FileCoder ransomware za macOS

Kibernetički kriminalci neprestano razvijaju nove načine iskorištavanja nesumnjivih korisnika, a ransomware ostaje jedna od najštetnijih prijetnji. Među korisnicima macOS-a, ransomware FileCoder, poznat i kao Patcher ili Findzip, zloglasni je primjer. Nakon što se aktivira, šifrira vaše osobne datoteke i zahtijeva plaćanje za njihovo objavljivanje. Nažalost, loš kod FileCodera znači da čak ni plaćanje neće vratiti vaše podatke, što čini snažne strategije prevencije ključnima.

Što je FileCoder ransomware?

FileCoder je ransomware za šifriranje datoteka koji cilja macOS sustave. Često se maskira kao alat za zakrpe za popularni softver poput Adobe Premiere Pro CC i Microsoft Office 2016. Istraživači su prvo primijetili njegovo širenje putem BitTorrent platformi, što je korisnike koji traže piratski softver učinilo njegovim primarnim žrtvama.

Zlonamjerni softver prvenstveno utječe na sustave s operativnim sustavima OS X 10.11.x (El Capitan) i macOS 10.12.x, iako mogu biti pogođene i starije i novije verzije. Njegov izvršni program nije potpisan od strane Applea, što bi trebalo poslužiti kao upozorenje opreznim korisnicima.

Kako FileCoder inficira uređaje?

Proces zaraze započinje kada korisnici preuzmu nešto što izgleda kao 'patcher' ili 'cracker' za premium softver s torrent stranica. Nakon pokretanja, lažni patcher prikazuje prozor napretka s tri koraka, ali to je samo distrakcija. Proces šifriranja započinje odmah nakon što korisnik klikne 'START'. Dok sučelje prikaže korak 2/3, šteta je već učinjena.

FileCoder šifrira sve u mapi Korisnici, ostavljajući sistemske i aplikacijske datoteke netaknutima. Vanjski pogoni i mrežni volumeni spojeni u trenutku izvršavanja također su meta. Zlonamjerni softver lokalno generira 25-znakovni nasumični ključ za šifriranje i briše izvorne datoteke pomoću naredbe rm. Čak pokušava obrisati slobodan prostor pomoću diskutila, ali ne uspijeva zbog netočne putanje datoteke, pogreške koja pruža malu šansu za djelomični oporavak podataka.

Što se događa nakon šifriranja?

Nakon što je enkripcija dovršena, korisnikova radna površina ispunjava se porukama o otkupnini poput README.txt i DECRYPT!.txt. Žrtve dobivaju upute da plate 280 dolara u Bitcoinu kako bi otključale svoje datoteke u roku od 24 sata ili 500 dolara za brže dešifriranje. Međutim, ovaj zahtjev je prijevaran jer FileCoder nema mogućnost komunikacije s poslužiteljem za upravljanje i kontrolu ili slanja ključa za dešifriranje. Drugim riječima, plaćanje otkupnine neće vratiti pristup vašim datotekama.

Osim toga, ransomware mijenja datum izmjene šifriranih datoteka na 13. veljače 2010. iz nepoznatih razloga. Ponovno pokretanje sustava prikazuje zaslon 'Prijava na iCloud', jer se korisničke postavke šifriraju zajedno s podacima.

Slabosti i mogućnosti oporavka

Unatoč svom destruktivnom potencijalu, FileCoder ima nekoliko nedostataka:

• Šifrira datoteke polako, potrebno je oko 30 sekundi za video datoteku od 250 MB. Brza radnja može zaustaviti šifriranje.
• Zatvaranje aplikacije usred procesa zaustavlja daljnje šifriranje datoteka.
• Neispravna putanja diskutila sprječava potpuno sigurno brisanje, nudeći prozor za djelomični oporavak pomoću alata poput Data Rescue.

Istraživači su također razvili metodu za dešifriranje datoteka šifriranih FileCoderom. Ovaj proces je mukotrpan i zahtijeva tehničko znanje, ali žrtvama nudi krajnje rješenje.

Za pokušaj oporavka datoteke, žrtvama je potrebno nekoliko resursa: drugo radno računalo, nešifrirana kopija barem jedne od šifriranih datoteka, pouzdan uređivač teksta, alati naredbenog retka Xcode i pkcrack, uslužni program koji izvodi napad poznatim čistim tekstom na šifriranje ZIP datoteka.

Međutim, posjedovanje originalne, nešifrirane verzije datoteke nije uvijek obavezno. Ako takva datoteka nije dostupna, korisnici mogu iskoristiti ransomware protiv sebe samog. U slučajevima kada je aplikacija FileCoder pokrenuta iz korisničke mape, kao što je direktorij Preuzimanja, zlonamjerni softver je vjerojatno šifrirao vlastitu izvršnu datoteku. Žrtve mogu preuzeti novu kopiju zaražene aplikacije kako bi pomogle u procesu dešifriranja.

Istraživači upozoravaju da je ova metoda spora i zahtjevna za rad, jer masovno dešifriranje nije moguće. Ipak, za one koji su odlučni ponovno dobiti pristup svojim podacima, ovaj pristup pruža održivu krajnju opciju.

Dokazane sigurnosne prakse za sprječavanje zaraze

Sprječavanje ransomware infekcija poput FileCodera puno je lakše nego oporavak od njih. Slijedite ove sigurnosne mjere kako biste zaštitili svoj sustav:

1. Sigurne računalne navike

• Izbjegavajte preuzimanje softvera ili zakrpa s torrent stranica ili drugih neprovjerenih izvora.
• Uvijek provjeravajte potpise aplikacija i instalirajte samo aplikacije od pouzdanih programera ili službene Mac App Store trgovine.
• Budite informirani o najnovijim prijetnjama i sigurnosnim savjetima.

2. Snažna zaštita sustava

• Omogućite pouzdano rješenje protiv zlonamjernog softvera i redovito ga ažurirajte.

• Redovito izrađujte sigurnosne kopije važnih datoteka pomoću Time Machinea ili usluge sigurnosnog kopiranja u oblaku. Sigurnosne kopije pohranite izvan mreže ili na sigurno mjesto koje nije stalno povezano s vašim sustavom.

• Redovito ažurirajte macOS i sav instalirani softver najnovijim sigurnosnim zakrpama.

Kombiniranjem ovih praksi značajno smanjujete izloženost prijetnjama ransomwarea i osiguravate da čak i u najgorim scenarijima vaši podaci ostanu sigurni i da se mogu oporaviti.