Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ransomware FileCoder macOS Ransomware

FileCoder macOS Ransomware

Por Mezo em Ransomware
Traduzir Para:

Os cibercriminosos estão constantemente desenvolvendo novas maneiras de explorar usuários desavisados, e o ransomware continua sendo uma das ameaças mais danosas. Entre os usuários de macOS, o ransomware FileCoder, também conhecido como Patcher ou Findzip, é um exemplo notório. Uma vez ativado, ele criptografa seus arquivos pessoais e exige pagamento para liberá-los. Infelizmente, a codificação deficiente do FileCoder significa que mesmo o pagamento não restaurará seus dados, tornando essenciais estratégias de prevenção robustas.

O que é FileCoder Ransomware?

O FileCoder é um ransomware que criptografa arquivos e tem como alvo sistemas macOS. Ele frequentemente se disfarça como uma ferramenta de correção para softwares populares, como o Adobe Premiere Pro CC e o Microsoft Office 2016. Pesquisadores observaram inicialmente sua disseminação por meio de plataformas BitTorrent, tornando os usuários que buscam software pirata suas principais vítimas.

O malware afeta principalmente sistemas com OS X 10.11.x (El Capitan) e macOS 10.12.x, embora versões mais antigas e mais recentes também possam ser afetadas. Seu executável não é assinado pela Apple, o que deve servir de alerta para usuários cautelosos.

Como o FileCoder infecta dispositivos?

O processo de infecção começa quando os usuários baixam o que parece ser um "patcher" ou "cracker" para software premium de sites de torrent. Uma vez iniciado, o falso patcher exibe uma janela de progresso com três etapas, mas isso é apenas uma distração. O processo de criptografia começa imediatamente após o usuário clicar em "INICIAR". Quando a interface exibe as etapas 2 ou 3, o dano já está feito.

O FileCoder criptografa tudo na pasta Usuários, deixando os arquivos do sistema e dos aplicativos intactos. Unidades externas e volumes de rede conectados no momento da execução também são alvos. O malware gera uma chave de criptografia aleatória de 25 caracteres localmente e exclui os arquivos originais usando o comando rm. Ele até tenta limpar o espaço livre com o diskutil, mas falha devido a um caminho de arquivo incorreto, um erro que oferece poucas chances de recuperação parcial dos dados.

O que acontece após a criptografia?

Após a conclusão da criptografia, a área de trabalho do usuário é preenchida com notas de resgate, como README.txt e DECRYPT!.txt. As vítimas são instruídas a pagar US$ 280 em Bitcoin para desbloquear seus arquivos em 24 horas ou US$ 500 para uma descriptografia mais rápida. No entanto, essa exigência é enganosa, pois o FileCoder não tem capacidade de se comunicar com um servidor de comando e controle ou enviar uma chave de descriptografia. Em outras palavras, pagar o resgate não restaurará o acesso aos seus arquivos.

Além disso, o ransomware altera a data de modificação dos arquivos criptografados para 13 de fevereiro de 2010 por motivos desconhecidos. Ao reiniciar o sistema, aparece a tela "Entrar no iCloud", pois as preferências e configurações do usuário são criptografadas junto com os dados.

Fraquezas e opções de recuperação

Apesar de seu potencial destrutivo, o FileCoder contém várias falhas:

  • Ele criptografa arquivos lentamente, levando cerca de 30 segundos para um arquivo de vídeo de 250 MB. Uma ação rápida pode interromper a criptografia.
  • Sair do aplicativo no meio do processo interrompe a criptografia dos arquivos.
  • O caminho incorreto do diskutil impede a limpeza segura completa, abrindo uma janela para recuperação parcial usando ferramentas como o Data Rescue.

Pesquisadores também desenvolveram um método para descriptografar arquivos criptografados pelo FileCoder. Esse processo é tedioso e exige conhecimento técnico, mas oferece um último recurso para as vítimas.

Para tentar recuperar arquivos, as vítimas precisam de vários recursos: um segundo computador funcionando, uma cópia não criptografada de pelo menos um dos arquivos criptografados, um editor de texto confiável, as ferramentas de linha de comando do Xcode e o pkcrack, um utilitário que executa um ataque de texto simples conhecido na criptografia de arquivos ZIP.

No entanto, ter uma versão original e não criptografada de um arquivo nem sempre é obrigatório. Se esse arquivo não estiver disponível, os usuários podem usar o ransomware contra si mesmo. Nos casos em que o aplicativo FileCoder foi executado de dentro da pasta do usuário, como o diretório Downloads, o malware provavelmente criptografou seu próprio executável. As vítimas podem baixar uma cópia atualizada do aplicativo infectado para auxiliar no processo de descriptografia.

Pesquisadores alertam que esse método é lento e trabalhoso, já que a descriptografia em massa não é possível. No entanto, para aqueles determinados a recuperar o acesso aos seus dados, essa abordagem oferece um último recurso viável.

Práticas de segurança comprovadas para prevenir infecções

Prevenir infecções de ransomware como o FileCoder é muito mais fácil do que se recuperar delas. Siga estas medidas de segurança para proteger seu sistema:

1. Hábitos de computação seguros

  • Evite baixar software ou patches de sites de torrent ou outras fontes não verificadas.
  • Sempre verifique as assinaturas dos aplicativos e instale somente aplicativos de desenvolvedores confiáveis ou da Mac App Store oficial.
  • Mantenha-se informado sobre as últimas ameaças e avisos de segurança.
  1. Proteção Forte do Sistema
  • Ative uma solução antimalware confiável e mantenha-a atualizada.
  • Faça backups regulares de arquivos importantes usando o Time Machine ou um serviço de backup em nuvem. Armazene os backups offline ou em um local seguro que não esteja constantemente conectado ao seu sistema.
  • Mantenha o macOS e todos os softwares instalados atualizados com os patches de segurança mais recentes.

    • Ao combinar essas práticas, você reduz significativamente sua exposição a ameaças de ransomware e garante que, mesmo nos piores cenários, seus dados permaneçam seguros e recuperáveis.

    Mensagens

    Foram encontradas as seguintes mensagens associadas ao FileCoder macOS Ransomware:

    NOT YOUR LANGUAGE? USE https://translate.google.com

    What happened to your files ?
    All of your files were protected by a strong encryption method.

    What do I do ?

    So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
    If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT

    FOLLOW THESE STEPS:
    1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
    2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
    3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
    4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)

    KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME!

    Tendendo

    Mais visto

    Carregando...