FileCoder macOS Fidye Yazılımı

Siber suçlular, şüphelenmeyen kullanıcıları istismar etmek için sürekli yeni yollar geliştiriyor ve fidye yazılımları en zararlı tehditlerden biri olmaya devam ediyor. macOS kullanıcıları arasında, Patcher veya Findzip olarak da bilinen FileCoder fidye yazılımı, kötü şöhretli bir örnek. Etkinleştirildikten sonra kişisel dosyalarınızı şifreliyor ve bunların serbest bırakılması için ödeme talep ediyor. Ne yazık ki, FileCoder'ın kötü kodlaması, ödeme yapmanızın bile verilerinizi kurtarmayacağı anlamına geliyor ve bu da güçlü önleme stratejilerini gerekli kılıyor.

FileCoder Fidye Yazılımı Nedir?

FileCoder, macOS sistemlerini hedef alan bir dosya şifreleyici fidye yazılımıdır. Genellikle Adobe Premiere Pro CC ve Microsoft Office 2016 gibi popüler yazılımlar için bir yama aracı kılığına girer. Araştırmacılar, ilk olarak BitTorrent platformları aracılığıyla yayıldığını ve korsan yazılım arayan kullanıcıları birincil kurbanları haline getirdiğini gözlemlediler.

Kötü amaçlı yazılım, öncelikle OS X 10.11.x (El Capitan) ve macOS 10.12.x çalıştıran sistemleri etkilese de, eski ve yeni sürümler de etkilenebilir. Yürütülebilir dosyası Apple tarafından imzalanmamış olduğundan, dikkatli kullanıcılar için bir uyarı işareti olabilir.

FileCoder Cihazlara Nasıl Bulaşıyor?

Bulaşma süreci, kullanıcıların torrent sitelerinden premium yazılımlar için bir "yama" veya "kırıcı" gibi görünen bir dosyayı indirmesiyle başlar. Sahte yama başlatıldığında, üç adımlı bir ilerleme penceresi görüntülenir, ancak bu yalnızca bir dikkat dağıtmadır. Şifreleme işlemi, kullanıcı "BAŞLAT"a tıkladıktan hemen sonra başlar. Arayüz 2. veya 3. adımı görüntülediğinde, hasar çoktan verilmiş olur.

FileCoder, Kullanıcılar klasöründeki her şeyi şifreleyerek sistem ve uygulama dosyalarına dokunmaz. Çalıştırma sırasında bağlı olan harici sürücüler ve ağ birimleri de hedef alınır. Kötü amaçlı yazılım, yerel olarak 25 karakterlik rastgele bir şifreleme anahtarı oluşturur ve rm komutunu kullanarak orijinal dosyaları siler. Hatta diskutil ile boş alanı temizlemeye çalışır, ancak hatalı dosya yolu nedeniyle başarısız olur; bu hata, kısmi veri kurtarma için düşük bir şans sağlar.

Şifreleme Sonrasında Ne Olur?

Şifreleme tamamlandığında, kullanıcının masaüstü README.txt ve DECRYPT!.txt gibi fidye notlarıyla dolar. Mağdurlara, dosyalarının kilidini 24 saat içinde açmak için Bitcoin cinsinden 280 dolar veya daha hızlı şifre çözme için 500 dolar ödemeleri söylenir. Ancak bu talep yanıltıcıdır çünkü FileCoder'ın bir komuta ve kontrol sunucusuyla iletişim kurma veya şifre çözme anahtarı gönderme yeteneği yoktur. Başka bir deyişle, fidyeyi ödemek dosyalarınıza erişimi geri getirmeyecektir.

Ayrıca, fidye yazılımı, şifrelenmiş dosyaların değiştirilme tarihini bilinmeyen nedenlerle 13 Şubat 2010 olarak değiştiriyor. Sistem yeniden başlatıldığında, kullanıcı tercihleri ve ayarları verilerle birlikte şifrelendiğinden, "iCloud'da Oturum Aç" ekranı görüntüleniyor.

