Phần mềm tống tiền FileCoder macOS

Tội phạm mạng liên tục phát triển những cách thức mới để khai thác người dùng thiếu cảnh giác, và ransomware vẫn là một trong những mối đe dọa gây thiệt hại nặng nề nhất. Đối với người dùng macOS, ransomware FileCoder, còn được gọi là Patcher hoặc Findzip, là một ví dụ điển hình. Sau khi được kích hoạt, nó sẽ mã hóa các tệp cá nhân của bạn và yêu cầu thanh toán để giải phóng chúng. Đáng tiếc là mã hóa kém của FileCoder đồng nghĩa với việc ngay cả khi trả tiền cũng không thể khôi phục dữ liệu, khiến việc phòng ngừa mạnh mẽ trở nên vô cùng cần thiết.

FileCoder Ransomware là gì?

FileCoder là một ransomware mã hóa tập tin nhắm vào các hệ thống macOS. Nó thường ngụy trang thành một công cụ vá lỗi cho các phần mềm phổ biến như Adobe Premiere Pro CC và Microsoft Office 2016. Các nhà nghiên cứu lần đầu tiên phát hiện ra nó lây lan qua các nền tảng BitTorrent, biến những người dùng tìm kiếm phần mềm lậu thành nạn nhân chính.

Phần mềm độc hại này chủ yếu ảnh hưởng đến các hệ thống chạy OS X 10.11.x (El Capitan) và macOS 10.12.x, mặc dù các phiên bản cũ hơn và mới hơn cũng có thể bị ảnh hưởng. Tệp thực thi của nó không được Apple ký, điều này có thể là một dấu hiệu cảnh báo cho những người dùng thận trọng.

FileCoder lây nhiễm thiết bị như thế nào?

Quá trình lây nhiễm bắt đầu khi người dùng tải xuống thứ trông giống như một "bản vá" hoặc "bẻ khóa" cho phần mềm cao cấp từ các trang web torrent. Sau khi khởi chạy, bản vá giả mạo sẽ hiển thị một cửa sổ tiến trình với ba bước, nhưng đây chỉ là một sự đánh lạc hướng. Quá trình mã hóa bắt đầu ngay sau khi người dùng nhấp vào "BẮT ĐẦU". Khi giao diện hiển thị bước 2/3, thiệt hại đã xảy ra.

FileCoder mã hóa mọi thứ trong thư mục Users, giữ nguyên các tệp hệ thống và ứng dụng. Ổ đĩa ngoài và ổ đĩa mạng được kết nối tại thời điểm thực thi cũng bị nhắm mục tiêu. Phần mềm độc hại tạo khóa mã hóa ngẫu nhiên 25 ký tự cục bộ và xóa các tệp gốc bằng lệnh rm. Nó thậm chí còn cố gắng xóa dung lượng trống bằng diskutil, nhưng không thành công do đường dẫn tệp không chính xác, một lỗi khiến khả năng khôi phục một phần dữ liệu rất thấp.

Điều gì xảy ra sau khi mã hóa?

Sau khi mã hóa hoàn tất, màn hình máy tính của người dùng sẽ tràn ngập các thông báo đòi tiền chuộc như README.txt và DECRYPT!.txt. Nạn nhân được yêu cầu trả 280 đô la bằng Bitcoin để mở khóa tệp trong vòng 24 giờ hoặc 500 đô la để giải mã nhanh hơn. Tuy nhiên, yêu cầu này là lừa đảo vì FileCoder không có khả năng giao tiếp với máy chủ chỉ huy và điều khiển hoặc gửi khóa giải mã. Nói cách khác, việc trả tiền chuộc sẽ không khôi phục quyền truy cập vào tệp của bạn.

Ngoài ra, ransomware còn thay đổi ngày sửa đổi của các tệp được mã hóa thành ngày 13 tháng 2 năm 2010 mà không rõ lý do. Khi khởi động lại hệ thống, màn hình "Đăng nhập vào iCloud" sẽ hiển thị, vì các tùy chọn và cài đặt của người dùng đã bị mã hóa cùng với dữ liệu.

