Patcher Ransomware attackerar macOS, krypterar filer permanent
Säkerhetsforskare publicerade detaljer igår om en ny ransomware för Mac, som kallar sig “Patcher.” Det filkrypterande ransomwareprogrammet hittar sin väg till macOS-system via BitTorrent-webbplatser och maskeras som en Adobe Premiere CC- eller Office 2016-patcher. Integos forskargrupp för skadlig programvara har uppdaterat sina VirusBarrier-antivirusdefinitioner för att upptäcka alla komponenter i ransomware, identifierade som OSX / filkodare och OSX / Filecoder.fs.
Vad är infektionsvektorn?
En torrent som hävdar att den innehåller en patcher för Adobe Premiere CC 2017 eller Office 2016 är den enda leveransmekanismen som hittills varit känd. Mac-datorer som kör OS X 10.11.x El Capitan och macOS 10.12.x är i fara.
Patcher verkar inte vara bekymrad över var den körs eller om någon säkerhetsprogramvara finns. Applikationen signeras med en nyckel som inte är signerad av Apple.
kodesign -dv / Användare / intego / Desktop / Office 2016 Patcher.app
Körbar = / Användare / intego / Desktop / Office 2016 Patcher.app/Contents/MacOS/Office 2016 Patcher
Identifierare = NULL.prova
Format = appbunt med Mach-O tunn (x86_64)
CodeDirectory v = 20100 storlek = 507 flaggor = 0x2 (adhoc) hashes = 11 + 3 plats = inbäddad
Underskrift = adhoc
Info.plist-poster = 22
TeamIdentifier = inte inställd
Sealed Resources version = 2 regler = 12 filer = 14
Interna kravräkning = 0 storlek = 12
Paketidentifieraren “NULL.prova” hittades i en annan applikation, som heter “prova”, som liknar utseendet.
kodsign -dv /Users/intego/Desktop/prova.app
Exekverbar = / Användare / intego / Desktop / prova.app / Innehåll / MacOS / prova
Identifierare = NULL.prova
Format = appbunt med Mach-O tunn (x86_64)
CodeDirectory v = 20100 storlek = 411 flaggor = 0x2 (adhoc) hashes = 8 + 3 plats = inbäddad
Underskrift = adhoc
Info.plist-poster = 22
TeamIdentifier = inte inställd
Sealed Resources version = 2 regler = 12 filer = 14
Interna kravräkning = 0 storlek = 12
Prova-applikationen, utformad för att ha samma eller liknande ransomwarefunktionalitet, verkar inte fungera och kan bara ha varit en testkörning som ledde fram till den för närvarande diskuterade Patcher-appen.
Enligt forskarna verkar applikationen vara dåligt kodad eftersom fönstret är transparent. En snabb översikt i koden bekräftar att den skrevs med Swift:
0000000100008098 dq 0x0000000000000040; DATA XREF = -[_TtC34Adobe_Premiere_Pro_CC_2017_Patcher11AppDelegate count]+4, -[_TtC34Adobe_Premiere_Pro_CC_2017_Patcher11AppDelegate setCount:]+4, sub_100001940 + 105, -[_TtC34Adobe_Premiere_Pro_CC_2017_Patcher11AppDelegate init]+105, sub_100001ee0 + 31, 0x100007460
00000001000080a0 dq __swift_FORCE_LOAD _ $ _ swiftFoundation
00000001000080a8 dq __swift_FORCE_LOAD _ $ _ swiftObjectiveC
00000001000080b0 dq __swift_FORCE_LOAD _ $ _ swiftDarwin
00000001000080b8 dq __swift_FORCE_LOAD _ $ _ swiftIOKit
00000001000080c0 dq __swift_FORCE_LOAD _ $ _ swiftDispatch
00000001000080c8 dq __swift_FORCE_LOAD _ $ _ swiftCoreGraphics
00000001000080d0 dq __swift_FORCE_LOAD _ $ _ swiftAppKit
00000001000080d8 dq __swift_FORCE_LOAD _ $ _ swiftCoreImage
00000001000080e0 dq __swift_FORCE_LOAD _ $ _ swiftXPC
00000001000080e8 dq __swift_FORCE_LOAD _ $ _ swiftQuartzCore
00000001000080f0 dq __swift_FORCE_LOAD _ $ _ swiftCoreData
Koden mellan Adobe Premiere CC och Office 2016-applikationerna är desamma.
Genom att klicka på START-knappen startar omedelbart krypteringsprocessen och fönstret visar framsteg i 3 steg.
När fönstret visar steg 2/3 kommer en infekterad Mac att se skrivbordet laddat med textfiler. Naturligtvis är förloppsfönstret bara där för att fördröja användaren medan alla filer är krypterade i bakgrunden. Även om programmet avslutas vid denna tidpunkt blir det för sent, för när textfilerna visas på skrivbordet är allt innehåll i mappen Användare redan krypterat. När fönstret visar steg 2/3 är det redan gjort. steg 3/3 kommer aldrig och applikationen sitter bara där på obestämd tid.
Nya data som skapas medan Patcher körs krypteras inte av ransomware. Patcher verkar bara fokusera på data som fanns när applikationen startades.
De ursprungliga data som krypterades raderas med rm, Patcher försöker sedan torka det lediga utrymmet på enheten med diskutil för att se till att de ursprungliga uppgifterna verkligen är borta. Lyckligtvis gjorde författaren ett misstag i ransomware:
Den försöker köra / usr / bin / diskutil, men vägen till diskutil i macOS är / usr /sbin / diskutil.
