FileCoder macOS-ransomware

Cybercriminelen ontwikkelen voortdurend nieuwe manieren om nietsvermoedende gebruikers te exploiteren, en ransomware blijft een van de meest schadelijke bedreigingen. Onder macOS-gebruikers is de FileCoder-ransomware, ook bekend als Patcher of Findzip, een berucht voorbeeld. Eenmaal geactiveerd, versleutelt het je persoonlijke bestanden en eist het betaling voor de vrijgave ervan. Helaas zorgt de slechte codering van FileCoder ervoor dat zelfs betaling je gegevens niet kan herstellen, waardoor sterke preventiestrategieën essentieel zijn.

Wat is FileCoder Ransomware?

FileCoder is een ransomware die bestanden versleutelt en zich richt op macOS-systemen. Het vermomt zich vaak als een patchtool voor populaire software zoals Adobe Premiere Pro CC en Microsoft Office 2016. Onderzoekers observeerden de verspreiding ervan voor het eerst via BitTorrent-platforms, waardoor gebruikers die op zoek waren naar illegale software de voornaamste slachtoffers waren.

De malware treft voornamelijk systemen met OS X 10.11.x (El Capitan) en macOS 10.12.x, hoewel oudere en nieuwere versies ook getroffen kunnen worden. Het uitvoerbare bestand is niet door Apple ondertekend, wat een waarschuwing zou moeten zijn voor voorzichtige gebruikers.

Hoe infecteert FileCoder apparaten?

Het infectieproces begint wanneer gebruikers iets downloaden dat lijkt op een 'patcher' of 'cracker' voor premium software van torrentsites. Na het opstarten toont de neppatcher een voortgangsvenster met drie stappen, maar dit is slechts een afleiding. Het versleutelingsproces begint direct nadat de gebruiker op 'START' klikt. Tegen de tijd dat de interface stap 2/3 weergeeft, is de schade al aangericht.

FileCoder versleutelt alles in de map Gebruikers, waardoor systeem- en applicatiebestanden onaangetast blijven. Externe schijven en netwerkvolumes die op het moment van uitvoering zijn aangesloten, worden ook aangevallen. De malware genereert lokaal een willekeurige encryptiesleutel van 25 tekens en verwijdert originele bestanden met de opdracht rm. Het probeert zelfs vrije ruimte te wissen met diskutil, maar mislukt vanwege een onjuist bestandspad, een fout die een kleine kans op gedeeltelijk gegevensherstel biedt.

Wat gebeurt er na encryptie?

Zodra de versleuteling is voltooid, wordt het bureaublad van de gebruiker gevuld met losgeldberichten zoals README.txt en DECRYPT!.txt. Slachtoffers krijgen de opdracht om $280 in Bitcoin te betalen om hun bestanden binnen 24 uur te ontgrendelen, of $500 voor snellere ontsleuteling. Deze eis is echter misleidend, omdat FileCoder niet kan communiceren met een command-and-control-server of een ontsleutelingssleutel kan verzenden. Met andere woorden, het betalen van het losgeld herstelt niet de toegang tot uw bestanden.

Bovendien wijzigt de ransomware de wijzigingsdatum van versleutelde bestanden om onbekende redenen naar 13 februari 2010. Na het opnieuw opstarten van het systeem verschijnt een scherm 'Aanmelden bij iCloud', omdat gebruikersvoorkeuren en -instellingen samen met de gegevens worden versleuteld.

Zwakke punten en herstelmogelijkheden

Ondanks het destructieve potentieel bevat FileCoder een aantal gebreken:

• Het versleutelt bestanden langzaam, ongeveer 30 seconden voor een videobestand van 250 MB. Snelle actie kan de versleuteling stoppen.
• Wanneer u de toepassing halverwege het proces afsluit, wordt verdere bestandsversleuteling gestopt.
• Een onjuist diskutil-pad verhindert het volledig veilig wissen van de gegevens, waardoor er een venster ontstaat voor gedeeltelijk herstel met behulp van hulpmiddelen als Data Rescue.

Onderzoekers hebben ook een methode ontwikkeld om met FileCoder versleutelde bestanden te decoderen. Dit proces is omslachtig en vereist technische kennis, maar biedt slachtoffers een laatste redmiddel.

Om bestanden te kunnen herstellen, hebben slachtoffers verschillende hulpmiddelen nodig: een tweede werkende computer, een niet-versleutelde kopie van minstens één van de versleutelde bestanden, een betrouwbare teksteditor, de Xcode-opdrachtregeltools en pkcrack, een hulpprogramma dat een bekende plattetekstaanval uitvoert op de versleuteling van ZIP-bestanden.

Het is echter niet altijd noodzakelijk om een originele, ongecodeerde versie van een bestand te hebben. Als een dergelijk bestand niet beschikbaar is, kunnen gebruikers de ransomware tegen zichzelf gebruiken. In gevallen waarin de FileCoder-app werd uitgevoerd vanuit de gebruikersmap, zoals de map Downloads, heeft de malware waarschijnlijk zijn eigen uitvoerbare bestand gecodeerd. Slachtoffers kunnen een nieuwe kopie van de geïnfecteerde applicatie downloaden om te helpen bij het decoderingsproces.

Onderzoekers waarschuwen dat deze methode traag en arbeidsintensief is, omdat grootschalige decodering niet mogelijk is. Desondanks biedt deze aanpak een haalbare laatste redmiddel voor degenen die vastbesloten zijn om weer toegang tot hun data te krijgen.

Bewezen beveiligingspraktijken om infectie te voorkomen

Het voorkomen van ransomware-infecties zoals FileCoder is veel gemakkelijker dan ervan herstellen. Volg deze beveiligingsmaatregelen om uw systeem te beschermen:

1. Veilige computergewoonten

• Download geen software of patches van torrentsites of andere niet-geverifieerde bronnen.
• Controleer altijd de handtekeningen van applicaties en installeer alleen apps van vertrouwde ontwikkelaars of de officiële Mac App Store.
• Blijf op de hoogte van de nieuwste bedreigingen en beveiligingsadviezen.

2. Sterke systeembeveiliging

• Schakel een betrouwbare anti-malwareoplossing in en houd deze up-to-date.

Door deze maatregelen te combineren, verkleint u de kans op ransomware-bedreigingen aanzienlijk en weet u zeker dat uw gegevens zelfs in de ergste gevallen veilig en herstelbaar blijven.