Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Ransomware Ransomware-ul FileCoder pentru macOS

Ransomware-ul FileCoder pentru macOS

Până în Mezo în Ransomware
Tradu in:

Infractorii cibernetici dezvoltă constant noi modalități de a exploata utilizatorii neavizați, iar ransomware-ul rămâne una dintre cele mai dăunătoare amenințări. Printre utilizatorii macOS, ransomware-ul FileCoder, cunoscut și sub numele de Patcher sau Findzip, este un exemplu notoriu. Odată activat, acesta criptează fișierele personale și cere plată pentru publicarea lor. Din păcate, codarea slabă a FileCoder înseamnă că nici măcar plata nu va restaura datele, ceea ce face ca strategiile puternice de prevenție să fie esențiale.

Ce este ransomware-ul FileCoder?

FileCoder este un ransomware de criptare a fișierelor care vizează sistemele macOS. Adesea se deghizează într-un instrument de patch-uri pentru software popular, cum ar fi Adobe Premiere Pro CC și Microsoft Office 2016. Cercetătorii au observat pentru prima dată că se răspândește prin platformele BitTorrent, făcând din utilizatorii care caută software piratat principalele sale victime.

Malware-ul afectează în principal sistemele care rulează OS X 10.11.x (El Capitan) și macOS 10.12.x, deși pot fi afectate și versiuni mai vechi și mai noi. Fișierul său executabil nu este semnat de Apple, ceea ce ar trebui să servească drept semnal de alarmă pentru utilizatorii precauți.

Cum infectează FileCoder dispozitivele?

Procesul de infectare începe atunci când utilizatorii descarcă ceea ce pare a fi un „patcher” sau un „cracker” pentru software premium de pe site-uri torrent. Odată lansat, packer-ul fals afișează o fereastră de progres cu trei pași, dar aceasta este doar o distragere a atenției. Procesul de criptare începe imediat după ce utilizatorul dă clic pe „START”. Până când interfața afișează pașii 2/3, paguba este deja făcută.

FileCoder criptează tot ce se află în folderul Users, lăsând fișierele de sistem și de aplicație intacte. Sunt vizate și unitățile externe și volumele de rețea conectate în momentul execuției. Malware-ul generează local o cheie de criptare aleatorie de 25 de caractere și șterge fișierele originale folosind comanda rm. Încearcă chiar să șteargă spațiul liber cu diskutil, dar eșuează din cauza unei căi incorecte de fișier, o eroare care oferă o șansă mică de recuperare parțială a datelor.

Ce se întâmplă după criptare?

Odată ce criptarea este completă, desktopul utilizatorului se umple cu note de recompensă, cum ar fi README.txt și DECRYPT!.txt. Victimele sunt instruite să plătească 280 USD în Bitcoin pentru a debloca fișierele în termen de 24 de ore sau 500 USD pentru o decriptare mai rapidă. Cu toate acestea, această cerere este înșelătoare, deoarece FileCoder nu are capacitatea de a comunica cu un server de comandă și control sau de a trimite o cheie de decriptare. Cu alte cuvinte, plata recompensei nu va restabili accesul la fișierele dvs.

În plus, ransomware-ul modifică data modificării fișierelor criptate la 13 februarie 2010, din motive necunoscute. O repornire a sistemului afișează un ecran „Conectați-vă la iCloud”, deoarece preferințele și setările utilizatorului sunt criptate împreună cu datele.

Puncte slabe și opțiuni de recuperare

În ciuda potențialului său distructiv, FileCoder conține mai multe defecte:

  • Criptează fișierele lent, durând aproximativ 30 de secunde pentru un fișier video de 250 MB. O acțiune rapidă poate opri criptarea.
  • Închiderea aplicației în timpul procesului oprește criptarea ulterioară a fișierelor.
  • Calea incorectă de pe diskutil împiedică ștergerea completă și securizată, oferind o fereastră pentru recuperare parțială folosind instrumente precum Data Rescue.

Cercetătorii au dezvoltat, de asemenea, o metodă de decriptare a fișierelor criptate cu FileCoder. Acest proces este plictisitor și necesită cunoștințe tehnice, dar oferă o ultimă soluție pentru victime.

Pentru a încerca recuperarea fișierelor, victimele au nevoie de mai multe resurse: un al doilea computer funcțional, o copie necriptată a cel puțin unuia dintre fișierele criptate, un editor de text fiabil, instrumentele din linia de comandă Xcode și pkcrack, un utilitar care efectuează un atac de tip „plaintext” asupra criptării fișierelor ZIP.

Totuși, deținerea unei versiuni originale, necriptate, a unui fișier nu este întotdeauna obligatorie. Dacă nu este disponibil un astfel de fișier, utilizatorii ar putea folosi ransomware-ul împotriva sa. În cazurile în care aplicația FileCoder a fost executată din folderul utilizatorului, cum ar fi directorul Descărcări, malware-ul a criptat probabil propriul fișier executabil. Victimele pot descărca o copie nouă a aplicației infectate pentru a ajuta la procesul de decriptare.

Cercetătorii avertizează că această metodă este lentă și necesită multă muncă, deoarece decriptarea în masă nu este posibilă. Cu toate acestea, pentru cei hotărâți să își recapete accesul la datele lor, această abordare oferă o ultimă soluție viabilă.

Practici de securitate dovedite pentru prevenirea infecțiilor

Prevenirea infecțiilor ransomware precum FileCoder este mult mai ușoară decât recuperarea după ele. Urmați aceste măsuri de securitate pentru a vă proteja sistemul:

1. Obiceiuri de utilizare sigură a computerului

  • Evitați descărcarea de software sau patch-uri de pe site-uri torrent sau alte surse neverificate.
  • Verificați întotdeauna semnăturile aplicațiilor și instalați aplicații doar de la dezvoltatori de încredere sau din magazinul oficial Mac App Store.
  • Rămâi la curent cu cele mai recente amenințări și avertismente de securitate.
  1. Protecție puternică a sistemului
  • Activați o soluție anti-malware reputată și mențineți-o actualizată.
  • Faceți copii de rezervă ale fișierelor importante în mod regulat folosind Time Machine sau un serviciu de backup bazat pe cloud. Stocați copiile de rezervă offline sau într-o locație sigură, care nu este conectată constant la sistemul dvs.
  • Mențineți macOS și tot software-ul instalat la zi cu cele mai recente patch-uri de securitate.

Prin combinarea acestor practici, reduceți semnificativ expunerea la amenințările ransomware și vă asigurați că, chiar și în cele mai grave scenarii, datele dumneavoastră rămân în siguranță și recuperabile.

Mesaje

Au fost găsite următoarele mesaje asociate cu Ransomware-ul FileCoder pentru macOS:

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption method.

What do I do ?

So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT

FOLLOW THESE STEPS:
1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)

KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME!

Trending

Parola contului este o înșelătorie prin e-mail veche

phishing, Spam
Escrocii continuă să creeze campanii de e-mailuri înșelătoare pentru a păcăli utilizatorii neavizați să ofere informații sensibile. O astfel de escrocherie care circulă în prezent este escrocheria prin e-mail „Alertă de securitate urgentă”, care apare sub masca unui mesaj intitulat „Parola contului este veche”. Deși par legitime la prima vedere, aceste e-mailuri sunt frauduloase și reprezintă o...

Cele mai văzute

Se încarcă...