Oferta rabatowa na wiele licencji
Baza danych zagrożeń Oprogramowanie wymuszające okup FileCoder macOS Ransomware

FileCoder macOS Ransomware

Do Mezo w Oprogramowanie wymuszające okup
Przetłumacz na:

Cyberprzestępcy nieustannie opracowują nowe sposoby wykorzystywania nieświadomych użytkowników, a ransomware pozostaje jednym z najpoważniejszych zagrożeń. Wśród użytkowników systemu macOS znanym przykładem jest ransomware FileCoder, znany również jako Patcher lub Findzip. Po aktywacji szyfruje on pliki osobiste i żąda zapłaty za ich uwolnienie. Niestety, słabe oprogramowanie FileCodera oznacza, że nawet zapłacenie nie przywróci danych, dlatego skuteczne strategie prewencyjne są niezbędne.

Czym jest FileCoder Ransomware?

FileCoder to ransomware szyfrujący pliki, atakujący systemy macOS. Często podszywa się pod narzędzie do łatania popularnych programów, takich jak Adobe Premiere Pro CC i Microsoft Office 2016. Badacze po raz pierwszy zaobserwowali jego rozprzestrzenianie się za pośrednictwem platform BitTorrent, co sprawiło, że jego głównymi ofiarami stali się użytkownicy poszukujący pirackiego oprogramowania.

Szkodliwe oprogramowanie atakuje przede wszystkim systemy OS X 10.11.x (El Capitan) i macOS 10.12.x, choć starsze i nowsze wersje również mogą być podatne na atak. Jego plik wykonywalny nie jest podpisany przez Apple, co powinno być ostrzeżeniem dla ostrożnych użytkowników.

W jaki sposób FileCoder infekuje urządzenia?

Proces infekcji rozpoczyna się, gdy użytkownicy pobierają z serwisów torrentowych coś, co wygląda na „łatkę” lub „cracker” dla oprogramowania premium. Po uruchomieniu, fałszywy patcher wyświetla okno postępu z trzema krokami, ale jest to jedynie dywersja. Proces szyfrowania rozpoczyna się natychmiast po kliknięciu przez użytkownika przycisku „START”. Zanim interfejs wyświetli krok 2/3, szkody są już wyrządzone.

FileCoder szyfruje wszystko w folderze Użytkownicy, pozostawiając pliki systemowe i aplikacji nietknięte. Celem ataku są również dyski zewnętrzne i woluminy sieciowe podłączone w momencie uruchomienia. Szkodliwe oprogramowanie generuje lokalnie 25-znakowy losowy klucz szyfrujący i usuwa oryginalne pliki za pomocą polecenia rm. Próbuje nawet wyczyścić wolne miejsce za pomocą diskutil, ale kończy się to niepowodzeniem z powodu nieprawidłowej ścieżki dostępu do pliku, co daje nikłe szanse na częściowe odzyskanie danych.

Co dzieje się po zaszyfrowaniu?

Po zakończeniu szyfrowania, na pulpicie użytkownika pojawiają się komunikaty o okupie, takie jak README.txt i DECRYPT!.txt. Ofiary otrzymują polecenie zapłaty 280 dolarów w Bitcoinach za odblokowanie plików w ciągu 24 godzin lub 500 dolarów za szybsze odszyfrowanie. Żądanie to jest jednak mylące, ponieważ FileCoder nie ma możliwości komunikacji z serwerem poleceń ani wysłania klucza deszyfrującego. Innymi słowy, zapłacenie okupu nie przywróci dostępu do plików.

Ponadto ransomware z nieznanych przyczyn zmienia datę modyfikacji zaszyfrowanych plików na 13 lutego 2010 r. Po ponownym uruchomieniu systemu pojawia się ekran „Zaloguj się do iCloud”, ponieważ preferencje i ustawienia użytkownika są szyfrowane wraz z danymi.

Słabości i opcje odzyskiwania

Pomimo swojego destrukcyjnego potencjału, FileCoder ma kilka wad:

  • Szyfruje pliki powoli, trwając około 30 sekund w przypadku pliku wideo o rozmiarze 250 MB. Szybka reakcja może zatrzymać szyfrowanie.
  • Zamknięcie aplikacji w trakcie działania zatrzymuje dalsze szyfrowanie plików.
  • Nieprawidłowa ścieżka diskutil uniemożliwia całkowite i bezpieczne wyczyszczenie, umożliwiając częściowe odzyskanie danych przy użyciu narzędzi takich jak Data Rescue.

