Ransomware FileCoder pro macOS

Kyberzločinci neustále vyvíjejí nové způsoby, jak zneužívat nic netušící uživatele, a ransomware zůstává jednou z nejškodlivějších hrozeb. Mezi uživateli macOS je ransomware FileCoder, známý také jako Patcher nebo Findzip, nechvalně známým příkladem. Po aktivaci zašifruje vaše osobní soubory a požaduje platbu za jejich uvolnění. Špatné kódování FileCoderu bohužel znamená, že ani zaplacení vaše data neobnoví, takže jsou nezbytné silné preventivní strategie.

Co je ransomware FileCoder?

FileCoder je ransomware šifrující soubory, který cílí na systémy macOS. Často se maskuje jako nástroj pro záplatování populárního softwaru, jako je Adobe Premiere Pro CC a Microsoft Office 2016. Výzkumníci nejprve pozorovali jeho šíření prostřednictvím platforem BitTorrent, což z něj dělalo primární oběti uživatele vyhledávající pirátský software.

Malware postihuje především systémy s operačními systémy OS X 10.11.x (El Capitan) a macOS 10.12.x, ačkoli mohou být ovlivněny i starší i novější verze. Jeho spustitelný soubor není podepsán společností Apple, což by mělo sloužit jako varovný signál pro opatrné uživatele.

Jak FileCoder infikuje zařízení?

Proces infekce začíná, když si uživatelé stáhnou z torrentových stránek něco, co vypadá jako „patcher“ nebo „cracker“ pro prémiový software. Po spuštění falešný patch zobrazuje okno s postupem a třemi kroky, ale to je pouze rozptýlení. Proces šifrování začíná ihned poté, co uživatel klikne na tlačítko „START“. V době, kdy rozhraní zobrazí krok 2/3, je škoda již napáchána.

FileCoder šifruje vše ve složce Users a ponechává systémové soubory a soubory aplikací nedotčené. Cílem malwaru jsou také externí disky a síťové svazky připojené v době spuštění. Malware lokálně generuje 25místný náhodný šifrovací klíč a pomocí příkazu rm maže původní soubory. Dokonce se pokouší vymazat volné místo pomocí diskutil, ale selhává kvůli nesprávné cestě k souboru, což je chyba, která poskytuje malou šanci na částečnou obnovu dat.

Co se stane po šifrování?

Jakmile je šifrování dokončeno, plocha uživatele se zaplní zprávami s výzvou, jako například README.txt a DECRYPT!.txt. Oběti jsou instruovány, aby zaplatily 280 dolarů v Bitcoinech za odemčení svých souborů do 24 hodin nebo 500 dolarů za rychlejší dešifrování. Tento požadavek je však klamavý, protože FileCoder nemá schopnost komunikovat s velitelským serverem ani odesílat dešifrovací klíč. Jinými slovy, zaplacení výkupného neobnoví přístup k vašim souborům.

Ransomware navíc z neznámých důvodů změní datum úpravy šifrovaných souborů na 13. února 2010. Po restartu systému se zobrazí obrazovka „Přihlásit se do iCloudu“, protože se spolu s daty zašifrují i uživatelské předvolby a nastavení.

Slabé stránky a možnosti obnovy

Navzdory svému destruktivnímu potenciálu má FileCoder několik nedostatků:

• Soubory šifruje pomalu, u videosouboru o velikosti 250 MB to trvá asi 30 sekund. Rychlá akce může šifrování zastavit.
• Ukončení aplikace v průběhu procesu zastaví další šifrování souborů.
• Nesprávná cesta k souboru diskutil brání úplnému bezpečnému vymazání a nabízí možnost částečné obnovy pomocí nástrojů, jako je Data Rescue.

Výzkumníci také vyvinuli metodu pro dešifrování souborů šifrovaných FileCoderem. Tento proces je zdlouhavý a vyžaduje technické znalosti, ale pro oběti nabízí poslední možnost.

Pro pokus o obnovu souborů potřebují oběti několik zdrojů: druhý funkční počítač, nešifrovanou kopii alespoň jednoho ze šifrovaných souborů, spolehlivý textový editor, nástroje příkazového řádku Xcode a pkcrack, nástroj, který provádí útok známým prostým textem na šifrování souborů ZIP.

Mít originální, nešifrovanou verzi souboru však není vždy nutné. Pokud takový soubor není k dispozici, uživatelé by mohli ransomware zneužít proti sobě samému. V případech, kdy byla aplikace FileCoder spuštěna z uživatelské složky, například z adresáře Stažení, malware pravděpodobně zašifroval svůj vlastní spustitelný soubor. Oběti si mohou stáhnout novou kopii infikované aplikace, která jim pomůže s dešifrováním.

Výzkumníci varují, že tato metoda je pomalá a pracná, protože hromadné dešifrování není možné. Nicméně pro ty, kteří jsou odhodláni znovu získat přístup ke svým datům, tento přístup představuje schůdnou poslední možnost.

Osvědčené bezpečnostní postupy pro prevenci infekce

Prevence ransomwarových infekcí, jako je FileCoder, je mnohem snazší než jejich zotavení. Dodržujte tato bezpečnostní opatření k ochraně svého systému:

1. Bezpečné počítačové návyky

• Vyhněte se stahování softwaru nebo záplat z torrentů nebo jiných neověřených zdrojů.
• Vždy kontrolujte podpisy aplikací a instalujte pouze aplikace od důvěryhodných vývojářů nebo z oficiálního Mac App Storu.
• Zůstaňte informováni o nejnovějších hrozbách a bezpečnostních doporučeních.

2. Silná ochrana systému

• Používejte renomované antivirové řešení a udržujte ho aktualizované.

• Pravidelně zálohujte důležité soubory pomocí nástroje Time Machine nebo cloudové zálohovací služby. Zálohy ukládejte offline nebo na bezpečné místo, které není neustále připojeno k vašemu systému.

• Udržujte macOS a veškerý nainstalovaný software aktuální pomocí nejnovějších bezpečnostních záplat.

Kombinací těchto postupů výrazně snižujete vystavení hrozbám ransomwaru a zajišťujete, že i v nejhorších případech zůstanou vaše data v bezpečí a obnovitelná.