FileCoder — программа-вымогатель для macOS

Киберпреступники постоянно разрабатывают новые способы использования уязвимостей ничего не подозревающих пользователей, и программы-вымогатели остаются одной из самых опасных угроз. Среди пользователей macOS печально известен вирус-вымогатель FileCoder, также известный как Patcher или Findzip. После активации он шифрует ваши личные файлы и требует плату за их разблокировку. К сожалению, из-за низкого качества кода FileCoder даже оплата не восстановит ваши данные, что обуславливает необходимость применения эффективных мер защиты.

Что такое вирус-вымогатель FileCoder?

FileCoder — это вирус-вымогатель, шифрующий файлы и предназначенный для систем macOS. Он часто маскируется под инструмент для установки исправлений для популярных программ, таких как Adobe Premiere Pro CC и Microsoft Office 2016. Исследователи впервые обнаружили, что он распространяется через платформы BitTorrent, делая пользователей, ищущих пиратское ПО, его основными жертвами.

Вредоносное ПО в первую очередь затрагивает системы под управлением OS X 10.11.x (El Capitan) и macOS 10.12.x, хотя уязвимость может проявляться и в более старых, и в более новых версиях. Исполняемый файл не подписан Apple, что должно насторожить пользователей.

Как FileCoder заражает устройства?

Процесс заражения начинается, когда пользователи скачивают с торрент-трекеров нечто, выглядящее как «патчер» или «крекер» для платного ПО. После запуска фальшивый патчер отображает окно с тремя этапами процесса, но это лишь отвлекает внимание. Процесс шифрования начинается сразу после нажатия пользователем кнопки «ПУСК». К моменту отображения в интерфейсе этапа 2/3 ущерб уже нанесён.

FileCoder шифрует все данные в папке «Пользователи», оставляя системные файлы и файлы приложений нетронутыми. Внешние диски и сетевые тома, подключенные во время выполнения, также подвергаются атаке. Вредоносная программа генерирует локально случайный 25-символьный ключ шифрования и удаляет исходные файлы с помощью команды rm. Она даже пытается очистить свободное пространство с помощью diskutil, но это не удается из-за неверного пути к файлу, что даёт небольшой шанс на частичное восстановление данных.

Что происходит после шифрования?

После завершения шифрования на рабочем столе пользователя появляются файлы с требованием выкупа, такие как README.txt и DECRYPT!.txt. Жертвам предлагается заплатить 280 долларов в биткоинах за разблокировку файлов в течение 24 часов или 500 долларов за более быструю расшифровку. Однако это требование обманчиво, поскольку FileCoder не может взаимодействовать с сервером управления и контроля или отправлять ключ дешифрования. Другими словами, выплата выкупа не восстановит доступ к вашим файлам.

Кроме того, вирус-вымогатель по неизвестным причинам меняет дату изменения зашифрованных файлов на 13 февраля 2010 года. При перезагрузке системы появляется экран «Вход в iCloud», поскольку пользовательские настройки и предпочтения шифруются вместе с данными.

Слабые стороны и варианты восстановления

Несмотря на свой деструктивный потенциал, FileCoder содержит ряд недостатков:

• Шифрование файлов происходит медленно: для видеофайла объёмом 250 МБ требуется около 30 секунд. Быстрое действие может привести к прерыванию шифрования.
• Выход из приложения во время процесса останавливает дальнейшее шифрование файла.
• Неправильный путь diskutil не позволяет полностью безопасно очистить данные, предоставляя возможность частичного восстановления с помощью таких инструментов, как Data Rescue.

Исследователи также разработали метод расшифровки файлов, зашифрованных FileCoder. Этот процесс утомителен и требует технических знаний, но он является крайней мерой для жертв.

Чтобы попытаться восстановить файлы, жертвам понадобится несколько ресурсов: второй рабочий компьютер, незашифрованная копия хотя бы одного из зашифрованных файлов, надежный текстовый редактор, инструменты командной строки Xcode и pkcrack — утилита, которая выполняет атаку с использованием известного открытого текста на шифрование ZIP-файла.

Однако наличие оригинальной незашифрованной версии файла не всегда обязательно. Если такой файл отсутствует, пользователи могут использовать программу-вымогатель против неё самой. В случаях, когда приложение FileCoder запускалось из папки пользователя, например, из каталога «Загрузки», вредоносная программа, вероятно, зашифровала свой исполняемый файл. Жертвы могут загрузить новую копию заражённого приложения, чтобы облегчить процесс расшифровки.

Исследователи предупреждают, что этот метод медленный и трудоёмкий, поскольку массовая расшифровка невозможна. Тем не менее, для тех, кто твёрдо намерен восстановить доступ к своим данным, этот подход представляет собой крайнее средство.

Проверенные методы безопасности для предотвращения заражения

Предотвратить заражение программами-вымогателями, такими как FileCoder, гораздо проще, чем восстановиться после них. Для защиты системы следуйте этим мерам безопасности:

1. Безопасные привычки работы на компьютере

• Избегайте загрузки программного обеспечения или исправлений с торрент-сайтов или других непроверенных источников.
• Всегда проверяйте подписи приложений и устанавливайте приложения только от проверенных разработчиков или из официального магазина Mac App Store.
• Будьте в курсе последних угроз и рекомендаций по безопасности.

2. Надежная защита системы

• Подключите надежное решение для защиты от вредоносных программ и регулярно его обновляйте.

Объединяя эти методы, вы значительно снижаете подверженность угрозам программ-вымогателей и гарантируете, что даже в худшем случае ваши данные останутся в безопасности и их можно будет восстановить.