Програма-вимагач FileCoder для macOS

Кіберзлочинці постійно розробляють нові способи експлуатації нічого не підозрюючих користувачів, і програма-вимагач залишається однією з найшкідливіших загроз. Серед користувачів macOS програма-вимагач FileCoder, також відома як Patcher або Findzip, є сумнозвісним прикладом. Після активації вона шифрує ваші особисті файли та вимагає плату за їх розголошення. На жаль, поганий код FileCoder означає, що навіть оплата не відновить ваші дані, що робить важливими ефективні стратегії запобігання.

Що таке програма-вимагач FileCoder?

FileCoder — це програма-вимагач, що шифрує файли та орієнтована на системи macOS. Вона часто маскується під інструмент для встановлення патчів для популярного програмного забезпечення, такого як Adobe Premiere Pro CC та Microsoft Office 2016. Дослідники спочатку спостерігали її поширення через платформи BitTorrent, що зробило її основними жертвами користувачів, які шукають піратське програмне забезпечення.

Шкідливе програмне забезпечення вражає переважно системи під керуванням OS X 10.11.x (El Capitan) та macOS 10.12.x, хоча може постраждати як старіші, так і новіші версії. Його виконуваний файл не підписано Apple, що має слугувати червоним прапорцем для обережних користувачів.

Як FileCoder заражає пристрої?

Процес зараження починається, коли користувачі завантажують з торрент-сайтів щось схоже на «патчер» або «кряк» для преміум-програмного забезпечення. Після запуску підроблений патчер відображає вікно перебігу з трьома кроками, але це лише відволікаючий маневр. Процес шифрування починається одразу після того, як користувач натискає кнопку «ПУСК». На момент, коли інтерфейс відображає крок 2/3, шкода вже завдана.

FileCoder шифрує все в папці «Користувачі», залишаючи системні файли та файли програм недоторканими. Зовнішні диски та мережеві томи, підключені на момент виконання, також є ціллю. Шкідливе програмне забезпечення генерує 25-символьний випадковий ключ шифрування локально та видаляє оригінальні файли за допомогою команди rm. Воно навіть намагається очистити вільне місце за допомогою diskutil, але зазнає невдачі через неправильний шлях до файлу, що зменшує шанси на часткове відновлення даних.

Що відбувається після шифрування?

Після завершення шифрування робочий стіл користувача заповнюється повідомленнями з вимогою викупу, такими як README.txt та DECRYPT!.txt. Жертвам пропонують сплатити 280 доларів у біткоїнах, щоб розблокувати свої файли протягом 24 годин, або 500 доларів за швидше розшифрування. Однак ця вимога є оманливою, оскільки FileCoder не має можливості зв’язуватися з командно-контрольним сервером або надсилати ключ розшифрування. Іншими словами, сплата викупу не відновить доступ до ваших файлів.

Крім того, програма-вимагач з невідомих причин змінює дату модифікації зашифрованих файлів на 13 лютого 2010 року. Після перезавантаження системи з’являється екран «Увійти в iCloud», оскільки налаштування та параметри користувача шифруються разом із даними.

Слабкі сторони та варіанти відновлення

Незважаючи на свій руйнівний потенціал, FileCoder має кілька недоліків:

• Він шифрує файли повільно, приблизно 30 секунд для відеофайлу розміром 250 МБ. Швидка дія може зупинити шифрування.
• Закриття програми посеред процесу зупиняє подальше шифрування файлів.
• Неправильний шлях diskutil запобігає повному безпечному очищенню, пропонуючи вікно для часткового відновлення за допомогою таких інструментів, як Data Rescue.

Дослідники також розробили метод розшифрування файлів, зашифрованих FileCoder. Цей процес є виснажливим і вимагає технічних знань, але він пропонує жертвам крайній засіб.

Щоб спробувати відновити файли, жертвам потрібно кілька ресурсів: другий робочий комп'ютер, незашифрована копія принаймні одного із зашифрованих файлів, надійний текстовий редактор, інструменти командного рядка Xcode та pkcrack — утиліта, яка виконує атаку на шифрування ZIP-файлів за допомогою відомого відкритого тексту.

Однак наявність оригінальної, незашифрованої версії файлу не завжди є обов'язковою. Якщо такий файл недоступний, користувачі можуть використати програму-вимагач проти себе. У випадках, коли додаток FileCoder було запущено з папки користувача, наприклад, з каталогу «Завантаження», шкідливе програмне забезпечення, ймовірно, зашифрувало власний виконуваний файл. Жертви можуть завантажити нову копію зараженого додатка, щоб допомогти в процесі розшифрування.

Дослідники застерігають, що цей метод повільний і трудомісткий, оскільки масове розшифрування неможливе. Тим не менш, для тих, хто налаштований відновити доступ до своїх даних, цей підхід є життєздатним крайнім заходом.

Перевірені методи безпеки для запобігання зараженню

Запобігти зараженню програмами-вимагачами, таким як FileCoder, набагато легше, ніж відновитися після нього. Дотримуйтесь цих заходів безпеки, щоб захистити свою систему:

1. Безпечні звички роботи з комп’ютером

• Уникайте завантаження програмного забезпечення або патчів з торрент-сайтів або інших неперевірених джерел.
• Завжди перевіряйте підписи програм і встановлюйте програми лише від перевірених розробників або з офіційного магазину Mac App Store.
• Будьте в курсі останніх загроз та рекомендацій щодо безпеки.

2. Надійний захист системи

• Увімкніть надійне рішення для захисту від шкідливих програм і регулярно його оновлюйте.

• Регулярно створюйте резервні копії важливих файлів за допомогою Time Machine або хмарного сервісу резервного копіювання. Зберігайте резервні копії офлайн або в безпечному місці, яке не є постійно підключеним до вашої системи.

• Оновлюйте macOS та все встановлене програмне забезпечення за допомогою останніх патчів безпеки.

Поєднуючи ці методи, ви значно зменшуєте ризики програм-вимагачів і гарантуєте, що навіть у найгірших випадках ваші дані залишатимуться в безпеці та їх можна буде відновити.