FileCoder macOS Ransomware

Οι κυβερνοεγκληματίες αναπτύσσουν συνεχώς νέους τρόπους για να εκμεταλλεύονται ανυποψίαστους χρήστες και το ransomware παραμένει μια από τις πιο καταστροφικές απειλές. Μεταξύ των χρηστών macOS, το ransomware FileCoder, γνωστό και ως Patcher ή Findzip, είναι ένα διαβόητο παράδειγμα. Μόλις ενεργοποιηθεί, κρυπτογραφεί τα προσωπικά σας αρχεία και απαιτεί πληρωμή για την απελευθέρωσή τους. Δυστυχώς, ο κακός κώδικας του FileCoder σημαίνει ότι ακόμη και η πληρωμή δεν θα αποκαταστήσει τα δεδομένα σας, καθιστώντας απαραίτητες ισχυρές στρατηγικές πρόληψης.

Τι είναι το FileCoder Ransomware;

Το FileCoder είναι ένα ransomware κρυπτογράφησης αρχείων που στοχεύει συστήματα macOS. Συχνά μεταμφιέζεται σε εργαλείο ενημέρωσης κώδικα για δημοφιλές λογισμικό όπως το Adobe Premiere Pro CC και το Microsoft Office 2016. Οι ερευνητές το παρατήρησαν για πρώτη φορά μέσω πλατφορμών BitTorrent, καθιστώντας τους χρήστες που αναζητούν πειρατικό λογισμικό τα κύρια θύματά του.

Το κακόβουλο λογισμικό επηρεάζει κυρίως συστήματα που εκτελούν OS X 10.11.x (El Capitan) και macOS 10.12.x, αν και μπορούν επίσης να επηρεαστούν παλαιότερες και νεότερες εκδόσεις. Το εκτελέσιμο αρχείο του δεν είναι υπογεγραμμένο από την Apple, κάτι που θα πρέπει να χρησιμεύσει ως προειδοποιητικό σημάδι για τους προσεκτικούς χρήστες.

Πώς μολύνει το FileCoder συσκευές;

Η διαδικασία μόλυνσης ξεκινά όταν οι χρήστες κατεβάζουν αυτό που φαίνεται να είναι ένα «patcher» ή «cracker» για premium λογισμικό από ιστότοπους torrent. Μόλις ξεκινήσει, το ψεύτικο patcher εμφανίζει ένα παράθυρο προόδου με τρία βήματα, αλλά αυτό είναι απλώς μια απόσπαση της προσοχής. Η διαδικασία κρυπτογράφησης ξεκινά αμέσως μόλις ο χρήστης κάνει κλικ στο «ΕΝΑΡΞΗ». Μέχρι να εμφανιστεί το βήμα 2/3 στη διεπαφή, η ζημιά έχει ήδη γίνει.

Το FileCoder κρυπτογραφεί τα πάντα στον φάκελο Users, αφήνοντας ανέπαφα τα αρχεία συστήματος και εφαρμογών. Στοχεύονται επίσης οι εξωτερικοί δίσκοι και οι τόμοι δικτύου που είναι συνδεδεμένοι κατά τη στιγμή της εκτέλεσης. Το κακόβουλο λογισμικό δημιουργεί ένα τυχαίο κλειδί κρυπτογράφησης 25 χαρακτήρων τοπικά και διαγράφει τα αρχικά αρχεία χρησιμοποιώντας την εντολή rm. Προσπαθεί ακόμη και να διαγράψει τον ελεύθερο χώρο με το diskutil, αλλά αποτυγχάνει λόγω εσφαλμένης διαδρομής αρχείου, ένα σφάλμα που παρέχει ελάχιστες πιθανότητες μερικής ανάκτησης δεδομένων.

Τι συμβαίνει μετά την κρυπτογράφηση;

Μόλις ολοκληρωθεί η κρυπτογράφηση, η επιφάνεια εργασίας του χρήστη γεμίζει με σημειώσεις λύτρων όπως README.txt και DECRYPT!.txt. Τα θύματα λαμβάνουν οδηγίες να πληρώσουν 280 δολάρια σε Bitcoin για να ξεκλειδώσουν τα αρχεία τους εντός 24 ωρών ή 500 δολάρια για ταχύτερη αποκρυπτογράφηση. Ωστόσο, αυτή η απαίτηση είναι παραπλανητική, επειδή το FileCoder δεν έχει δυνατότητα επικοινωνίας με έναν διακομιστή εντολών και ελέγχου ή αποστολής κλειδιού αποκρυπτογράφησης. Με άλλα λόγια, η πληρωμή των λύτρων δεν θα αποκαταστήσει την πρόσβαση στα αρχεία σας.

