Ransomware FileCoder per macOS

I criminali informatici sviluppano costantemente nuovi modi per sfruttare utenti ignari e il ransomware rimane una delle minacce più dannose. Tra gli utenti macOS, il ransomware FileCoder, noto anche come Patcher o Findzip, è un esempio noto. Una volta attivato, crittografa i file personali e richiede un pagamento per il loro rilascio. Purtroppo, la scarsa programmazione di FileCoder fa sì che anche il pagamento non sia sufficiente per ripristinare i dati, rendendo essenziali solide strategie di prevenzione.

Che cos’è il ransomware FileCoder?

FileCoder è un ransomware che crittografa i file e prende di mira i sistemi macOS. Spesso si maschera da strumento di patching per software popolari come Adobe Premiere Pro CC e Microsoft Office 2016. I ricercatori ne hanno inizialmente osservato la diffusione attraverso le piattaforme BitTorrent, rendendo le vittime principali gli utenti alla ricerca di software pirata.

Il malware colpisce principalmente i sistemi con OS X 10.11.x (El Capitan) e macOS 10.12.x, ma possono essere interessate anche versioni precedenti e più recenti. Il suo eseguibile non è firmato da Apple, il che dovrebbe essere un campanello d'allarme per gli utenti prudenti.

In che modo FileCoder infetta i dispositivi?

Il processo di infezione inizia quando gli utenti scaricano quello che sembra essere un "patcher" o un "cracker" per software premium da siti torrent. Una volta avviato, il finto patcher mostra una finestra di avanzamento con tre passaggi, ma questa è solo una distrazione. Il processo di crittografia inizia subito dopo che l'utente clicca su "START". Quando l'interfaccia visualizza il passaggio 2/3, il danno è già fatto.

FileCoder crittografa tutto ciò che si trova nella cartella Utenti, lasciando intatti i file di sistema e delle applicazioni. Vengono presi di mira anche le unità esterne e i volumi di rete connessi al momento dell'esecuzione. Il malware genera localmente una chiave di crittografia casuale di 25 caratteri ed elimina i file originali utilizzando il comando rm. Tenta persino di cancellare lo spazio libero con diskutil, ma fallisce a causa di un percorso file errato, un errore che offre scarse possibilità di recupero parziale dei dati.

Cosa succede dopo la crittografia?

Una volta completata la crittografia, il desktop dell'utente si riempie di richieste di riscatto come README.txt e DECRYPT!.txt. Alle vittime viene chiesto di pagare 280 dollari in Bitcoin per sbloccare i file entro 24 ore o 500 dollari per una decrittazione più rapida. Tuttavia, questa richiesta è ingannevole perché FileCoder non è in grado di comunicare con un server di comando e controllo né di inviare una chiave di decrittazione. In altre parole, pagare il riscatto non ripristinerà l'accesso ai file.

Inoltre, il ransomware modifica la data di modifica dei file crittografati al 13 febbraio 2010 per motivi sconosciuti. Al riavvio del sistema, viene visualizzata la schermata "Accedi a iCloud", poiché le preferenze e le impostazioni dell'utente vengono crittografate insieme ai dati.

Debolezze e opzioni di recupero

Nonostante il suo potenziale distruttivo, FileCoder contiene diversi difetti:

• Crittografa i file lentamente, impiegando circa 30 secondi per un file video da 250 MB. Un intervento rapido può interrompere la crittografia.
• Se si esce dall'applicazione a metà processo, si interrompe l'ulteriore crittografia dei file.
• Un percorso diskutil errato impedisce la cancellazione sicura e completa, offrendo una finestra per un ripristino parziale mediante strumenti come Data Rescue.

I ricercatori hanno anche sviluppato un metodo per decifrare i file crittografati con FileCoder. Questo processo è noioso e richiede competenze tecniche, ma offre un'ultima spiaggia alle vittime.

Per tentare di recuperare un file, le vittime hanno bisogno di diverse risorse: un secondo computer funzionante, una copia non crittografata di almeno uno dei file crittografati, un editor di testo affidabile, gli strumenti da riga di comando di Xcode e pkcrack, un'utilità che esegue un attacco con testo in chiaro noto sulla crittografia dei file ZIP.

Tuttavia, disporre di una versione originale e non crittografata di un file non è sempre obbligatorio. Se tale file non è disponibile, gli utenti potrebbero sfruttare il ransomware contro se stesso. Nei casi in cui l'app FileCoder è stata eseguita dalla cartella utente, come la directory Download, è probabile che il malware abbia crittografato il proprio eseguibile. Le vittime possono scaricare una nuova copia dell'applicazione infetta per facilitare il processo di decifratura.

I ricercatori avvertono che questo metodo è lento e laborioso, poiché non è possibile una decrittazione in blocco. Ciononostante, per coloro che sono determinati a recuperare l'accesso ai propri dati, questo approccio rappresenta un'ultima risorsa valida.

Pratiche di sicurezza comprovate per prevenire le infezioni

Prevenire infezioni da ransomware come FileCoder è molto più facile che guarire. Segui queste misure di sicurezza per proteggere il tuo sistema:

1. Abitudini informatiche sicure

• Evita di scaricare software o patch da siti torrent o altre fonti non verificate.
• Controlla sempre le firme delle applicazioni e installa solo app provenienti da sviluppatori attendibili o dal Mac App Store ufficiale.
• Rimani informato sulle ultime minacce e sugli avvisi di sicurezza.

2. Forte protezione del sistema

• Attivare una soluzione antimalware affidabile e mantenerla aggiornata.

• Esegui regolarmente il backup dei file importanti utilizzando Time Machine o un servizio di backup basato su cloud. Conserva i backup offline o in un luogo sicuro non costantemente connesso al sistema.

• Mantieni macOS e tutti i software installati aggiornati con le ultime patch di sicurezza.

Combinando queste pratiche, puoi ridurre significativamente l'esposizione alle minacce ransomware e garantire che i tuoi dati rimangano al sicuro e recuperabili, anche negli scenari peggiori.