra els vostres fitxers personals i exigeix el pagament per alliberar-los. Malauradament, la mala codificació de FileCoder significa que ni tan sols pagar no restaurarà les vostres dades, cosa que fa que siguin essencials unes estratègies de prevenció sòlides.

Què és el ransomware FileCoder?

FileCoder és un ransomware que xifra fitxers i que té com a objectiu els sistemes macOS. Sovint es disfressa d'eina de correcció de pegats per a programari popular com Adobe Premiere Pro CC i Microsoft Office 2016. Els investigadors van observar per primera vegada que es propagava a través de plataformes BitTorrent, convertint els usuaris que buscaven programari pirata en les seves principals víctimes.

El programari maliciós afecta principalment sistemes amb OS X 10.11.x (El Capitan) i macOS 10.12.x, tot i que també es poden veure afectades versions anteriors i noves. El seu executable no està signat per Apple, cosa que hauria de servir de senyal d'alerta per als usuaris prudents.

Com infecta FileCoder els dispositius?

El procés d'infecció comença quan els usuaris descarreguen el que sembla ser un "patcher" o "cracker" per a programari premium des de llocs de torrents. Un cop iniciat, el fals patcher mostra una finestra de progrés amb tres passos, però això només és una distracció. El procés de xifratge comença immediatament després que l'usuari faci clic a "INICIA". Quan la interfície mostra el pas 2/3, el dany ja està fet.

FileCoder xifra tot el que hi ha a la carpeta Usuaris, deixant intactes els fitxers del sistema i de l'aplicació. Les unitats externes i els volums de xarxa connectats en el moment de l'execució també són el seu objectiu. El programari maliciós genera localment una clau de xifratge aleatòria de 25 caràcters i elimina els fitxers originals mitjançant l'ordre rm. Fins i tot intenta esborrar l'espai lliure amb diskutil, però falla a causa d'una ruta de fitxer incorrecta, un error que ofereix poques possibilitats de recuperació parcial de dades.

Què passa després del xifratge?

Un cop finalitzat el xifratge, l'escriptori de l'usuari s'omple de notes de rescat com ara README.txt i DECRYPT!.txt. Es demana a les víctimes que paguin 280 dòlars en Bitcoin per desbloquejar els seus fitxers en 24 hores o 500 dòlars per a un desxifratge més ràpid. Tanmateix, aquesta demanda és enganyosa perquè FileCoder no té capacitat per comunicar-se amb un servidor de comandament i control ni enviar una clau de desxifratge. En altres paraules, pagar el rescat no restaurarà l'accés als vostres fitxers.

A més, el ransomware canvia la data de modificació dels fitxers xifrats al 13 de febrer de 2010 per motius desconeguts. Un reinici del sistema presenta una pantalla "Iniciar sessió a iCloud", ja que les preferències i la configuració de l'usuari s'encripten juntament amb les dades.

Debilitats i opcions de recuperació

Malgrat el seu potencial destructiu, FileCoder conté diversos defectes:

• Xifra els fitxers lentament, trigant uns 30 segons per a un fitxer de vídeo de 250 MB. Una acció ràpida pot aturar el xifratge.
• Si tanqueu l'aplicació a mig procés, s'aturarà el xifratge de fitxers.
• Una ruta incorrecta de diskutil impedeix l'esborrat complet i segur, oferint una finestra per a una recuperació parcial mitjançant eines com Data Rescue.

Els investigadors també han desenvolupat un mètode per desxifrar fitxers xifrats amb FileCoder. Aquest procés és tediós i requereix coneixements tècnics, però ofereix un últim recurs per a les víctimes.

Per intentar la recuperació de fitxers, les víctimes necessiten diversos recursos: un segon ordinador que funcioni, una còpia sense xifrar d'almenys un dels fitxers xifrats, un editor de text fiable, les eines de línia d'ordres Xcode i pkcrack, una utilitat que realitza un atac de text pla conegut al xifratge de fitxers ZIP.

Tanmateix, tenir una versió original i sense xifrar d'un fitxer no sempre és obligatori. Si no hi ha cap fitxer disponible, els usuaris poden aprofitar el ransomware contra si mateix. En els casos en què l'aplicació FileCoder s'ha executat des de la carpeta de l'usuari, com ara el directori de descàrregues, és probable que el programari maliciós hagi xifrat el seu propi executable. Les víctimes poden descarregar una còpia nova de l'aplicació infectada per ajudar en el procés de desxifrat.

Els investigadors adverteixen que aquest mètode és lent i requereix molta mà d'obra, ja que no és possible el desxifratge massiu. No obstant això, per a aquells que vulguin recuperar l'accés a les seves dades, aquest enfocament proporciona un últim recurs viable.

Pràctiques de seguretat provades per prevenir infeccions

Prevenir infeccions de ransomware com FileCoder és molt més fàcil que recuperar-se'n. Seguiu aquestes mesures de seguretat per protegir el vostre sistema:

1. Hàbits informàtics segurs

• Eviteu descarregar programari o pegats de llocs de torrents o altres fonts no verificades.
• Comproveu sempre les signatures de les aplicacions i instal·leu només aplicacions de desenvolupadors de confiança o de la Mac App Store oficial.
• Mantingueu-vos informats sobre les darreres amenaces i avisos de seguretat.

2. Protecció forta del sistema

• Activeu una solució antimalware de bona reputació i manteniu-la actualitzada.

• Feu còpies de seguretat dels fitxers importants regularment amb Time Machine o un servei de còpies de seguretat al núvol. Guardeu les còpies de seguretat fora de línia o en una ubicació segura que no estigui connectada constantment al vostre sistema.

• Mantingueu macOS i tot el programari instal·lat actualitzats amb els pegats de seguretat més recents.

Combinant aquestes pràctiques, reduïu significativament la vostra exposició a amenaces de ransomware i us assegureu que, fins i tot en els pitjors casos, les vostres dades romanguin segures i recuperables.