Ransomvér FileCoder pre macOS

Kyberzločinci neustále vyvíjajú nové spôsoby, ako zneužiť nič netušiacich používateľov, a ransomvér zostáva jednou z najškodlivejších hrozieb. Medzi používateľmi macOS je ransomvér FileCoder, známy aj ako Patcher alebo Findzip, notoricky známym príkladom. Po aktivácii zašifruje vaše osobné súbory a požaduje platbu za ich uvoľnenie. Zlý kód FileCoderu bohužiaľ znamená, že ani platba neobnoví vaše dáta, a preto sú nevyhnutné silné preventívne stratégie.

Čo je FileCoder Ransomware?

FileCoder je ransomvér na šifrovanie súborov, ktorý je zameraný na systémy macOS. Často sa maskuje ako nástroj na opravu populárneho softvéru, ako je Adobe Premiere Pro CC a Microsoft Office 2016. Výskumníci ho najprv pozorovali pri šírení prostredníctvom platforiem BitTorrent, čím sa jeho hlavnými obeťami stali používatelia vyhľadávajúci pirátsky softvér.

Malvér postihuje predovšetkým systémy so systémom OS X 10.11.x (El Capitan) a macOS 10.12.x, hoci ovplyvnené môžu byť aj staršie a novšie verzie. Jeho spustiteľný súbor nie je podpísaný spoločnosťou Apple, čo by malo slúžiť ako varovný signál pre opatrných používateľov.

Ako FileCoder infikuje zariadenia?

Proces infikovania sa začína, keď si používatelia stiahnu z torrentových stránok niečo, čo vyzerá ako „patcher“ alebo „cracker“ pre prémiový softvér. Po spustení falošný patch zobrazuje okno priebehu s tromi krokmi, ale to je len rozptýlenie. Proces šifrovania sa začína ihneď po kliknutí používateľa na tlačidlo „ŠTART“. V čase, keď rozhranie zobrazí krok 2/3, je už škoda napáchaná.

FileCoder šifruje všetko v priečinku Používatelia, pričom systémové súbory a súbory aplikácií zostanú nedotknuté. Cieľom sú aj externé disky a sieťové zväzky pripojené v čase spustenia. Malvér lokálne generuje 25-miestny náhodný šifrovací kľúč a pomocou príkazu rm vymaže pôvodné súbory. Dokonca sa pokúša vymazať voľné miesto pomocou diskutil, ale zlyhá kvôli nesprávnej ceste k súboru, čo je chyba, ktorá poskytuje malú šancu na čiastočnú obnovu dát.

Čo sa stane po šifrovaní?

Po dokončení šifrovania sa pracovná plocha používateľa zaplní výzvami na výkupné, ako napríklad README.txt a DECRYPT!.txt. Obeťam sa odporúča zaplatiť 280 dolárov v bitcoinoch za odomknutie súborov do 24 hodín alebo 500 dolárov za rýchlejšie dešifrovanie. Táto požiadavka je však klamlivá, pretože FileCoder nemá schopnosť komunikovať so serverom Command-and-Control ani odoslať dešifrovací kľúč. Inými slovami, zaplatenie výkupného neobnoví prístup k súborom.

Okrem toho ransomvér z neznámych dôvodov zmení dátum úpravy šifrovaných súborov na 13. februára 2010. Po reštarte systému sa zobrazí obrazovka „Prihlásiť sa do iCloudu“, pretože spolu s údajmi sa zašifrujú aj používateľské preferencie a nastavenia.

Slabé stránky a možnosti obnovy

Napriek svojmu deštruktívnemu potenciálu má FileCoder niekoľko nedostatkov:

• Súbory šifruje pomaly, pričom pre video súbor s veľkosťou 250 MB to trvá približne 30 sekúnd. Rýchla akcia môže šifrovanie zastaviť.
• Ukončenie aplikácie počas procesu zastaví ďalšie šifrovanie súborov.
• Nesprávna cesta k diskutil bráni úplnému bezpečnému vymazaniu a ponúka možnosť čiastočnej obnovy pomocou nástrojov ako Data Rescue.

Výskumníci tiež vyvinuli metódu na dešifrovanie súborov zašifrovaných pomocou FileCoderu. Tento proces je zdĺhavý a vyžaduje si technické znalosti, ale pre obete ponúka poslednú možnosť.

Na pokus o obnovu súborov potrebujú obete niekoľko zdrojov: druhý funkčný počítač, nešifrovanú kópiu aspoň jedného zo šifrovaných súborov, spoľahlivý textový editor, nástroje príkazového riadka Xcode a pkcrack, nástroj, ktorý vykonáva útok so známym otvoreným textom na šifrovanie súborov ZIP.

Mať originálnu, nezašifrovanú verziu súboru však nie je vždy povinné. Ak takýto súbor nie je k dispozícii, používatelia môžu ransomvér zneužiť proti sebe samému. V prípadoch, keď bola aplikácia FileCoder spustená z priečinka používateľa, napríklad z adresára Stiahnuté súbory, malvér pravdepodobne zašifroval svoj vlastný spustiteľný súbor. Obete si môžu stiahnuť novú kópiu infikovanej aplikácie, aby si pomohli s procesom dešifrovania.

Výskumníci varujú, že táto metóda je pomalá a prácna, pretože hromadné dešifrovanie nie je možné. Napriek tomu pre tých, ktorí sú odhodlaní znovu získať prístup k svojim údajom, tento prístup predstavuje schodnú poslednú možnosť.

Osvedčené bezpečnostné postupy na prevenciu infekcie

Prevencia ransomvérových infekcií, ako je FileCoder, je oveľa jednoduchšia ako zotavenie sa z nich. Na ochranu svojho systému dodržiavajte tieto bezpečnostné opatrenia:

1. Bezpečné počítačové návyky

• Vyhnite sa sťahovaniu softvéru alebo záplat z torrent stránok alebo iných neoverených zdrojov.
• Vždy kontrolujte podpisy aplikácií a inštalujte aplikácie iba od dôveryhodných vývojárov alebo z oficiálneho obchodu Mac App Store.
• Zostaňte informovaní o najnovších hrozbách a bezpečnostných odporúčaniach.

2. Silná ochrana systému

• Povoľte renomované riešenie proti škodlivému softvéru a udržiavajte ho aktualizované.

• Pravidelne zálohujte dôležité súbory pomocou služby Time Machine alebo cloudovej zálohovacej služby. Zálohy ukladajte offline alebo na bezpečné miesto, ktoré nie je neustále pripojené k vášmu systému.

• Udržujte systém macOS a všetok nainštalovaný softvér aktuálny pomocou najnovších bezpečnostných záplat.

Kombináciou týchto postupov výrazne znižujete vystavenie hrozbám ransomvéru a zabezpečujete, že aj v najhorších prípadoch zostanú vaše údaje v bezpečí a obnoviteľné.