Popust za več licenc
Podjetje o grožnjah Ransomware Izsiljevalska programska oprema FileCoder za macOS

Izsiljevalska programska oprema FileCoder za macOS

Do leta Mezo leta Ransomware
Prevedi v:

Kibernetski kriminalci nenehno razvijajo nove načine za izkoriščanje nič hudega slutečih uporabnikov, izsiljevalska programska oprema pa ostaja ena najbolj škodljivih groženj. Med uporabniki macOS-a je izsiljevalska programska oprema FileCoder, znana tudi kot Patcher ali Findzip, znan primer. Ko se aktivira, šifrira vaše osebne datoteke in zahteva plačilo za njihovo objavo. Žal slaba koda FileCoderja pomeni, da tudi plačilo ne bo obnovilo vaših podatkov, zato so močne strategije preprečevanja bistvene.

Kaj je izsiljevalska programska oprema FileCoder?

FileCoder je izsiljevalska programska oprema za šifriranje datotek, ki cilja na sisteme macOS. Pogosto se prikriva kot orodje za nameščanje popravkov za priljubljeno programsko opremo, kot sta Adobe Premiere Pro CC in Microsoft Office 2016. Raziskovalci so najprej opazili, da se širi prek platform BitTorrent, zaradi česar so bili uporabniki, ki iščejo piratsko programsko opremo, njene glavne žrtve.

Zlonamerna programska oprema prizadene predvsem sisteme z operacijskim sistemom OS X 10.11.x (El Capitan) in macOS 10.12.x, čeprav so lahko prizadete tudi starejše in novejše različice. Njena izvedljiva datoteka ni podpisana s strani Apple, kar bi moralo biti opozorilo za previdne uporabnike.

Kako FileCoder okuži naprave?

Proces okužbe se začne, ko uporabniki s torrent strani prenesejo nekaj, kar je videti kot »patcher« ali »cracker« za premium programsko opremo. Ko se ponarejeni patcher zažene, prikaže okno napredka s tremi koraki, vendar je to le moteč dejavnik. Postopek šifriranja se začne takoj, ko uporabnik klikne »START«. Ko vmesnik prikaže 2./3. korak, je škoda že storjena.

FileCoder šifrira vse v mapi Uporabniki, pri čemer sistemske datoteke in datoteke aplikacij ostanejo nedotaknjene. Tarča so tudi zunanji pogoni in omrežne nosilci podatkov, ki so povezani v času izvajanja. Zlonamerna programska oprema lokalno ustvari 25-mestni naključni šifrirni ključ in z ukazom rm izbriše izvirne datoteke. Poskuša celo izbrisati prosti prostor z ukazom diskutil, vendar ne uspe zaradi napačne poti do datoteke, kar je napaka, ki zagotavlja majhno možnost delne obnovitve podatkov.

Kaj se zgodi po šifriranju?

Ko je šifriranje končano, se uporabnikovo namizje napolni z zahtevami za odkupnino, kot sta README.txt in DECRYPT!.txt. Žrtve dobijo navodila, naj plačajo 280 dolarjev v bitcoinih za odklepanje datotek v 24 urah ali 500 dolarjev za hitrejše dešifriranje. Vendar je ta zahteva zavajajoča, ker FileCoder nima zmožnosti komunikacije s strežnikom za upravljanje in nadzor ali pošiljanja ključa za dešifriranje. Z drugimi besedami, plačilo odkupnine ne bo obnovilo dostopa do datotek.

Poleg tega izsiljevalska programska oprema iz neznanih razlogov spremeni datum spremembe šifriranih datotek na 13. februar 2010. Ponovni zagon sistema prikaže zaslon »Prijava v iCloud«, saj so uporabniške nastavitve šifrirane skupaj s podatki.