Zayıflıklar ve Kurtarma Seçenekleri

Yıkıcı potansiyeline rağmen FileCoder'ın birkaç kusuru vardır:

• Dosyaları yavaşça şifreler, 250 MB'lık bir video dosyası için yaklaşık 30 saniye sürer. Hızlı bir işlem şifrelemeyi durdurabilir.
• Uygulamanın işlem sırasında sonlandırılması, dosya şifrelemesinin daha fazla durdurulmasını sağlar.
• Hatalı diskutil yolu, tam güvenli silmeyi engeller ve Data Rescue gibi araçları kullanarak kısmi kurtarma için bir pencere sunar.

Araştırmacılar ayrıca FileCoder ile şifrelenmiş dosyaların şifresini çözmek için bir yöntem geliştirdiler. Bu işlem zahmetli ve teknik bilgi gerektirse de, kurbanlar için son çare niteliğindedir.

Dosya kurtarma girişiminde bulunmak için kurbanların birkaç kaynağa ihtiyacı vardır: ikinci bir çalışan bilgisayar, şifrelenmiş dosyalardan en az birinin şifrelenmemiş bir kopyası, güvenilir bir metin düzenleyici, Xcode komut satırı araçları ve ZIP dosya şifrelemesinde bilinen düz metin saldırısı gerçekleştiren bir yardımcı program olan pkcrack.

Ancak, bir dosyanın orijinal, şifrelenmemiş bir sürümüne sahip olmak her zaman zorunlu değildir. Böyle bir dosya yoksa, kullanıcılar fidye yazılımını kendisine karşı kullanabilir. FileCoder uygulamasının kullanıcı klasöründen (örneğin İndirilenler dizini) çalıştırıldığı durumlarda, kötü amaçlı yazılım muhtemelen kendi yürütülebilir dosyasını şifrelemiştir. Kurbanlar, şifre çözme işlemine yardımcı olması için virüslü uygulamanın yeni bir kopyasını indirebilirler.

Araştırmacılar, toplu şifre çözmenin mümkün olmaması nedeniyle bu yöntemin yavaş ve emek yoğun olduğunu belirtiyor. Yine de, verilerine yeniden erişim sağlamaya kararlı olanlar için bu yaklaşım, uygulanabilir bir son çare sunuyor.

Enfeksiyonu Önlemek İçin Kanıtlanmış Güvenlik Uygulamaları

FileCoder gibi fidye yazılımı enfeksiyonlarını önlemek, bunlardan kurtulmaktan çok daha kolaydır. Sisteminizi korumak için aşağıdaki güvenlik önlemlerini izleyin:

1. Güvenli Bilgisayar Alışkanlıkları

• Torrent sitelerinden veya diğer doğrulanmamış kaynaklardan yazılım veya yama indirmekten kaçının.
• Uygulama imzalarını her zaman kontrol edin ve yalnızca güvenilir geliştiricilerin veya resmi Mac App Store'un uygulamalarını yükleyin.
• En son tehditler ve güvenlik uyarıları hakkında bilgi sahibi olun.

2. Güçlü Sistem Koruması

• Güvenilir bir kötü amaçlı yazılım önleme çözümü kullanın ve bunu güncel tutun.

• Önemli dosyalarınızı Time Machine veya bulut tabanlı bir yedekleme hizmeti kullanarak düzenli olarak yedekleyin. Yedekleri çevrimdışı olarak veya sisteminize sürekli bağlı olmayan güvenli bir konumda saklayın.

• macOS'u ve yüklü tüm yazılımları en son güvenlik yamalarıyla güncel tutun.

Bu uygulamaları birleştirerek fidye yazılımı tehditlerine maruz kalma riskinizi önemli ölçüde azaltabilir ve en kötü senaryolarda bile verilerinizin güvende ve kurtarılabilir kalmasını sağlayabilirsiniz.