FileCoder macOS-i lunavara

Küberkurjategijad arendavad pidevalt uusi viise pahaaimamatute kasutajate ärakasutamiseks ja lunavara on endiselt üks kahjulikumaid ohte. macOS-i kasutajate seas on kurikuulus näide lunavara FileCoder, tuntud ka kui Patcher või Findzip. Pärast aktiveerimist krüpteerib see teie isiklikud failid ja nõuab nende vabastamise eest tasu. Kahjuks tähendab FileCoderi kehv kodeering seda, et isegi maksmine ei taasta teie andmeid, mistõttu on tugevad ennetusstrateegiad hädavajalikud.

Mis on FileCoderi lunavara?

FileCoder on faile krüpteeriv lunavara, mis on suunatud macOS-süsteemidele. See maskeerib end sageli populaarse tarkvara, näiteks Adobe Premiere Pro CC ja Microsoft Office 2016, parandustööriistana. Teadlased täheldasid selle levikut esmakordselt BitTorrenti platvormide kaudu, muutes selle peamisteks ohvriteks piraattarkvara otsivad kasutajad.

Pahavara mõjutab peamiselt OS X 10.11.x (El Capitan) ja macOS 10.12.x süsteeme, kuigi see võib mõjutada ka vanemaid ja uuemaid versioone. Selle käivitatavat faili ei ole Apple'i poolt allkirjastatud, mis peaks olema ettevaatlikele kasutajatele ohumärgiks.

Kuidas FileCoder seadmeid nakatab?

Nakatumisprotsess algab siis, kui kasutajad laadivad torrentisaitidelt alla näilise premium-tarkvara „parandaja“ või „krakkeri“. Pärast käivitamist kuvab võltsparandaja kolmeastmelise edenemisakna, kuid see on vaid tähelepanu kõrvalejuhtimine. Krüpteerimisprotsess algab kohe pärast seda, kui kasutaja klõpsab nupul „START“. Selleks ajaks, kui liides kuvab 2./3. sammu, on kahju juba tehtud.

FileCoder krüpteerib kõik Kasutajate kaustas olevad failid, jättes süsteemi- ja rakenduste failid puutumata. Samuti on sihikule võetud välised draivid ja võrgukettad, mis on käivitamise ajal ühendatud. Pahavara genereerib lokaalselt 25-tähemärgilise juhusliku krüpteerimisvõtme ja kustutab algsed failid käsuga rm. See proovib isegi diskutil abil vaba ruumi kustutada, kuid ebaõnnestub vale failitee tõttu – viga, mis annab osalise andmete taastamise võimaluse väikese.

Mis juhtub pärast krüpteerimist?

Kui krüpteerimine on lõppenud, täitub kasutaja töölaud lunaraha nõudvate teadetega, näiteks README.txt ja DECRYPT!.txt. Ohvritele antakse juhised maksta 280 dollarit Bitcoinides, et oma failid 24 tunni jooksul avada, või 500 dollarit kiirema dekrüpteerimise eest. See nõudmine on aga petlik, kuna FileCoderil puudub võime suhelda käsu- ja kontrollserveriga ega saata dekrüpteerimisvõtit. Teisisõnu, lunaraha maksmine ei taasta juurdepääsu teie failidele.

Lisaks muudab lunavara krüpteeritud failide muutmise kuupäeva teadmata põhjusel 13. veebruarile 2010. Süsteemi taaskäivitamisel kuvatakse ekraan „Logi sisse iCloudi”, kuna kasutaja eelistused ja sätted krüpteeritakse koos andmetega.

Nõrkused ja taastumisvõimalused

Vaatamata oma hävitavale potentsiaalile on FileCoderil mitmeid vigu:

• See krüpteerib faile aeglaselt, 250 MB videofaili puhul kulub selleks umbes 30 sekundit. Kiire tegutsemine võib krüpteerimise peatada.
• Rakenduse keskel sulgemine peatab edasise failide krüptimise.
• Vale diskutil-tee takistab täielikku turvalist kustutamist, pakkudes akna osaliseks taastamiseks selliste tööriistade abil nagu Data Rescue.

Teadlased on välja töötanud ka meetodi FileCoderiga krüptitud failide dekrüpteerimiseks. See protsess on tüütu ja nõuab tehnilisi teadmisi, kuid pakub ohvritele viimast abinõu.

Failide taastamise proovimiseks vajavad ohvrid mitmeid ressursse: teist töötavat arvutit, vähemalt ühe krüptitud faili krüpteerimata koopiat, usaldusväärset tekstiredaktorit, Xcode'i käsurea tööriistu ja pkcracki, utiliiti, mis teostab ZIP-failide krüptimisele teadaoleva lihtteksti rünnaku.

Siiski pole faili originaalse, krüpteerimata versiooni omamine alati kohustuslik. Kui sellist faili pole saadaval, võivad kasutajad lunavara enda vastu ära kasutada. Juhtudel, kui FileCoderi rakendus käivitati kasutajakaustast, näiteks allalaadimiste kaustast, krüpteeris pahavara tõenäoliselt oma käivitatava faili. Ohvrid saavad dekrüpteerimisprotsessi abistamiseks alla laadida nakatunud rakenduse värske koopia.

Teadlased hoiatavad, et see meetod on aeglane ja töömahukas, kuna massiline dekrüpteerimine pole võimalik. Sellest hoolimata pakub see lähenemisviis neile, kes on kindlalt otsustanud oma andmetele juurdepääsu taastada, toimivat viimast abinõu.

Tõestatud turvapraktikad nakkuse vältimiseks

Lunavaranakkuste, näiteks FileCoderi, ennetamine on palju lihtsam kui neist taastumine. Järgige oma süsteemi kaitsmiseks neid turvameetmeid:

1. Ohutud arvutikasutusharjumused

• Väldi tarkvara või paranduste allalaadimist torrentisaitidelt või muudest kontrollimata allikatest.
• Kontrollige alati rakenduste signatuure ja installige rakendusi ainult usaldusväärsetelt arendajatelt või ametlikust Mac App Store'ist.
• Püsige kursis uusimate ohtude ja turvahoiatustega.

2. Tugev süsteemikaitse

• Lubage usaldusväärne pahavaratõrje lahendus ja hoidke seda ajakohasena.

• Varundage olulisi faile regulaarselt Time Machine'i või pilvepõhise varundusteenuse abil. Hoidke varukoopiaid võrguühenduseta või turvalises kohas, mis pole pidevalt teie süsteemiga ühendatud.

• Hoidke macOS ja kogu installitud tarkvara ajakohasena uusimate turvapaigaldustega.

Neid tavasid kombineerides vähendate oluliselt oma kokkupuudet lunavaraohtudega ja tagate, et isegi halvimal juhul jäävad teie andmed turvaliseks ja taastatavaks.