Výzkumní pracovníci odhalili nový ransomware pro Mac. „Špatně nakódovaný“ malware, vytvořený ve Swiftu, dokáže zašifrovat soubory zasaženého uživatele a požaduje po něm platbu. Soubory však není možné dešifrovat ani po jejím uhrazení. Malware koluje po bittorrentových webech a nese název „Patcher“.
Malware se tváří jako crack, díky kterému lze obejít ochranu proti kopírování a licenční systémy na populárních webech se softwarem. Výzkumný pracovník Marc-Etienn M.Léveillé objevil dva rozdílné falešné patchery, u nichž byl použit stejný kód. Oba zdánlivě nabízejí způsob, jak odemknout Microsoft Office pro Mac 2016 a Adobe Premiere CC 2017. Léveillé ale naznačil, že po internetu může kolovat více druhů tohoto malwaru pod nejrůznějšími názvy.
Poté, co uživatel program rozbalí z archivu a spustí, se malware otevře v okně s upozorněním, aby uživatel kliknul na příslušné tlačítko. Poté, co to udělá, začne ransomware s distribucí Readme souborů do uživatelských adresářů. Poté zašifruje soubory uživatele za použití náhodně vygenerovaného 25-písmenného klíče. Původní soubory smaže a zašifrované soubory uloží do archivu.
Pomocí Readme souborů malware sdělí uživateli, že jeho soubory byly zašifrovány, a požádá ho o zaplacení 0,25 bitcoinů na specifickou adresu pro jejich odemčení. Kromě upozornění, že k dešifrování souborů dojde v průběhu 24 hodin od platby, se objeví i možnost dešifrování během deseti minut za 0,45 bitcoinů.
Bezpečnostní pracovníci ale upozorňují na to, že malware je velmi špatně naprogramován, a to v mnoha směrech. K jeho vytvoření byl použit jazyk Swift a okno aplikace nelze po jeho zavření otevřít. Kód, který se pokouší použít Diskovou utilitu k vynulování volného místa na kořenovém oddíle, používá nesprávnou cestu.
Detaily v souborech Readme jsou pevně zakódované, což znamená, že všichni zasažení uživatelé dostanou odkaz na tutéž bitcoinovou peněženku a e-mailovou adresu namísto unikátní informace. Prozkoumání bitcoinové peněženky prokázalo, že v době vydání původní zprávy (22. února) ještě nikdo žádnou platbu neuhradil.
Na rozdíl od ostatních ransomwarů tohoto typu oběti malwarového útoku své soubory nezískají zpět ani po zaplacení. V malwaru není žádný kód, který by odeslal šifrovací klíč, takže neexistuje možnost poskytnutí služby dešifrování souborů uživateli. Délka klíče navíc znemožňuje provedení brute force útoku.
„Tento nový krypto-ransomware, navržený speciálně pro macOS, rozhodně není žádným mistrovským dílem,“ píše Léveillé. „Bohužel je stále dostatečně efektivní v tom, že brání obětem v přístupu k jejich souborům a může napáchat vážnou škodu.“ Léveillé doporučuje provádět offline zálohy všech důležitých dat a používání správného softwaru.
Patcher je nejnovějším kouskem do sbírky nedávno odhaleného malwaru, zacíleného na uživatele operačního systému macOS. V uplynulém měsíci se objevil například malware, tvářící se jako aktualizace Adobe Flash Playeru, makro v MS Wordu, nebo malware Xagent z dílny ruských hackerů.
Zdroj: AppleInsider