Slabosti in možnosti okrevanja

Kljub svojemu uničujočemu potencialu ima FileCoder več pomanjkljivosti:

  • Datoteke šifrira počasi, za video datoteko velikosti 250 MB traja približno 30 sekund. Hitro dejanje lahko ustavi šifriranje.
  • Če aplikacijo zaprete sredi procesa, se nadaljnje šifriranje datotek ustavi.
  • Napačna pot do datoteke diskutil preprečuje popolno varno brisanje in ponuja možnost delne obnovitve z orodji, kot je Data Rescue.

Raziskovalci so razvili tudi metodo za dešifriranje datotek, šifriranih s FileCoderjem. Ta postopek je dolgotrajen in zahteva tehnično znanje, vendar žrtvam ponuja zadnjo možnost.

Za poskus obnovitve datotek žrtve potrebujejo več virov: drugi delujoč računalnik, nešifrirano kopijo vsaj ene od šifriranih datotek, zanesljiv urejevalnik besedil, orodja ukazne vrstice Xcode in pkcrack, pripomoček, ki izvaja napad z znanim golim besedilom na šifrirane datoteke ZIP.

Vendar pa izvirna, nešifrirana različica datoteke ni vedno obvezna. Če taka datoteka ni na voljo, lahko uporabniki izsiljevalsko programsko opremo izkoristijo proti sebi. V primerih, ko je bila aplikacija FileCoder izvedena iz uporabniške mape, kot je imenik Prenosi, je zlonamerna programska oprema verjetno šifrirala svojo izvedljivo datoteko. Žrtve lahko prenesejo novo kopijo okužene aplikacije, da si pomagajo pri postopku dešifriranja.

Raziskovalci opozarjajo, da je ta metoda počasna in delovno intenzivna, saj množično dešifriranje ni mogoče. Kljub temu pa je za tiste, ki so odločeni ponovno pridobiti dostop do svojih podatkov, ta pristop smiselna zadnja možnost.

Preverjeni varnostni postopki za preprečevanje okužb

Preprečevanje okužb z izsiljevalsko programsko opremo, kot je FileCoder, je veliko lažje kot okrevanje po njih. Za zaščito sistema upoštevajte te varnostne ukrepe:

1. Varne računalniške navade

  • Izogibajte se prenosu programske opreme ali popravkov s torrent strani ali drugih nepreverjenih virov.
  • Vedno preverite podpise aplikacij in nameščajte samo aplikacije zaupanja vrednih razvijalcev ali uradne trgovine Mac App Store.
  • Bodite obveščeni o najnovejših grožnjah in varnostnih nasvetih.
  1. Močna zaščita sistema
  • Omogočite ugledno rešitev za zaščito pred zlonamerno programsko opremo in jo redno posodabljajte.
  • Redno varnostno kopirajte pomembne datoteke s storitvijo Time Machine ali storitvijo varnostnega kopiranja v oblaku. Varnostne kopije shranjujte brez povezave ali na varnem mestu, ki ni nenehno povezano z vašim sistemom.
  • Poskrbite, da bo macOS in vsa nameščena programska oprema posodobljena z najnovejšimi varnostnimi popravki.

Z združevanjem teh praks znatno zmanjšate izpostavljenost grožnjam izsiljevalske programske opreme in zagotovite, da vaši podatki ostanejo varni in obnovljivi tudi v najslabših primerih.

Sporočila

Najdena so bila naslednja sporočila, povezana z Izsiljevalska programska oprema FileCoder za macOS:

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption method.

What do I do ?

So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT

FOLLOW THESE STEPS:
1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)

KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME!

V trendu

Geslo računa je staro - prevara z e-pošto

Lažno predstavljanje, Neželena pošta
Goljufi še naprej ustvarjajo zavajajoče e-poštne kampanje, s katerimi nič hudega sluteče uporabnike prepričajo, da razkrijejo občutljive podatke. Ena takšnih prevar, ki trenutno kroži, je e-poštna prevara »Nujno varnostno opozorilo«, ki se pojavlja pod krinko sporočila z naslovom »Geslo računa je staro«. Čeprav se na prvi pogled zdijo legitimna, so ta e-poštna sporočila goljufiva in...

Najbolj gledan

Nalaganje...