قیمت چند مجوز تخفیف
پایگاه داده تهدید باج افزار باج‌افزار macOS FileCoder

باج‌افزار macOS FileCoder

تا Mezo در باج افزار
ترجمه به:

مجرمان سایبری دائماً در حال توسعه روش‌های جدید برای سوءاستفاده از کاربران ناآگاه هستند و باج‌افزار همچنان یکی از مخرب‌ترین تهدیدات است. در میان کاربران macOS، باج‌افزار FileCoder که با نام‌های Patcher یا Findzip نیز شناخته می‌شود، نمونه‌ای بدنام از این نوع باج‌افزار است. پس از فعال شدن، فایل‌های شخصی شما را رمزگذاری کرده و برای آزادسازی آنها درخواست پرداخت وجه می‌کند. متأسفانه، کدنویسی ضعیف FileCoder به این معنی است که حتی پرداخت وجه نیز داده‌های شما را بازیابی نمی‌کند، و همین امر استراتژی‌های پیشگیری قوی را ضروری می‌کند.

باج‌افزار FileCoder چیست؟

FileCoder یک باج‌افزار رمزگذاری فایل است که سیستم‌های macOS را هدف قرار می‌دهد. این باج‌افزار اغلب خود را به عنوان ابزاری برای وصله‌گذاری نرم‌افزارهای محبوب مانند Adobe Premiere Pro CC و Microsoft Office 2016 پنهان می‌کند. محققان ابتدا مشاهده کردند که این باج‌افزار از طریق پلتفرم‌های BitTorrent پخش می‌شود و کاربرانی را که به دنبال نرم‌افزارهای غیرقانونی هستند، قربانیان اصلی خود قرار می‌دهد.

این بدافزار در درجه اول سیستم‌هایی را که OS X 10.11.x (El Capitan) و macOS 10.12.x را اجرا می‌کنند، تحت تأثیر قرار می‌دهد، اگرچه نسخه‌های قدیمی‌تر و جدیدتر نیز می‌توانند تحت تأثیر قرار گیرند. فایل اجرایی آن توسط اپل امضا نشده است، که باید به عنوان یک هشدار برای کاربران محتاط باشد.

FileCoder چگونه دستگاه‌ها را آلوده می‌کند؟

فرآیند آلوده‌سازی زمانی شروع می‌شود که کاربران چیزی شبیه به «پچر» یا «کرکر» برای نرم‌افزارهای پریمیوم را از سایت‌های تورنت دانلود می‌کنند. پس از اجرا، پچر جعلی یک پنجره‌ی پیشرفت با سه مرحله نمایش می‌دهد، اما این صرفاً یک حواس‌پرتی است. فرآیند رمزگذاری بلافاصله پس از کلیک کاربر روی «شروع» آغاز می‌شود. زمانی که رابط مرحله‌ی ۲/۳ را نمایش می‌دهد، آسیب از قبل وارد شده است.

FileCoder همه چیز را در پوشه Users رمزگذاری می‌کند و فایل‌های سیستمی و برنامه‌ها را دست‌نخورده باقی می‌گذارد. درایوهای خارجی و ولوم‌های شبکه متصل در زمان اجرا نیز هدف قرار می‌گیرند. این بدافزار یک کلید رمزگذاری تصادفی ۲۵ کاراکتری را به صورت محلی تولید می‌کند و فایل‌های اصلی را با استفاده از دستور rm حذف می‌کند. حتی سعی می‌کند فضای خالی را با diskutil پاک کند، اما به دلیل مسیر نادرست فایل، که شانس کمی برای بازیابی جزئی داده‌ها فراهم می‌کند، شکست می‌خورد.

بعد از رمزگذاری چه اتفاقی می‌افتد؟

پس از اتمام رمزگذاری، دسکتاپ کاربر پر از یادداشت‌های باج‌خواهی مانند README.txt و DECRYPT!.txt می‌شود. به قربانیان دستور داده می‌شود که برای باز کردن قفل فایل‌های خود ظرف ۲۴ ساعت ۲۸۰ دلار به صورت بیت‌کوین یا برای رمزگشایی سریع‌تر ۵۰۰ دلار بپردازند. با این حال، این درخواست فریبنده است زیرا FileCoder هیچ قابلیتی برای برقراری ارتباط با سرور فرمان و کنترل یا ارسال کلید رمزگشایی ندارد. به عبارت دیگر، پرداخت باج، دسترسی به فایل‌های شما را بازیابی نمی‌کند.

علاوه بر این، این باج‌افزار به دلایل نامعلومی تاریخ تغییر فایل‌های رمزگذاری شده را به ۱۳ فوریه ۲۰۱۰ تغییر می‌دهد. با راه‌اندازی مجدد سیستم، صفحه «ورود به iCloud» نمایش داده می‌شود، زیرا تنظیمات و ترجیحات کاربر به همراه داده‌ها رمزگذاری می‌شوند.

