FileCoder macOS-kiristysohjelma

Kyberrikolliset kehittävät jatkuvasti uusia tapoja hyödyntää tietämättömiä käyttäjiä, ja kiristysohjelmat ovat edelleen yksi vahingollisimmista uhkista. macOS-käyttäjien keskuudessa FileCoder-kiristysohjelma, joka tunnetaan myös nimillä Patcher tai Findzip, on pahamaineinen esimerkki. Aktivoituessaan se salaa henkilökohtaiset tiedostosi ja vaatii maksua niiden vapauttamisesta. Valitettavasti FileCoderin huono koodaus tarkoittaa, että edes maksaminen ei palauta tietojasi, joten vahvat ehkäisystrategiat ovat välttämättömiä.

Mikä on FileCoder-kiristysohjelma?

FileCoder on tiedostoja salaava kiristyshaittaohjelma, joka kohdistuu macOS-järjestelmiin. Se naamioituu usein suosittujen ohjelmistojen, kuten Adobe Premiere Pro CC:n ja Microsoft Office 2016:n, korjaustyökaluksi. Tutkijat havaitsivat sen leviävän ensin BitTorrent-alustojen kautta, mikä teki sen ensisijaisiksi uhreiksi piraattiohjelmistoja etsivät käyttäjät.

Haittaohjelma vaikuttaa ensisijaisesti OS X 10.11.x (El Capitan)- ja macOS 10.12.x -käyttöjärjestelmiä käyttäviin järjestelmiin, vaikka myös vanhemmat ja uudemmat versiot voivat olla alttiita sille. Sen suoritettavaa tiedostoa ei ole Applen allekirjoittama, minkä pitäisi olla varoitusmerkki varovaisille käyttäjille.

Miten FileCoder tartuttaa laitteita?

Tartuntaprosessi alkaa, kun käyttäjät lataavat torrent-sivustoilta näennäisen "korjausohjelman" tai "krakkerin" premium-ohjelmistoille. Käynnistyksen jälkeen väärennetty korjausohjelma näyttää edistymisikkunan, jossa on kolme vaihetta, mutta tämä on vain häiriötekijä. Salausprosessi alkaa heti, kun käyttäjä napsauttaa "KÄYNNISTÄ"-painiketta. Siihen mennessä, kun käyttöliittymä näyttää vaiheen 2/3, vahinko on jo tapahtunut.

FileCoder salaa kaiken Käyttäjät-kansiossa olevan sisällön jättäen järjestelmä- ja sovellustiedostot koskemattomiksi. Myös suoritushetkellä kytkettyihin ulkoisiin asemiin ja verkkolevyihin kohdistuu hyökkäys. Haittaohjelma luo paikallisesti 25-merkkisen satunnaisen salausavaimen ja poistaa alkuperäiset tiedostot rm-komennolla. Se jopa yrittää tyhjentää vapaata tilaa diskutil-komennolla, mutta epäonnistuu väärän tiedostopolun vuoksi. Tämä virhe antaa vain pienen mahdollisuuden osittaiseen tietojen palautukseen.

Mitä tapahtuu salauksen jälkeen?

Kun salaus on valmis, käyttäjän työpöytä täyttyy lunnasvaatimuksista, kuten README.txt ja DECRYPT!.txt. Uhreja ohjeistetaan maksamaan 280 dollaria Bitcoineina tiedostojensa lukituksen avaamiseksi 24 tunnin kuluessa tai 500 dollaria nopeammasta salauksen purkamisesta. Tämä vaatimus on kuitenkin harhaanjohtava, koska FileCoderilla ei ole kykyä kommunikoida komento- ja hallintapalvelimen kanssa tai lähettää salauksenpurkuavainta. Toisin sanoen lunnaiden maksaminen ei palauta tiedostojen käyttöoikeutta.

Lisäksi kiristyshaittaohjelma muuttaa salattujen tiedostojen muokkauspäivämäärän tuntemattomasta syystä 13. helmikuuta 2010. Järjestelmän uudelleenkäynnistys näyttää "Kirjaudu iCloudiin" -näytön, koska käyttäjän asetukset salataan tietojen mukana.