Naukowcy opracowali również metodę odszyfrowywania plików zaszyfrowanych przez FileCoder. Proces ten jest żmudny i wymaga wiedzy technicznej, ale stanowi ostateczność dla ofiar.

Aby podjąć próbę odzyskania plików, ofiary potrzebują kilku zasobów: drugiego działającego komputera, niezaszyfrowanej kopii co najmniej jednego z zaszyfrowanych plików, niezawodnego edytora tekstu, narzędzi wiersza poleceń Xcode oraz pkcrack, narzędzia przeprowadzającego atak znanego tekstu jawnego na zaszyfrowane pliki ZIP.

Posiadanie oryginalnej, niezaszyfrowanej wersji pliku nie zawsze jest jednak obowiązkowe. Jeśli taki plik nie jest dostępny, użytkownicy mogą wykorzystać ransomware przeciwko sobie. W przypadkach, gdy aplikacja FileCoder została uruchomiona z folderu użytkownika, takiego jak katalog Pobrane, złośliwe oprogramowanie prawdopodobnie zaszyfrowało własny plik wykonywalny. Ofiary mogą pobrać nową kopię zainfekowanej aplikacji, aby ułatwić proces odszyfrowania.

Naukowcy ostrzegają, że ta metoda jest powolna i pracochłonna, ponieważ nie umożliwia masowego odszyfrowania. Niemniej jednak, dla tych, którzy chcą odzyskać dostęp do swoich danych, to podejście stanowi ostateczność.

Sprawdzone praktyki bezpieczeństwa zapobiegające zakażeniom

Zapobieganie infekcjom ransomware, takim jak FileCoder, jest o wiele łatwiejsze niż odzyskiwanie po nich danych. Aby zabezpieczyć swój system, zastosuj się do poniższych środków bezpieczeństwa:

1. Bezpieczne nawyki komputerowe

  • Unikaj pobierania oprogramowania i poprawek ze stron torrentowych lub innych niezweryfikowanych źródeł.
  • Zawsze sprawdzaj podpisy aplikacji i instaluj aplikacje wyłącznie od zaufanych deweloperów lub z oficjalnego sklepu Mac App Store.
  • Bądź na bieżąco z najnowszymi zagrożeniami i ostrzeżeniami dotyczącymi bezpieczeństwa.
  1. Silna ochrona systemu
  • Włącz sprawdzone rozwiązanie antywirusowe i regularnie je aktualizuj.
  • Regularnie twórz kopie zapasowe ważnych plików za pomocą Time Machine lub usługi tworzenia kopii zapasowych w chmurze. Przechowuj kopie zapasowe w trybie offline lub w bezpiecznym miejscu, które nie jest stale połączone z systemem.
  • Aktualizuj system macOS i całe zainstalowane oprogramowanie, stosując najnowsze poprawki zabezpieczeń.

    • Łącząc te praktyki, znacząco zmniejszasz ryzyko ataku typu ransomware i masz pewność, że nawet w najgorszym przypadku Twoje dane pozostaną bezpieczne i możliwe do odzyskania.

    Wiadomości

    Znaleziono następujące komunikaty związane z FileCoder macOS Ransomware:

    NOT YOUR LANGUAGE? USE https://translate.google.com

    What happened to your files ?
    All of your files were protected by a strong encryption method.

    What do I do ?

    So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
    If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT

    FOLLOW THESE STEPS:
    1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
    2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
    3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
    4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)

    KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME!

    Popularne

    Hasło do konta jest stare, e-mail oszustwo

    Phishing, Spam
    Oszuści nadal tworzą oszukańcze kampanie e-mailowe, aby oszukać niczego niepodejrzewających użytkowników i zmusić ich do podania poufnych informacji. Jednym z takich oszustw, które obecnie krążą, jest oszustwo e-mailowe „Pilny alert bezpieczeństwa”, w szczególności pod przykrywką wiadomości zatytułowanej „Hasło do konta jest stare”. Pomimo że na pierwszy rzut oka wydają się legalne, te e-maile...

    Najczęściej oglądane

    Ładowanie...