Điểm yếu và các lựa chọn phục hồi

Mặc dù có khả năng phá hoại, FileCoder vẫn có một số lỗi:

• Quá trình mã hóa diễn ra chậm, mất khoảng 30 giây cho một tệp video 250 MB. Thao tác nhanh có thể làm gián đoạn quá trình mã hóa.
• Thoát ứng dụng giữa chừng sẽ dừng quá trình mã hóa tệp tiếp theo.
• Đường dẫn diskutil không chính xác sẽ ngăn chặn việc xóa an toàn hoàn toàn, tạo cơ hội để khôi phục một phần bằng các công cụ như Data Rescue.

Các nhà nghiên cứu cũng đã phát triển một phương pháp để giải mã các tệp được mã hóa bằng FileCoder. Quá trình này khá phức tạp và đòi hỏi kiến thức chuyên môn, nhưng nó là giải pháp cuối cùng cho nạn nhân.

Để cố gắng khôi phục tệp, nạn nhân cần một số tài nguyên: một máy tính đang hoạt động thứ hai, một bản sao không được mã hóa của ít nhất một trong các tệp đã mã hóa, một trình soạn thảo văn bản đáng tin cậy, các công cụ dòng lệnh Xcode và pkcrack, một tiện ích thực hiện tấn công bằng văn bản thuần túy đã biết vào mã hóa tệp ZIP.

Tuy nhiên, việc có phiên bản gốc, chưa mã hóa của tệp không phải lúc nào cũng bắt buộc. Nếu không có tệp nào như vậy, người dùng có thể lợi dụng ransomware để tự tấn công chính nó. Trong trường hợp ứng dụng FileCoder được thực thi từ bên trong thư mục người dùng, chẳng hạn như thư mục Tải xuống, phần mềm độc hại có thể đã mã hóa tệp thực thi của chính nó. Nạn nhân có thể tải xuống một bản sao mới của ứng dụng bị nhiễm để hỗ trợ quá trình giải mã.

Các nhà nghiên cứu cảnh báo rằng phương pháp này chậm và tốn nhiều công sức, vì không thể giải mã hàng loạt. Tuy nhiên, đối với những người quyết tâm lấy lại quyền truy cập dữ liệu, phương pháp này là giải pháp cuối cùng khả thi.

Các biện pháp bảo mật đã được chứng minh để ngăn ngừa lây nhiễm

Ngăn chặn các phần mềm tống tiền như FileCoder dễ hơn nhiều so với việc phục hồi sau khi bị nhiễm. Hãy thực hiện các biện pháp bảo mật sau để bảo vệ hệ thống của bạn:

1. Thói quen sử dụng máy tính an toàn

• Tránh tải phần mềm hoặc bản vá từ các trang web torrent hoặc các nguồn chưa được xác minh khác.
• Luôn kiểm tra chữ ký ứng dụng và chỉ cài đặt ứng dụng từ các nhà phát triển đáng tin cậy hoặc Mac App Store chính thức.
• Luôn cập nhật những mối đe dọa và khuyến cáo bảo mật mới nhất.

2. Bảo vệ hệ thống mạnh mẽ

• Sử dụng giải pháp chống phần mềm độc hại uy tín và cập nhật thường xuyên.

• Sao lưu thường xuyên các tệp quan trọng bằng Time Machine hoặc dịch vụ sao lưu đám mây. Lưu trữ bản sao lưu ngoại tuyến hoặc ở một vị trí an toàn, không kết nối liên tục với hệ thống.

• Luôn cập nhật macOS và tất cả phần mềm đã cài đặt với bản vá bảo mật mới nhất.

Bằng cách kết hợp các biện pháp này, bạn có thể giảm đáng kể nguy cơ bị tấn công bằng phần mềm tống tiền và đảm bảo rằng ngay cả trong trường hợp xấu nhất, dữ liệu của bạn vẫn an toàn và có thể phục hồi được.