FileCoder macOS Ransomware

Cyberbrottslingar utvecklar ständigt nya sätt att utnyttja intet ont anande användare, och ransomware är fortfarande ett av de mest skadliga hoten. Bland macOS-användare är FileCoder ransomware, även känt som Patcher eller Findzip, ett ökänt exempel. När det aktiverats krypterar det dina personliga filer och kräver betalning för att de ska släppas. Tyvärr innebär FileCoders dåliga kodning att inte ens betalning kommer att återställa dina data, vilket gör starka förebyggande strategier avgörande.

Vad är FileCoder-ransomware?

FileCoder är ett filkrypterande ransomware som riktar sig mot macOS-system. Det förklär sig ofta som ett patchverktyg för populär programvara som Adobe Premiere Pro CC och Microsoft Office 2016. Forskare observerade först att det spreds via BitTorrent-plattformar, vilket gjorde användare som sökte piratkopierad programvara till sina främsta offer.

Skadlig programvara drabbar främst system som kör OS X 10.11.x (El Capitan) och macOS 10.12.x, även om äldre och nyare versioner också kan påverkas. Dess körbara fil är inte signerad av Apple, vilket bör fungera som en varningssignal för försiktiga användare.

Hur infekterar FileCoder enheter?

Infektionsprocessen startar när användare laddar ner vad som verkar vara en "patcher" eller "cracker" för premiumprogramvara från torrentsajter. När den falska patchern har startats visar den ett förloppsfönster med tre steg, men detta är bara en distraktion. Krypteringsprocessen börjar omedelbart efter att användaren klickat på "STARTA". När gränssnittet visar steg 2/3 är skadan redan skedd.

FileCoder krypterar allt i Användarmappen och lämnar system- och programfiler orörda. Externa hårddiskar och nätverksvolymer som är anslutna vid tidpunkten för körning är också måltavlor. Skadlig programvara genererar en slumpmässig krypteringsnyckel på 25 tecken lokalt och raderar originalfiler med hjälp av kommandot rm. Den försöker till och med rensa ledigt utrymme med diskutil, men misslyckas på grund av en felaktig filsökväg, ett fel som ger en liten chans till partiell dataåterställning.

Vad händer efter kryptering?

När krypteringen är klar fylls användarens skrivbord med lösensumman som README.txt och DECRYPT!.txt. Offren instrueras att betala 280 dollar i Bitcoin för att låsa upp sina filer inom 24 timmar eller 500 dollar för snabbare dekryptering. Detta krav är dock vilseledande eftersom FileCoder inte har någon möjlighet att kommunicera med en kommando- och kontrollserver eller skicka en dekrypteringsnyckel. Med andra ord kommer betalning av lösensumman inte att återställa åtkomsten till dina filer.

Dessutom ändrar ransomwaret av okända skäl ändringsdatumet för krypterade filer till 13 februari 2010. En systemomstart visar skärmen "Logga in på iCloud", eftersom användarinställningar och inställningar krypteras tillsammans med informationen.

Svagheter och återhämtningsalternativ

Trots sin destruktiva potential innehåller FileCoder flera brister:

• Den krypterar filer långsamt och tar cirka 30 sekunder för en videofil på 250 MB. Snabb åtgärd kan stoppa krypteringen.
• Om du avslutar programmet mitt i processen stoppas ytterligare filkryptering.
• Felaktig diskutil-sökväg förhindrar fullständig säker radering, vilket ger ett fönster för delvis återställning med verktyg som Data Rescue.

Forskare har också utvecklat en metod för att dekryptera FileCoder-krypterade filer. Denna process är mödosam och kräver teknisk kunskap, men den erbjuder en sista utväg för offren.

För att försöka återställa filer behöver offren flera resurser: en andra fungerande dator, en okrypterad kopia av minst en av de krypterade filerna, en pålitlig textredigerare, kommandoradsverktygen Xcode och pkcrack, ett verktyg som utför en känd klartextattack på ZIP-filkryptering.

Det är dock inte alltid obligatoriskt att ha en original, okrypterad version av en fil. Om ingen sådan fil finns tillgänglig kan användare utnyttja ransomware mot sig själv. I de fall där FileCoder-appen kördes inifrån användarmappen, till exempel nedladdningskatalogen, krypterade skadlig kod sannolikt sin egen körbara fil. Offren kan ladda ner en ny kopia av den infekterade applikationen för att underlätta dekrypteringsprocessen.

Forskare varnar för att den här metoden är långsam och arbetskrävande, eftersom massdekryptering inte är möjlig. För de som är fast beslutna att återfå åtkomsten till sina data är denna metod dock en gångbar sista utväg.

Beprövade säkerhetsrutiner för att förhindra infektion

Att förhindra ransomware-infektioner som FileCoder är mycket enklare än att återhämta sig från dem. Följ dessa säkerhetsåtgärder för att skydda ditt system:

1. Säkra datorvanor

• Undvik att ladda ner programvara eller patchar från torrentsajter eller andra overifierade källor.
• Kontrollera alltid programsignaturer och installera endast appar från betrodda utvecklare eller den officiella Mac App Store.
• Håll dig informerad om de senaste hoten och säkerhetsråden.

2. Starkt systemskydd

• Aktivera en pålitlig lösning mot skadlig kod och håll den uppdaterad.

• Säkerhetskopiera regelbundet viktiga filer med Time Machine eller en molnbaserad säkerhetskopieringstjänst. Förvara säkerhetskopior offline eller på en säker plats som inte är ständigt ansluten till ditt system.

• Håll macOS och all installerad programvara uppdaterade med de senaste säkerhetsuppdateringarna.

Genom att kombinera dessa metoder minskar du avsevärt din exponering för ransomware-hot och säkerställer att dina data förblir säkra och återställningsbara även i värsta tänkbara scenarier.