FileCoder macOS Ransomware

Penjenayah siber sentiasa membangunkan cara baharu untuk mengeksploitasi pengguna yang tidak curiga, dan perisian tebusan kekal sebagai salah satu ancaman yang paling merosakkan. Di kalangan pengguna macOS, perisian tebusan FileCoder, juga dikenali sebagai Patcher atau Findzip, adalah contoh yang terkenal. Setelah diaktifkan, ia menyulitkan fail peribadi anda dan menuntut bayaran untuk pembebasannya. Malangnya, pengekodan FileCoder yang lemah bermakna pembayaran pun tidak akan memulihkan data anda, menjadikan strategi pencegahan yang kukuh penting.

Apakah FileCoder Ransomware?

FileCoder ialah perisian tebusan penyulitan fail yang menyasarkan sistem macOS. Ia sering menyamar sebagai alat menampal untuk perisian popular seperti Adobe Premiere Pro CC dan Microsoft Office 2016. Penyelidik mula-mula memerhatikannya merebak melalui platform BitTorrent, menjadikan pengguna yang mencari perisian cetak rompak sebagai mangsa utamanya.

Perisian hasad terutamanya mempengaruhi sistem yang menjalankan OS X 10.11.x (El Capitan) dan macOS 10.12.x, walaupun versi yang lebih lama dan lebih baharu juga boleh terjejas. Boleh lakunya tidak ditandatangani oleh Apple, yang sepatutnya berfungsi sebagai bendera merah untuk pengguna yang berhati-hati.

Bagaimanakah FileCoder Menjangkiti Peranti?

Proses jangkitan bermula apabila pengguna memuat turun apa yang kelihatan seperti 'patcher' atau 'cracker' untuk perisian premium daripada tapak torrent. Sebaik sahaja dilancarkan, patcher palsu memaparkan tetingkap kemajuan dengan tiga langkah, tetapi ini hanyalah gangguan. Proses penyulitan bermula serta-merta selepas pengguna mengklik 'MULA'. Pada masa antara muka memaparkan langkah 2/3, kerosakan sudah berlaku.

FileCoder menyulitkan segala-galanya dalam folder Pengguna, meninggalkan sistem dan fail aplikasi tidak disentuh. Pemacu luaran dan volum rangkaian yang disambungkan pada masa pelaksanaan juga disasarkan. Malware menjana kunci penyulitan rawak 25 aksara secara setempat dan memadamkan fail asal menggunakan arahan rm. Ia juga cuba memadam ruang kosong dengan diskutil, tetapi gagal kerana laluan fail yang salah, ralat yang memberikan peluang tipis untuk pemulihan data separa.

Apa yang Berlaku Selepas Penyulitan?

Setelah penyulitan selesai, desktop pengguna diisi dengan nota tebusan seperti README.txt dan DECRYPT!.txt. Mangsa diarahkan untuk membayar $280 dalam Bitcoin untuk membuka kunci fail mereka dalam masa 24 jam atau $500 untuk penyahsulitan yang lebih pantas. Walau bagaimanapun, permintaan ini mengelirukan kerana FileCoder tidak mempunyai keupayaan untuk berkomunikasi dengan pelayan arahan dan kawalan atau menghantar kunci penyahsulitan. Dalam erti kata lain, membayar wang tebusan tidak akan memulihkan akses kepada fail anda.

Selain itu, perisian tebusan menukar tarikh pengubahsuaian fail yang disulitkan kepada 13 Februari 2010 atas sebab yang tidak diketahui. But semula sistem memaparkan skrin 'Log masuk ke iCloud', kerana pilihan dan tetapan pengguna disulitkan bersama data.

Kelemahan dan Pilihan Pemulihan

Walaupun potensinya yang merosakkan, FileCoder mengandungi beberapa kelemahan:

• Ia menyulitkan fail dengan perlahan, mengambil masa kira-kira 30 saat untuk fail video 250 MB. Tindakan pantas boleh menghentikan penyulitan.
• Berhenti daripada aplikasi pertengahan proses menghentikan penyulitan fail selanjutnya.
• Laluan diskutil yang salah menghalang pengelapan selamat sepenuhnya, menawarkan tetingkap untuk pemulihan separa menggunakan alat seperti Penyelamat Data.

Penyelidik juga telah membangunkan kaedah untuk menyahsulit fail yang disulitkan FileCoder. Proses ini membosankan dan memerlukan pengetahuan teknikal, tetapi ia menawarkan pilihan terakhir untuk mangsa.

Untuk mencuba pemulihan fail, mangsa memerlukan beberapa sumber: komputer kedua yang berfungsi, salinan tidak disulitkan sekurang-kurangnya satu daripada fail yang disulitkan, editor teks yang boleh dipercayai, alat baris arahan Xcode dan pkcrack, utiliti yang melakukan serangan teks biasa yang diketahui pada penyulitan fail ZIP.

Walau bagaimanapun, mempunyai versi fail asal yang tidak disulitkan tidak semestinya wajib. Jika tiada fail sedemikian tersedia, pengguna mungkin memanfaatkan perisian tebusan terhadap dirinya sendiri. Dalam kes di mana apl FileCoder telah dilaksanakan dari dalam folder pengguna, seperti direktori Muat Turun, perisian hasad berkemungkinan menyulitkan boleh laku sendiri. Mangsa boleh memuat turun salinan baharu aplikasi yang dijangkiti untuk membantu dalam proses penyahsulitan.

Penyelidik memberi amaran bahawa kaedah ini lambat dan intensif buruh, kerana penyahsulitan pukal tidak dapat dilakukan. Namun begitu, bagi mereka yang berazam untuk mendapatkan semula akses kepada data mereka, pendekatan ini menyediakan pilihan terakhir yang berdaya maju.

Amalan Keselamatan Terbukti untuk Mencegah Jangkitan

Mencegah jangkitan ransomware seperti FileCoder adalah jauh lebih mudah daripada memulihkannya. Ikuti langkah keselamatan ini untuk melindungi sistem anda:

1. Tabiat Pengkomputeran Selamat

• Elakkan memuat turun perisian atau patch dari tapak torrent atau sumber lain yang tidak disahkan.
• Sentiasa semak tandatangan aplikasi dan hanya pasang apl daripada pembangun yang dipercayai atau Mac App Store rasmi.
• Kekal dimaklumkan tentang ancaman terkini dan nasihat keselamatan.

2. Perlindungan Sistem yang Kuat

• Dayakan penyelesaian anti-malware yang bereputasi dan pastikan ia dikemas kini.

Dengan menggabungkan amalan ini, anda mengurangkan pendedahan anda kepada ancaman perisian tebusan dengan ketara dan memastikan bahawa walaupun dalam senario terburuk, data anda kekal selamat dan boleh dipulihkan.