FileCoder macOS Ransomware

Ang mga cybercriminal ay patuloy na gumagawa ng mga bagong paraan upang pagsamantalahan ang mga hindi pinaghihinalaang gumagamit, at ang ransomware ay nananatiling isa sa mga pinakanakakapinsalang banta. Sa mga gumagamit ng macOS, ang FileCoder ransomware, na kilala rin bilang Patcher o Findzip, ay isang kilalang halimbawa. Kapag na-activate na, ine-encrypt nito ang iyong mga personal na file at humihingi ng bayad para sa kanilang paglabas. Sa kasamaang palad, ang mahinang coding ng FileCoder ay nangangahulugan na kahit na ang pagbabayad ay hindi maibabalik ang iyong data, na ginagawang mahalaga ang malakas na mga diskarte sa pag-iwas.

Ano ang FileCoder Ransomware?

Ang FileCoder ay isang file-encrypting ransomware na nagta-target sa mga macOS system. Madalas itong nagpapakilala bilang isang tool sa pag-patching para sa sikat na software tulad ng Adobe Premiere Pro CC at Microsoft Office 2016. Una itong naobserbahan ng mga mananaliksik na kumakalat ito sa pamamagitan ng mga platform ng BitTorrent, na ginagawang mga pangunahing biktima ang mga user na naghahanap ng pirated software.

Pangunahing nakakaapekto ang malware sa mga system na nagpapatakbo ng OS X 10.11.x (El Capitan) at macOS 10.12.x, bagama't maaari ding maapektuhan ang mga luma at mas bagong bersyon. Ang executable nito ay hindi nilagdaan ng Apple, na dapat magsilbi bilang pulang bandila para sa mga maingat na gumagamit.

Paano Nakakahawa ang FileCoder sa Mga Device?

Magsisimula ang proseso ng impeksyon kapag nag-download ang mga user ng tila 'patcher' o 'cracker' para sa premium na software mula sa mga torrent site. Sa sandaling inilunsad, ang pekeng patcher ay nagpapakita ng isang window ng pag-unlad na may tatlong hakbang, ngunit ito ay isang kaguluhan lamang. Ang proseso ng pag-encrypt ay magsisimula kaagad pagkatapos i-click ng user ang 'START.' Sa oras na ang interface ay nagpapakita ng hakbang 2/3, ang pinsala ay tapos na.

Ini-encrypt ng FileCoder ang lahat sa folder ng Mga User, na iniiwan ang mga file ng system at application na hindi nagalaw. Ang mga panlabas na drive at dami ng network na konektado sa oras ng pagpapatupad ay naka-target din. Ang malware ay bumubuo ng 25-character na random na encryption key nang lokal at nagtatanggal ng mga orihinal na file gamit ang rm command. Sinusubukan pa nitong punasan ang libreng espasyo gamit ang diskutil, ngunit nabigo dahil sa maling landas ng file, isang error na nagbibigay ng maliit na pagkakataon para sa bahagyang pagbawi ng data.

Ano ang Mangyayari Pagkatapos ng Pag-encrypt?

Kapag nakumpleto na ang pag-encrypt, ang desktop ng user ay mapupuno ng mga ransom note gaya ng README.txt at DECRYPT!.txt. Ang mga biktima ay inutusan na magbayad ng $280 sa Bitcoin upang i-unlock ang kanilang mga file sa loob ng 24 na oras o $500 para sa mas mabilis na pag-decryption. Gayunpaman, mapanlinlang ang demand na ito dahil walang kakayahan ang FileCoder na makipag-ugnayan sa isang command-and-control server o magpadala ng decryption key. Sa madaling salita, ang pagbabayad ng ransom ay hindi magbabalik ng access sa iyong mga file.

Bukod pa rito, binago ng ransomware ang petsa ng pagbabago ng mga naka-encrypt na file sa Pebrero 13, 2010 para sa hindi kilalang dahilan. Ang pag-reboot ng system ay nagpapakita ng screen na 'Mag-sign in sa iCloud', dahil naka-encrypt ang mga kagustuhan at setting ng user kasama ng data.

Mga Kahinaan at Mga Opsyon sa Pagbawi

Sa kabila ng mapanirang potensyal nito, ang FileCoder ay naglalaman ng ilang mga bahid:

• Mabagal itong nag-e-encrypt ng mga file, na tumatagal ng humigit-kumulang 30 segundo para sa isang 250 MB na video file. Maaaring ihinto ng mabilisang pagkilos ang pag-encrypt.
• Ang pagtigil sa aplikasyon sa kalagitnaan ng proseso ay humihinto sa karagdagang pag-encrypt ng file.
• Pinipigilan ng maling diskutil path ang kumpletong secure na pagpupunas, na nag-aalok ng window para sa bahagyang pagbawi gamit ang mga tool tulad ng Data Rescue.

Ang mga mananaliksik ay nakabuo din ng isang paraan upang i-decrypt ang mga file na naka-encrypt na FileCoder. Ang prosesong ito ay nakakapagod at nangangailangan ng teknikal na kaalaman, ngunit nag-aalok ito ng huling paraan para sa mga biktima.

Upang subukan ang pagbawi ng file, ang mga biktima ay nangangailangan ng ilang mapagkukunan: isang pangalawang gumaganang computer, isang hindi naka-encrypt na kopya ng hindi bababa sa isa sa mga naka-encrypt na file, isang maaasahang text editor, ang Xcode command-line tool, at pkcrack, isang utility na nagsasagawa ng kilalang-plaintext na pag-atake sa ZIP file encryption.

Gayunpaman, ang pagkakaroon ng orihinal at hindi naka-encrypt na bersyon ng isang file ay hindi palaging sapilitan. Kung walang ganoong file na available, maaaring gamitin ng mga user ang ransomware laban sa sarili nito. Sa mga kaso kung saan ang FileCoder app ay pinaandar mula sa loob ng folder ng user, gaya ng direktoryo ng Mga Download, malamang na na-encrypt ng malware ang sarili nitong executable. Maaaring mag-download ang mga biktima ng bagong kopya ng infected na application upang tumulong sa proseso ng pag-decryption.

Nag-iingat ang mga mananaliksik na ang pamamaraang ito ay mabagal at labor-intensive, dahil hindi posible ang bulk decryption. Gayunpaman, para sa mga determinadong makakuha ng access sa kanilang data, ang diskarte na ito ay nagbibigay ng isang mabubuhay na huling paraan.

Subok na Mga Kasanayan sa Seguridad para Maiwasan ang Impeksyon

Ang pag-iwas sa mga impeksyon sa ransomware tulad ng FileCoder ay mas madali kaysa sa pagbawi mula sa mga ito. Sundin ang mga hakbang na pangseguridad na ito upang mapangalagaan ang iyong system:

1. Mga Ligtas na Gawi sa Pag-compute

• Iwasan ang pag-download ng software o mga patch mula sa mga torrent site o iba pang hindi na-verify na mapagkukunan.
• Palaging suriin ang mga lagda ng application at mag-install lamang ng mga app mula sa mga pinagkakatiwalaang developer o opisyal na Mac App Store.
• Manatiling may alam tungkol sa mga pinakabagong pagbabanta at mga payo sa seguridad.

2. Malakas na Proteksyon ng System

• Paganahin ang isang kagalang-galang na solusyon sa anti-malware at panatilihin itong na-update.

Sa pamamagitan ng pagsasama-sama ng mga kagawiang ito, malaki mong binabawasan ang iyong pagkakalantad sa mga banta ng ransomware at tinitiyak na kahit na sa pinakamasamang sitwasyon, ang iyong data ay mananatiling ligtas at mababawi.