FileCoder рансомвер за macOS

Сајбер криминалци стално развијају нове начине да искористе неопрезне кориснике, а ransomware остаје једна од најштетнијих претњи. Међу корисницима macOS-а, ransomware FileCoder, познат и као Patcher или Findzip, је озлоглашени пример. Једном активиран, шифрује ваше личне датотеке и захтева плаћање за њихово објављивање. Нажалост, лоше кодирање FileCoder-а значи да чак ни плаћање неће вратити ваше податке, што чини снажне стратегије превенције неопходним.

Шта је FileCoder Ransomware?

FileCoder је ransomware за шифровање датотека који циља macOS системе. Често се маскира као алат за закрпе за популарни софтвер као што су Adobe Premiere Pro CC и Microsoft Office 2016. Истраживачи су прво приметили да се шири преко BitTorrent платформи, што је учинило кориснике који траже пиратски софтвер његовим примарним жртвама.

Злонамерни софтвер првенствено погађа системе који користе OS X 10.11.x (El Capitan) и macOS 10.12.x, мада могу бити погођене и старије и новије верзије. Његов извршни фајл није потписан од стране компаније Apple, што би требало да послужи као упозорење за опрезне кориснике.

Како FileCoder инфицира уређаје?

Процес инфекције почиње када корисници преузму нешто што изгледа као „закрпа“ или „крекер“ за премијум софтвер са торент сајтова. Након покретања, лажна закрпа приказује прозор напретка са три корака, али то је само сметња. Процес шифровања почиње одмах након што корисник кликне на „СТАРТ“. Док интерфејс прикаже корак 2/3, штета је већ учињена.

FileCoder шифрује све у фолдеру Users (Корисници), остављајући системске и апликацијске датотеке нетакнутим. Спољни дискови и мрежни томови повезани у тренутку извршавања такође су мета. Злонамерни софтвер локално генерише насумични кључ за шифровање од 25 карактера и брише оригиналне датотеке помоћу команде rm. Чак покушава да обрише слободан простор помоћу diskutil-а, али не успева због погрешне путање датотеке, грешке која пружа мале шансе за делимични опоравак података.

Шта се дешава након шифровања?

Када се шифровање заврши, корисничка радна површина се пуни обавештењима о откупу као што су README.txt и DECRYPT!.txt. Жртвама се налаже да плате 280 долара у Биткоинима да би откључале своје датотеке у року од 24 сата или 500 долара за брже дешифровање. Међутим, овај захтев је обмањујући јер FileCoder нема могућност комуникације са командно-контролним сервером или слања кључа за дешифровање. Другим речима, плаћање откупа неће вратити приступ вашим датотекама.

Поред тога, ransomware мења датум измене шифрованих датотека на 13. фебруар 2010. из непознатих разлога. Поновно покретање система приказује екран „Пријавите се на iCloud“, јер се корисничке преференције и подешавања шифрују заједно са подацима.

Слабости и опције опоравка

Упркос свом деструктивном потенцијалу, FileCoder садржи неколико недостатака:

• Споро шифрује датотеке, потребно је око 30 секунди за видео датотеку од 250 MB. Брза акција може зауставити шифровање.
• Затварање апликације усред процеса зауставља даље шифровање датотека.
• Нетачна путања diskutil-а спречава потпуно безбедно брисање, нудећи прозор за делимични опоравак помоћу алата као што је Data Rescue.

Истраживачи су такође развили метод за дешифровање датотека шифрованих помоћу FileCoder-а. Овај процес је мукотрпан и захтева техничко знање, али нуди последње средство за жртве.

Да би покушале да опораве датотеке, жртвама је потребно неколико ресурса: други функционалан рачунар, нешифрована копија барем једне од шифрованих датотека, поуздан уређивач текста, алати командне линије Xcode и pkcrack, услужни програм који изводи напад познатим отвореним текстом на шифровање ZIP датотека.

Међутим, поседовање оригиналне, нешифроване верзије датотеке није увек обавезно. Ако таква датотека није доступна, корисници могу искористити ransomware против самог себе. У случајевима када је апликација FileCoder покренута из корисничке фасцикле, као што је директоријум Downloads, злонамерни софтвер је вероватно шифровао сопствену извршну датотеку. Жртве могу преузети нову копију заражене апликације како би помогле у процесу дешифровања.

Истраживачи упозоравају да је ова метода спора и захтева много рада, јер групно дешифровање није могуће. Ипак, за оне који су одлучни да поврате приступ својим подацима, овај приступ пружа одрживу последњу могућност.

Доказане безбедносне праксе за спречавање инфекције

Спречавање ransomware инфекција попут FileCoder-а је много лакше него опоравак од њих. Пратите ове безбедносне мере да бисте заштитили свој систем:

1. Безбедне навике рада на рачунару

• Избегавајте преузимање софтвера или закрпа са торент сајтова или других непроверених извора.
• Увек проверавајте потписе апликација и инсталирајте само апликације од поузданих програмера или из званичне Mac App Store продавнице.
• Будите информисани о најновијим претњама и безбедносним саветима.

2. Јака заштита система

• Омогућите реномирано решење за заштиту од злонамерног софтвера и редовно га ажурирајте.

• Редовно правите резервне копије важних датотека користећи Time Machine или услугу резервних копија у облаку. Чувајте резервне копије офлајн или на безбедној локацији која није стално повезана са вашим системом.

• Редовно ажурирајте macOS и сав инсталирани софтвер најновијим безбедносним закрпама.

Комбиновањем ових пракси, значајно смањујете изложеност претњама ransomware-а и осигуравате да чак и у најгорим сценаријима ваши подаци остану безбедни и да се могу опоравити.