FileCoder macOS izspiedējvīruss

Kibernoziedznieki pastāvīgi izstrādā jaunus veidus, kā izmantot neko nenojaušošus lietotājus, un izspiedējvīrusi joprojām ir viens no viskaitīgākajiem draudiem. macOS lietotāju vidū bēdīgi slavens piemērs ir izspiedējvīruss FileCoder, kas pazīstams arī kā Patcher vai Findzip. Pēc aktivizēšanas tas šifrē jūsu personiskos failus un pieprasa samaksu par to atbrīvošanu. Diemžēl FileCoder sliktā kodēšana nozīmē, ka pat samaksa neatjaunos jūsu datus, tāpēc ir nepieciešamas spēcīgas profilakses stratēģijas.

Kas ir FileCoder izspiedējvīruss?

FileCoder ir failu šifrēšanas izspiedējvīruss, kas ir vērsts pret macOS sistēmām. Tas bieži maskējas kā ielāpu rīks tādām populārām programmatūrām kā Adobe Premiere Pro CC un Microsoft Office 2016. Pētnieki sākotnēji novēroja tā izplatīšanos BitTorrent platformās, padarot lietotājus, kas meklē pirātisku programmatūru, par tā galvenajiem upuriem.

Ļaunprogrammatūra galvenokārt ietekmē sistēmas, kurās darbojas OS X 10.11.x (El Capitan) un macOS 10.12.x, lai gan var tikt ietekmētas arī vecākas un jaunākas versijas. Tās izpildāmo failu nav parakstījis Apple, kas varētu būt brīdinājuma signāls piesardzīgiem lietotājiem.

Kā FileCoder inficē ierīces?

Infekcijas process sākas, kad lietotāji no torrentu vietnēm lejupielādē kaut ko līdzīgu maksas programmatūras “ielāpītājam” vai “krekerim”. Pēc palaišanas viltotais ielāpītājs parāda progresa logu ar trim soļiem, taču tas ir tikai uzmanības novēršana. Šifrēšanas process sākas tūlīt pēc tam, kad lietotājs noklikšķina uz “SĀKT”. Līdz brīdim, kad saskarnē tiek parādīts 2./3. solis, posts jau ir nodarīts.

FileCoder šifrē visu lietotāju mapē esošo informāciju, atstājot sistēmas un lietojumprogrammu failus neskartus. Tiek uzbrukti arī ārējie diskdziņi un tīkla sējumi, kas ir pievienoti izpildes laikā. Ļaunprogrammatūra lokāli ģenerē 25 rakstzīmju nejaušu šifrēšanas atslēgu un, izmantojot komandu rm, izdzēš sākotnējos failus. Tā pat mēģina iztīrīt brīvo vietu ar diskutil, taču tas neizdodas nepareiza faila ceļa dēļ — kļūda, kas nodrošina niecīgu iespēju daļējai datu atgūšanai.

Kas notiek pēc šifrēšanas?

Kad šifrēšana ir pabeigta, lietotāja darbvirsma piepildās ar izpirkuma piezīmēm, piemēram, README.txt un DECRYPT!.txt. Upuriem tiek norādīts samaksāt 280 USD Bitcoin, lai atbloķētu savus failus 24 stundu laikā, vai 500 USD par ātrāku atšifrēšanu. Tomēr šī prasība ir maldinoša, jo FileCoder nespēj sazināties ar komandu un vadības serveri vai nosūtīt atšifrēšanas atslēgu. Citiem vārdiem sakot, izpirkuma maksas samaksa neatjaunos piekļuvi jūsu failiem.

Turklāt izspiedējvīruss nezināmu iemeslu dēļ maina šifrēto failu modificēšanas datumu uz 2010. gada 13. februāri. Sistēmas pārstartēšanas laikā tiek parādīts ekrāns “Pierakstīties pakalpojumā iCloud”, jo lietotāja preferences un iestatījumi tiek šifrēti kopā ar datiem.

Vājās puses un atveseļošanās iespējas

Neskatoties uz destruktīvo potenciālu, FileCoder satur vairākus trūkumus:

• Tas šifrē failus lēni, 250 MB video failam aizņemot aptuveni 30 sekundes. Ātra rīcība var apturēt šifrēšanu.
• Lietojumprogrammas aizvēršana procesa vidū aptur turpmāku failu šifrēšanu.
• Nepareizs diskutil ceļš neļauj pilnībā droši notīrīt datus, piedāvājot logu daļējai atkopšanai, izmantojot tādus rīkus kā Data Rescue.

Pētnieki ir izstrādājuši arī metodi, kā atšifrēt ar FileCoder šifrētus failus. Šis process ir nogurdinošs un prasa tehniskas zināšanas, taču tas piedāvā pēdējo līdzekli upuriem.

Lai mēģinātu atgūt failus, upuriem ir nepieciešami vairāki resursi: otrs darbojošs dators, vismaz viena šifrētā faila nešifrēta kopija, uzticams teksta redaktors, Xcode komandrindas rīki un pkcrack — utilīta, kas veic zināma vienkārša teksta uzbrukumu ZIP failu šifrēšanai.

Tomēr ne vienmēr ir nepieciešama oriģināla, nešifrēta faila versija. Ja šāds fails nav pieejams, lietotāji var izmantot izspiedējvīrusu pret sevi pašu. Gadījumos, kad lietotne FileCoder tika palaista no lietotāja mapes, piemēram, lejupielāžu direktorijas, ļaunprogrammatūra, visticamāk, ir šifrējusi savu izpildāmo failu. Upuri var lejupielādēt jaunu inficētās lietojumprogrammas kopiju, lai palīdzētu atšifrēšanas procesā.

Pētnieki brīdina, ka šī metode ir lēna un darbietilpīga, jo masveida atšifrēšana nav iespējama. Tomēr tiem, kas ir apņēmušies atgūt piekļuvi saviem datiem, šī pieeja ir dzīvotspējīgs pēdējais līdzeklis.

Pārbaudītas drošības prakses infekcijas novēršanai

Izspiedējvīrusu infekciju, piemēram, FileCoder, novēršana ir daudz vienkāršāka nekā atgūšanās no tām. Ievērojiet šos drošības pasākumus, lai aizsargātu savu sistēmu:

1. Drošas skaitļošanas paradumi

• Izvairieties lejupielādēt programmatūru vai ielāpus no torrentu vietnēm vai citiem nepārbaudītiem avotiem.
• Vienmēr pārbaudiet lietojumprogrammu parakstus un instalējiet lietotnes tikai no uzticamiem izstrādātājiem vai oficiālā Mac App Store veikala.
• Esiet informēts par jaunākajiem apdraudējumiem un drošības ieteikumiem.

2. Spēcīga sistēmas aizsardzība

• Iespējojiet cienījamu ļaunprogrammatūras apkarošanas risinājumu un regulāri to atjauniniet.

• Regulāri dublējiet svarīgus failus, izmantojot Time Machine vai mākoņdatošanas dublēšanas pakalpojumu. Glabājiet dublējumkopijas bezsaistē vai drošā vietā, kas nav pastāvīgi savienota ar jūsu sistēmu.

• Atjauniniet macOS un visu instalēto programmatūru ar jaunākajiem drošības ielāpiem.

Apvienojot šīs prakses, jūs ievērojami samazināt savu pakļautību izspiedējvīrusu draudiem un nodrošināt, ka pat vissliktākajā gadījumā jūsu dati paliek drošībā un atgūstami.