Επιπλέον, το ransomware αλλάζει την ημερομηνία τροποποίησης των κρυπτογραφημένων αρχείων σε 13 Φεβρουαρίου 2010 για άγνωστους λόγους. Μια επανεκκίνηση του συστήματος εμφανίζει μια οθόνη «Σύνδεση στο iCloud», καθώς οι προτιμήσεις και οι ρυθμίσεις του χρήστη κρυπτογραφούνται μαζί με τα δεδομένα.

Αδυναμίες και επιλογές ανάκαμψης

Παρά τις καταστροφικές του δυνατότητες, το FileCoder έχει αρκετά ελαττώματα:

• Κρυπτογραφεί τα αρχεία αργά, διαρκώντας περίπου 30 δευτερόλεπτα για ένα αρχείο βίντεο 250 MB. Μια γρήγορη ενέργεια μπορεί να σταματήσει την κρυπτογράφηση.
• Ο τερματισμός της εφαρμογής κατά τη διάρκεια της διαδικασίας διακόπτει την περαιτέρω κρυπτογράφηση αρχείων.
• Η εσφαλμένη διαδρομή diskutil αποτρέπει την πλήρη ασφαλή διαγραφή, προσφέροντας ένα παράθυρο για μερική ανάκτηση χρησιμοποιώντας εργαλεία όπως το Data Rescue.

Οι ερευνητές έχουν επίσης αναπτύξει μια μέθοδο για την αποκρυπτογράφηση αρχείων κρυπτογραφημένων με FileCoder. Αυτή η διαδικασία είναι κουραστική και απαιτεί τεχνικές γνώσεις, αλλά προσφέρει την έσχατη λύση για τα θύματα.

Για να επιχειρήσουν την ανάκτηση αρχείων, τα θύματα χρειάζονται αρκετούς πόρους: έναν δεύτερο λειτουργικό υπολογιστή, ένα μη κρυπτογραφημένο αντίγραφο τουλάχιστον ενός από τα κρυπτογραφημένα αρχεία, ένα αξιόπιστο πρόγραμμα επεξεργασίας κειμένου, τα εργαλεία γραμμής εντολών Xcode και το pkcrack, ένα βοηθητικό πρόγραμμα που εκτελεί μια επίθεση γνωστού απλού κειμένου στην κρυπτογράφηση αρχείων ZIP.

Ωστόσο, η κατοχή μιας πρωτότυπης, μη κρυπτογραφημένης έκδοσης ενός αρχείου δεν είναι πάντα υποχρεωτική. Εάν δεν υπάρχει διαθέσιμο τέτοιο αρχείο, οι χρήστες ενδέχεται να εκμεταλλευτούν το ransomware εναντίον του εαυτού του. Σε περιπτώσεις όπου η εφαρμογή FileCoder εκτελέστηκε από τον φάκελο χρήστη, όπως τον κατάλογο Downloads, το κακόβουλο λογισμικό πιθανότατα κρυπτογράφησε το δικό του εκτελέσιμο αρχείο. Τα θύματα μπορούν να κατεβάσουν ένα νέο αντίγραφο της μολυσμένης εφαρμογής για να βοηθήσουν στη διαδικασία αποκρυπτογράφησης.

Οι ερευνητές προειδοποιούν ότι αυτή η μέθοδος είναι αργή και χρονοβόρα, καθώς η μαζική αποκρυπτογράφηση δεν είναι δυνατή. Παρ 'όλα αυτά, για όσους είναι αποφασισμένοι να ανακτήσουν την πρόσβαση στα δεδομένα τους, αυτή η προσέγγιση παρέχει μια βιώσιμη έσχατη λύση.

Αποδεδειγμένες πρακτικές ασφαλείας για την πρόληψη μολύνσεων

Η πρόληψη μολύνσεων από ransomware όπως το FileCoder είναι πολύ πιο εύκολη από την αποκατάσταση από αυτές. Ακολουθήστε αυτά τα μέτρα ασφαλείας για να προστατεύσετε το σύστημά σας:

1. Ασφαλείς συνήθειες χρήσης υπολογιστών

• Αποφύγετε τη λήψη λογισμικού ή ενημερώσεων κώδικα από ιστότοπους torrent ή άλλες μη επαληθευμένες πηγές.
• Να ελέγχετε πάντα τις υπογραφές των εφαρμογών και να εγκαθιστάτε μόνο εφαρμογές από αξιόπιστους προγραμματιστές ή το επίσημο Mac App Store.
• Μείνετε ενημερωμένοι για τις τελευταίες απειλές και προειδοποιήσεις ασφαλείας.

2. Ισχυρή προστασία συστήματος

• Ενεργοποιήστε μια αξιόπιστη λύση κατά του κακόβουλου λογισμικού και διατηρήστε την ενημερωμένη.

Συνδυάζοντας αυτές τις πρακτικές, μειώνετε σημαντικά την έκθεσή σας σε απειλές ransomware και διασφαλίζετε ότι ακόμη και στα χειρότερα σενάρια, τα δεδομένα σας παραμένουν ασφαλή και ανακτήσιμα.