Heikkoudet ja toipumisvaihtoehdot

Tuhoavasta potentiaalistaan huolimatta FileCoderissa on useita puutteita:

• Se salaa tiedostot hitaasti, noin 30 sekuntia 250 Mt:n videotiedostolle. Nopeat toimet voivat pysäyttää salauksen.
• Sovelluksen sulkeminen kesken prosessin pysäyttää tiedostojen lisäsalauksen.
• Väärä diskutil-polku estää täydellisen turvallisen pyyhkimisen ja tarjoaa mahdollisuuden osittaiseen palautukseen esimerkiksi Data Rescuen kaltaisilla työkaluilla.

Tutkijat ovat myös kehittäneet menetelmän FileCoderilla salattujen tiedostojen salauksen purkamiseen. Tämä prosessi on työläs ja vaatii teknistä tietämystä, mutta se tarjoaa uhreille viimeisen keinon.

Tiedostojen palauttamisen yrittämiseksi uhrit tarvitsevat useita resursseja: toisen toimivan tietokoneen, salaamattoman kopion ainakin yhdestä salatusta tiedostosta, luotettavan tekstieditorin, Xcoden komentorivityökalut ja pkcrackin, apuohjelman, joka suorittaa tunnetun selkotekstihyökkäyksen ZIP-tiedostojen salausta vastaan.

Alkuperäisen, salaamattoman tiedostoversion olemassaolo ei kuitenkaan ole aina välttämätöntä. Jos tällaista tiedostoa ei ole saatavilla, käyttäjät saattavat hyödyntää kiristysohjelmaa itseään vastaan. Tapauksissa, joissa FileCoder-sovellus suoritettiin käyttäjän kansiosta, kuten Lataukset-hakemistosta, haittaohjelma todennäköisesti salasi oman suoritettavan tiedostonsa. Uhrit voivat ladata tartunnan saaneen sovelluksen uuden kopion salauksen purkamisen helpottamiseksi.

Tutkijat varoittavat, että tämä menetelmä on hidas ja työläs, koska joukkosalauksen purkaminen ei ole mahdollista. Niille, jotka haluavat saada tietonsa takaisin, tämä lähestymistapa tarjoaa kuitenkin käyttökelpoisen viimeisen keinon.

Todistetut turvallisuuskäytännöt tartuntojen estämiseksi

Kiristyshaittaohjelmien, kuten FileCoderin, estäminen on paljon helpompaa kuin niistä toipuminen. Noudata näitä turvatoimia järjestelmän suojaamiseksi:

1. Turvalliset tietokonetottumukset

• Vältä ohjelmistojen tai korjaustiedostojen lataamista torrent-sivustoilta tai muista vahvistamattomista lähteistä.
• Tarkista aina sovellusten allekirjoitukset ja asenna sovelluksia vain luotettavilta kehittäjiltä tai viralliselta Mac App Storesta.
• Pysy ajan tasalla uusimmista uhkista ja tietoturvatiedotteista.

2. Vahva järjestelmän suojaus

• Ota käyttöön hyvämaineinen haittaohjelmien torjuntaratkaisu ja pidä se ajan tasalla.

• Varmuuskopioi tärkeät tiedostot säännöllisesti Time Machinen tai pilvipohjaisen varmuuskopiointipalvelun avulla. Säilytä varmuuskopiot offline-tilassa tai turvallisessa paikassa, joka ei ole jatkuvasti yhteydessä järjestelmääsi.

• Pidä macOS ja kaikki asennetut ohjelmistot ajan tasalla uusimmilla tietoturvakorjauksilla.

Yhdistämällä näitä käytäntöjä vähennät merkittävästi altistumistasi kiristyshaittaohjelmien uhkille ja varmistat, että tietosi pysyvät turvassa ja palautettavissa jopa pahimmassa tapauksessa.