نقاط ضعف و گزینه‌های بازیابی

علیرغم پتانسیل مخرب، FileCoder دارای چندین نقص است:

  • این بدافزار فایل‌ها را به آرامی رمزگذاری می‌کند و برای یک فایل ویدیویی ۲۵۰ مگابایتی حدود ۳۰ ثانیه طول می‌کشد. اقدام سریع می‌تواند رمزگذاری را متوقف کند.
  • بستن برنامه در اواسط فرآیند، رمزگذاری بیشتر فایل را متوقف می‌کند.
  • مسیر نادرست diskutil از پاک‌سازی کامل و ایمن اطلاعات جلوگیری می‌کند و پنجره‌ای برای بازیابی جزئی با استفاده از ابزارهایی مانند Data Rescue ارائه می‌دهد.

محققان همچنین روشی برای رمزگشایی فایل‌های رمزگذاری‌شده توسط FileCoder توسعه داده‌اند. این فرآیند خسته‌کننده است و نیاز به دانش فنی دارد، اما آخرین راه چاره برای قربانیان است.

برای تلاش برای بازیابی فایل، قربانیان به چندین منبع نیاز دارند: یک کامپیوتر دوم فعال، یک کپی رمزگذاری نشده از حداقل یکی از فایل‌های رمزگذاری شده، یک ویرایشگر متن قابل اعتماد، ابزارهای خط فرمان Xcode و pkcrack، ابزاری که یک حمله متن ساده شناخته شده را روی رمزگذاری فایل ZIP انجام می‌دهد.

با این حال، داشتن یک نسخه اصلی و رمزگذاری نشده از یک فایل همیشه اجباری نیست. اگر چنین فایلی در دسترس نباشد، کاربران ممکن است از باج‌افزار علیه خودش استفاده کنند. در مواردی که برنامه FileCoder از داخل پوشه کاربر، مانند پوشه دانلودها، اجرا شده باشد، بدافزار احتمالاً فایل اجرایی خود را رمزگذاری کرده است. قربانیان می‌توانند یک نسخه جدید از برنامه آلوده را برای کمک به فرآیند رمزگشایی دانلود کنند.

محققان هشدار می‌دهند که این روش کند و پرزحمت است، زیرا رمزگشایی انبوه امکان‌پذیر نیست. با این وجود، برای کسانی که مصمم به دسترسی مجدد به داده‌های خود هستند، این رویکرد آخرین راه حل مناسب را ارائه می‌دهد.

روش‌های امنیتی اثبات‌شده برای جلوگیری از آلودگی

جلوگیری از آلودگی به باج‌افزارهایی مانند FileCoder بسیار آسان‌تر از بازیابی اطلاعات از آن‌ها است. برای محافظت از سیستم خود، این اقدامات امنیتی را دنبال کنید:

۱. عادات محاسباتی ایمن

  • از دانلود نرم‌افزار یا وصله‌های امنیتی از سایت‌های تورنت یا سایر منابع تأیید نشده خودداری کنید.
  • همیشه امضاهای برنامه‌ها را بررسی کنید و فقط برنامه‌هایی را نصب کنید که از توسعه‌دهندگان معتبر یا فروشگاه رسمی برنامه مک باشند.
  • از آخرین تهدیدات و توصیه‌های امنیتی مطلع باشید.
  1. محافظت قوی از سیستم
  • یک راهکار ضد بدافزار معتبر را فعال کنید و آن را به‌روز نگه دارید.
  • مرتباً از فایل‌های مهم خود با استفاده از Time Machine یا یک سرویس پشتیبان‌گیری مبتنی بر ابر، نسخه پشتیبان تهیه کنید. نسخه‌های پشتیبان را به‌صورت آفلاین یا در مکانی امن که دائماً به سیستم شما متصل نیست، ذخیره کنید.
  • macOS و تمام نرم‌افزارهای نصب‌شده را با آخرین وصله‌های امنیتی به‌روز نگه دارید.

    • با ترکیب این شیوه‌ها، شما به طور قابل توجهی میزان مواجهه خود را با تهدیدات باج‌افزاری کاهش می‌دهید و اطمینان حاصل می‌کنید که حتی در بدترین حالت، داده‌های شما ایمن و قابل بازیابی باقی می‌مانند.

    پیام ها

    پیام های زیر مرتبط با باج‌افزار macOS FileCoder یافت شد:

    NOT YOUR LANGUAGE? USE https://translate.google.com

    What happened to your files ?
    All of your files were protected by a strong encryption method.

    What do I do ?

    So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
    If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT

    FOLLOW THESE STEPS:
    1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
    2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
    3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
    4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)

    KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME!

    پرطرفدار

    رمز عبور حساب کاربری قدیمی است، کلاهبرداری ایمیلی

    فیشینگ, هرزنامه
    کلاهبرداران همچنان به ایجاد کمپین‌های ایمیل فریبنده برای فریب کاربران ناآگاه و وادار کردن آنها به افشای اطلاعات حساس ادامه می‌دهند. یکی از این کلاهبرداری‌ها که در حال حاضر در حال انجام است، کلاهبرداری ایمیلی «هشدار امنیتی فوری» است، به طور خاص تحت پوشش پیامی با عنوان «رمز عبور حساب قدیمی است». با وجود اینکه در نگاه اول قانونی به نظر می‌رسند، اما جعلی هستند و تهدیدی جدی برای حریم خصوصی و امنیت...

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    35,753
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...