„FileCoder“ macOS išpirkos reikalaujanti programa

Kibernetiniai nusikaltėliai nuolat kuria naujus būdus, kaip išnaudoti nieko neįtariančius vartotojus, o išpirkos reikalaujanti programinė įranga išlieka viena iš žalingiausių grėsmių. Tarp „macOS“ vartotojų liūdnai pagarsėjęs pavyzdys yra išpirkos reikalaujanti programinė įranga „FileCoder“, dar žinoma kaip „Patcher“ arba „Findzip“. Aktyvuota ji užšifruoja jūsų asmeninius failus ir reikalauja mokėjimo už jų išlaisvinimą. Deja, dėl prasto „FileCoder“ kodavimo net ir sumokėjus nebus atkurti jūsų duomenys, todėl būtinos griežtos prevencijos strategijos.

Kas yra „FileCoder“ išpirkos reikalaujanti programa?

„FileCoder“ yra failus šifruojanti išpirkos reikalaujanti programa, skirta „macOS“ sistemoms. Ji dažnai maskuojasi kaip populiarios programinės įrangos, tokios kaip „Adobe Premiere Pro CC“ ir „Microsoft Office 2016“, pataisų įrankis. Tyrėjai pirmą kartą pastebėjo, kad ji plinta per „BitTorrent“ platformas, todėl pagrindinės jos aukos buvo piratinės programinės įrangos ieškantys vartotojai.

Kenkėjiška programa daugiausia paveikia sistemas, kuriose veikia OS X 10.11.x (El Capitan) ir macOS 10.12.x, nors gali būti paveiktos ir senesnės, ir naujesnės versijos. Jos vykdomasis failas nėra pasirašytas „Apple“, o tai turėtų būti įspėjamasis ženklas atsargiems vartotojams.

Kaip „FileCoder“ užkrečia įrenginius?

Užkrėtimo procesas prasideda, kai vartotojai iš torentų svetainių atsisiunčia tai, kas atrodo kaip „pataisymo programa“ arba „įsilaužėlis“ mokamai programinei įrangai. Paleidus netikrą pataisymo programą, rodomas trijų žingsnių langas, tačiau tai tik dėmesio atitraukimas. Šifravimo procesas prasideda iškart po to, kai vartotojas paspaudžia „PRADĖTI“. Kai sąsajoje rodomas 2/3 žingsnis, žala jau padaryta.

„FileCoder“ užšifruoja viską, kas yra aplanke „Vartotojai“, palikdama sistemos ir programų failus nepaliestus. Taip pat taikosi į išorinius diskus ir tinklo tomus, prijungtus vykdymo metu. Kenkėjiška programa lokaliai sugeneruoja 25 simbolių atsitiktinį šifravimo raktą ir ištrina originalius failus naudodama komandą „rm“. Ji netgi bando išvalyti laisvą vietą naudodama komandą „diskutil“, tačiau nepavyksta dėl neteisingo failo kelio – klaidos, kuri suteikia menką tikimybę iš dalies atkurti duomenis.

Kas nutinka po šifravimo?

Kai šifravimas baigtas, vartotojo darbalaukis užsipildo išpirkos reikalaujančiais pranešimais, tokiais kaip README.txt ir DECRYPT!.txt. Aukos turi sumokėti 280 USD bitkoinais, kad atrakintų savo failus per 24 valandas, arba 500 USD, kad iššifravimas būtų greitesnis. Tačiau šis reikalavimas yra apgaulingas, nes „FileCoder“ neturi galimybės bendrauti su komandų ir valdymo serveriu ar siųsti iššifravimo rakto. Kitaip tariant, sumokėjus išpirką, prieiga prie jūsų failų nebus atkurta.

Be to, išpirkos reikalaujanti programa dėl nežinomų priežasčių pakeičia užšifruotų failų modifikavimo datą į 2010 m. vasario 13 d. Sistemos perkrovimo metu rodomas ekranas „Prisijungti prie „iCloud“, nes vartotojo nuostatos ir nustatymai yra užšifruojami kartu su duomenimis.

Silpnybės ir atsigavimo galimybės

Nepaisant destruktyvaus potencialo, „FileCoder“ turi keletą trūkumų:

• Failai šifruojami lėtai, 250 MB vaizdo įrašo failo užšifravimas trunka apie 30 sekundžių. Greiti veiksmai gali sustabdyti šifravimą.
• Uždarius programą proceso metu, tolesnis failų šifravimas sustabdomas.
• Neteisingas diskutil kelias neleidžia visiškai saugiai išvalyti duomenų, todėl atsiranda galimybė juos iš dalies atkurti naudojant tokias priemones kaip „Data Rescue“.

Tyrėjai taip pat sukūrė metodą, kaip iššifruoti „FileCoder“ užšifruotus failus. Šis procesas yra varginantis ir reikalauja techninių žinių, tačiau aukoms tai yra kraštutinė priemonė.

Norint bandyti atkurti failus, aukoms reikia kelių išteklių: antro veikiančio kompiuterio, neužšifruotos bent vieno iš užšifruotų failų kopijos, patikimo teksto redaktoriaus, „Xcode“ komandinės eilutės įrankių ir „pkcrack“ – įrankio, kuris atlieka žinomą paprastojo teksto ataką prieš ZIP failų šifravimą.

Tačiau ne visada būtina turėti originalią, neužšifruotą failo versiją. Jei tokio failo nėra, vartotojai gali panaudoti išpirkos reikalaujančią programinę įrangą prieš save pačią. Tais atvejais, kai „FileCoder“ programa buvo paleista iš vartotojo aplanko, pvz., atsisiuntimų katalogo, kenkėjiška programa greičiausiai užšifravo savo vykdomąjį failą. Aukos gali atsisiųsti naują užkrėstos programos kopiją, kad būtų lengviau iššifruoti.

Tyrėjai įspėja, kad šis metodas yra lėtas ir reikalauja daug darbo, nes masinis iššifravimas neįmanomas. Nepaisant to, tiems, kurie pasiryžę atgauti prieigą prie savo duomenų, šis metodas yra tinkama kraštutinė priemonė.

Patikrinta saugumo praktika, padedanti išvengti infekcijos

Išvengti išpirkos reikalaujančių programų, tokių kaip „FileCoder“, infekcijų yra daug lengviau nei atsigauti po jų. Laikykitės šių saugumo priemonių, kad apsaugotumėte savo sistemą:

1. Saugaus darbo kompiuteriu įpročiai

• Venkite atsisiųsti programinę įrangą ar pataisymus iš torrentų svetainių ar kitų nepatikrintų šaltinių.
• Visada patikrinkite programų parašus ir diegkite programas tik iš patikimų kūrėjų arba oficialios „Mac App Store“.
• Būkite informuoti apie naujausias grėsmes ir saugumo patarimus.

2. Stipri sistemos apsauga

• Įjunkite patikimą kenkėjiškų programų šalinimo sprendimą ir nuolat jį atnaujinkite.

Derindami šiuos metodus, žymiai sumažinate išpirkos reikalaujančių programų grėsmių riziką ir užtikrinate, kad net ir blogiausiu atveju jūsų duomenys išliktų saugūs ir juos būtų galima atkurti.