FileCoder macOS Ransomware

Nettkriminelle utvikler stadig nye måter å utnytte intetanende brukere på, og ransomware er fortsatt en av de mest skadelige truslene. Blant macOS-brukere er FileCoder ransomware, også kjent som Patcher eller Findzip, et beryktet eksempel. Når den er aktivert, krypterer den dine personlige filer og krever betaling for utgivelsen. Dessverre betyr FileCoders dårlige koding at selv betaling ikke vil gjenopprette dataene dine, noe som gjør sterke forebyggingsstrategier avgjørende.

Hva er FileCoder ransomware?

FileCoder er et filkrypterende ransomware-virus rettet mot macOS-systemer. Det forkler seg ofte som et oppdateringsverktøy for populær programvare som Adobe Premiere Pro CC og Microsoft Office 2016. Forskere observerte først at det spredte seg via BitTorrent-plattformer, noe som gjorde brukere som søkte piratkopiert programvare til sine primære ofre.

Skadevaren påvirker primært systemer som kjører OS X 10.11.x (El Capitan) og macOS 10.12.x, men eldre og nyere versjoner kan også bli påvirket. Den kjørbare filen er ikke signert av Apple, noe som bør tjene som et rødt flagg for forsiktige brukere.

Hvordan infiserer FileCoder enheter?

Infeksjonsprosessen starter når brukere laster ned det som ser ut til å være en «patcher» eller «cracker» for premiumprogramvare fra torrent-sider. Når den falske patcheren er startet, viser den et fremdriftsvindu med tre trinn, men dette er bare en distraksjon. Krypteringsprosessen starter umiddelbart etter at brukeren klikker på «START». Når grensesnittet viser trinn 2/3, er skaden allerede skjedd.

FileCoder krypterer alt i Bruker-mappen, og lar system- og programfiler være uberørte. Eksterne disker og nettverksvolumer som er tilkoblet på kjøringstidspunktet, er også målrettet. Skadevaren genererer en tilfeldig krypteringsnøkkel på 25 tegn lokalt og sletter originalfiler ved hjelp av rm-kommandoen. Den prøver til og med å slette ledig plass med diskutil, men mislykkes på grunn av feil filsti, en feil som gir en liten sjanse for delvis datagjenoppretting.

Hva skjer etter kryptering?

Når krypteringen er fullført, fylles brukerens skrivebord med løsepengemeldinger som README.txt og DECRYPT!.txt. Ofrene blir bedt om å betale 280 dollar i Bitcoin for å låse opp filene sine innen 24 timer eller 500 dollar for raskere dekryptering. Dette kravet er imidlertid villedende fordi FileCoder ikke har mulighet til å kommunisere med en kommando- og kontrollserver eller sende en dekrypteringsnøkkel. Med andre ord, å betale løsepengene vil ikke gjenopprette tilgangen til filene dine.

I tillegg endrer ransomware-programmet endringsdatoen for krypterte filer til 13. februar 2010 av ukjente årsaker. En systemomstart viser en «Logg på iCloud»-skjerm, ettersom brukerpreferanser og innstillinger krypteres sammen med dataene.

Svakheter og gjenopprettingsalternativer

Til tross for sitt destruktive potensial, inneholder FileCoder flere feil:

• Den krypterer filer sakte, og tar omtrent 30 sekunder for en videofil på 250 MB. Rask handling kan stoppe krypteringen.
• Hvis du avslutter programmet midt i prosessen, stoppes videre filkryptering.
• Feil diskutil-sti forhindrer fullstendig sikker sletting, og gir et vindu for delvis gjenoppretting ved hjelp av verktøy som Data Rescue.

Forskere har også utviklet en metode for å dekryptere FileCoder-krypterte filer. Denne prosessen er kjedelig og krever teknisk kunnskap, men den tilbyr en siste utvei for ofrene.

For å forsøke å gjenopprette filer trenger ofrene flere ressurser: en annen fungerende datamaskin, en ukryptert kopi av minst én av de krypterte filene, en pålitelig tekstredigerer, kommandolinjeverktøyene Xcode og pkcrack, et verktøy som utfører et kjent klartekstangrep på ZIP-filkryptering.

Det er imidlertid ikke alltid obligatorisk å ha en original, ukryptert versjon av en fil. Hvis ingen slik fil er tilgjengelig, kan brukere utnytte ransomware-viruset mot seg selv. I tilfeller der FileCoder-appen ble kjørt fra brukermappen, for eksempel nedlastingsmappen, krypterte skadevaren sannsynligvis sin egen kjørbare fil. Ofre kan laste ned en ny kopi av det infiserte programmet for å hjelpe til med dekrypteringsprosessen.

Forskere advarer om at denne metoden er treg og arbeidskrevende, ettersom massedekryptering ikke er mulig. Likevel, for de som er fast bestemt på å få tilbake tilgang til dataene sine, gir denne tilnærmingen en levedyktig siste utvei.

Beviste sikkerhetspraksiser for å forhindre infeksjon

Det er mye enklere å forhindre ransomware-infeksjoner som FileCoder enn å komme seg etter dem. Følg disse sikkerhetstiltakene for å beskytte systemet ditt:

1. Trygge datavaner

• Unngå å laste ned programvare eller oppdateringer fra torrent-sider eller andre ubekreftede kilder.
• Sjekk alltid programsignaturer og installer kun apper fra pålitelige utviklere eller den offisielle Mac App Store.
• Hold deg oppdatert om de nyeste truslene og sikkerhetsrådene.

2. Sterk systembeskyttelse

• Aktiver en pålitelig løsning mot skadelig programvare og hold den oppdatert.

Ved å kombinere disse fremgangsmåtene reduserer du eksponeringen din for ransomware-trusler betydelig og sikrer at dataene dine forblir trygge og kan gjenopprettes selv i verste fall.