FileCoder macOS Ransomware

Cyberkriminelle udvikler konstant nye måder at udnytte intetanende brugere på, og ransomware er fortsat en af de mest skadelige trusler. Blandt macOS-brugere er FileCoder ransomware, også kendt som Patcher eller Findzip, et berygtet eksempel. Når den er aktiveret, krypterer den dine personlige filer og kræver betaling for deres frigivelse. Desværre betyder FileCoders dårlige kodning, at selv betaling ikke kan gendanne dine data, hvilket gør stærke forebyggelsesstrategier afgørende.

Hvad er FileCoder Ransomware?

FileCoder er en filkrypterende ransomware, der er rettet mod macOS-systemer. Den forklæder sig ofte som et programrettelsesværktøj til populær software som Adobe Premiere Pro CC og Microsoft Office 2016. Forskere observerede først, at den spredte sig via BitTorrent-platforme, hvilket gjorde brugere, der søgte piratkopieret software, til deres primære ofre.

Malwaren påvirker primært systemer, der kører OS X 10.11.x (El Capitan) og macOS 10.12.x, selvom ældre og nyere versioner også kan være påvirket. Dens eksekverbare fil er ikke signeret af Apple, hvilket bør tjene som et rødt flag for forsigtige brugere.

Hvordan inficerer FileCoder enheder?

Infektionsprocessen starter, når brugerne downloader, hvad der ser ud til at være en 'patcher' eller 'cracker' til premium-software fra torrent-sider. Når den falske patcher er startet, viser den et statusvindue med tre trin, men dette er blot en distraktion. Krypteringsprocessen begynder umiddelbart efter, at brugeren klikker på 'START'. Når brugerfladen viser trin 2/3, er skaden allerede sket.

FileCoder krypterer alt i brugermappen og lader system- og programfiler være uberørte. Eksterne drev og netværksdrev, der er tilsluttet på udførelsestidspunktet, er også målrettet. Malwaren genererer en tilfældig krypteringsnøgle på 25 tegn lokalt og sletter originale filer ved hjælp af rm-kommandoen. Den forsøger endda at slette ledig plads med diskutil, men mislykkes på grund af en forkert filsti, en fejl, der giver en lille chance for delvis datagendannelse.

Hvad sker der efter kryptering?

Når krypteringen er fuldført, fyldes brugerens skrivebord med løsesumsnotater såsom README.txt og DECRYPT!.txt. Ofrene bliver bedt om at betale $280 i Bitcoin for at låse deres filer op inden for 24 timer eller $500 for hurtigere dekryptering. Dette krav er dog vildledende, fordi FileCoder ikke har mulighed for at kommunikere med en kommando-og-kontrol-server eller sende en dekrypteringsnøgle. Med andre ord vil betaling af løsesummen ikke gendanne adgangen til dine filer.

Derudover ændrer ransomwaren ændringsdatoen for krypterede filer til 13. februar 2010 af ukendte årsager. En systemgenstart viser en skærm med teksten 'Log ind på iCloud', da brugerpræferencer og -indstillinger krypteres sammen med dataene.

Svagheder og muligheder for genopretning

Trods sit destruktive potentiale indeholder FileCoder adskillige fejl:

• Den krypterer filer langsomt og tager cirka 30 sekunder for en videofil på 250 MB. Hurtig handling kan stoppe krypteringen.
• Hvis du afslutter programmet midt i processen, stoppes yderligere filkryptering.
• Forkert diskutil-sti forhindrer fuldstændig sikker sletning og giver mulighed for delvis gendannelse ved hjælp af værktøjer som Data Rescue.

Forskere har også udviklet en metode til at dekryptere FileCoder-krypterede filer. Denne proces er besværlig og kræver teknisk viden, men den tilbyder ofrene en sidste udvej.

For at forsøge filgendannelse har ofrene brug for adskillige ressourcer: en anden fungerende computer, en ukrypteret kopi af mindst én af de krypterede filer, en pålidelig teksteditor, kommandolinjeværktøjerne Xcode og pkcrack, et værktøj, der udfører et kendt almindeligt tekstangreb på ZIP-filkryptering.

Det er dog ikke altid obligatorisk at have en original, ukrypteret version af en fil. Hvis en sådan fil ikke er tilgængelig, kan brugerne udnytte ransomware mod sig selv. I tilfælde, hvor FileCoder-appen blev kørt fra brugermappen, f.eks. Downloads-mappen, har malwaren sandsynligvis krypteret sin egen eksekverbare fil. Ofre kan downloade en ny kopi af den inficerede applikation for at hjælpe med dekrypteringsprocessen.

Forskere advarer om, at denne metode er langsom og arbejdskrævende, da massedekryptering ikke er mulig. Ikke desto mindre er denne tilgang en holdbar sidste udvej for dem, der er fast besluttet på at få adgang til deres data tilbage.

Dokumenterede sikkerhedspraksisser til at forhindre infektion

Det er langt nemmere at forhindre ransomware-infektioner som FileCoder end at komme sig efter dem. Følg disse sikkerhedsforanstaltninger for at beskytte dit system:

1. Sikre computervaner

• Undgå at downloade software eller programrettelser fra torrent-sider eller andre ubekræftede kilder.
• Tjek altid programsignaturer, og installer kun apps fra betroede udviklere eller den officielle Mac App Store.
• Hold dig opdateret om de seneste trusler og sikkerhedsråd.

2. Stærk systembeskyttelse

• Aktivér en velrenommeret anti-malware-løsning, og hold den opdateret.

Ved at kombinere disse fremgangsmåder reducerer du din eksponering for ransomware-trusler betydeligt og sikrer, at dine data forbliver sikre og kan gendannes, selv i værste fald.