Detta misstag kan ge en användare chansen att återställa en del av de raderade uppgifterna med hjälp av verktyg som Data Rescue. Om ransomware upptäcks omedelbart, vilket inte borde vara ett problem eftersom de många textfilerna på skrivbordet är en solid indikator på att något är fel och Mac stängs av, kan dataåterställning ha en chans. Ju längre Mac-datorn är påslagen desto större är chansen att de raderade filerna skrivs över.
Det är också möjligt att avbryta Patcher helt enkelt genom att avsluta applikationen. Patcher är mycket långsam och tar bra 30 sekunder att kryptera en 250 MB videofil, så det kommer att behöva en anständig tid att kryptera en typisk användarmapp, som kan vara hundratals gigabyte. Om användaren misstänker att applikationen inte fungerar eller inte är vad den påstår sig vara, kan den stängas och kryptering av data kommer att stoppas.
Var installeras filkodare?
Filecoder är ett fristående program som inte installerar filer på systemet för att hålla sig vid liv efter en omstart. Det tar helt enkelt din användares hemmapp och krypterar allt i den. Applikationen verkar inaktivera sig själv, så den kan inte startas igen. När det är avaktiverat går det efter eventuella monterade nätverksvolymer och anslutna externa enheter. Det lämnar systemmappen, biblioteket och applikationsmapparna ensamma och går bara efter filer i mappen Användare.
Så snart Patcher körs kommer användaren att se textfiler som dyker upp på skrivbordet och i andra användarmappar med namn som “README.txt” och “DECRYPT! .Txt.” När du öppnar dessa textfiler visas följande information:
INTE DITT SPRÅK? ANVÄND https://translate.google.com
Vad hände med dina filer?
Alla dina filer skyddades av en stark krypteringsmetod.Vad gör jag ?
Så det finns två sätt du kan välja: vänta på ett mirakel eller börja få BITCOIN NU! , och återställ DINA DATA på det enkla sättet
Om du har riktigt värdefulla DATA, borde du INTE slösa bort din tid, för det finns inget annat sätt att hämta dina filer, förutom att göra en BETALNINGFÖLJ DESSA STEG:
1) lära dig att köpa bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2) skicka 0,25 BTC till 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3) skicka din btc-adress och din ip (du kan få din ip här https://www.whatismyip.com) via e-post till [email protected]
4) Lämna din dator på och ansluten till internet de närmaste 24 timmarna efter betalning, dina filer kommer att låses upp. (Om du inte kan vänta 24 timmar med en betalning på 0,45 BTC låses dina filer upp på max 10 minuter)FÖRVARA ATT DIN BESKRIVNINGSNYCKE INTE LAGRAS PÅ MIN SERVER MER ÄN EN VECKA FÖR ATT DITT FIL FÅR KRYPTAD, DÄR FÅR DET INTE EN METOD FÖR ATT ÅTERVINNA DINA FILER, INTE SLÖTA DIN TID!
När dina data har krypterats, blir du instruerad att betala 0,25 bitcoin ($ 280) för att låsa upp dina filer inom 24 timmar. Om du har bråttom kan du dock betala 0,45 bitcoin ($ 500) och dina filer låses upp på 10 minuter eller mindre.
Om vi tittar på den tidigare nämnda prova-applikationen nämner readme.txt samma bitcoin-adress men en annan e-postadress: ”[email protected]”I Patcher använder namnet ‘rihofoj’ mailinator-tjänsten istället för zainmax.net-domänen.
Även om man skulle vara benägen att betala lösen (som vi INTE rekommenderar) finns det ett problem. Filcoder skickar faktiskt aldrig en dekrypteringsnyckel till en server eller gör någon nätverksanslutning av något slag. Det betyder att ransomware-författaren inte har något sätt att låsa upp dina filer även om du betalar.
När patchapplikationen startas krypteras allt som finns i din hemmapp. Nya filer eller mappar, till och med de som skapas medan lappen körs, berörs inte. En omstart gör att du hälsas med fönstret “Logga in på iCloud”, precis som det du ser när du loggar in på din Mac. Du hittar också alla dina inställningar och inställningar som har återställts till standard eftersom din biblioteksmapp, inklusive inställningar, konton, sparat applikationstillstånd och annat nu är krypterade.
Patcher ändrar modifieringsdatum för de krypterade filerna till 13 februari 2010, av skäl som för närvarande inte är kända.
Bör Mac-användare vara bekymrade?
Medan denna ransomware för närvarande bara hittades på en BitTorrent-webbplats, kunde den ha utgjort som en falsk Flash Player-uppdatering eller annan leveransmekanism, och därmed kunna nå en mycket större publik. Ransomware är väldigt grundläggande och gör inga försök att dölja sig eller hålla sig vid liv efter omstart, men om den tar sig in på din Mac och får en chans att springa kommer den att förstöra din vecka grundligt. Torrentfilen som bär ransomware hittades på två BitTorrent-webbplatser och verkar inte ha några aktiva frön, så den kan inte laddas ner när denna artikel skrivs, vilket minimerar risken. Patcher kan dock gömma sig på andra platser som ännu inte upptäckts.
Hur man vet om din Mac är infekterad
Om du ser filer på skrivbordet eller någon annan mapp i din användarkatalog med .crypt-tillägg, tillsammans med textfiler med namn som “README.txt”, “README_.txt”, “README – !. txt,” “ LÄS !!. Txt, “” DECRYPT! .Txt, “” HOW_TO_DECRYPT _ !. txt “och” DECRYPT _ !. txt, “din Mac blev troligen offer för Filecoder.
Hur du skyddar dig mot Patcher Ransomware
Tyvärr är skadlig kod ingen överraskning när du laddar ner programvara från BitTorrent-källor, så ett säkert sätt att skydda dig mot Patcher-ransomware är att bara hämta programvara direkt från källan, till exempel App Store eller från leverantörens officiella webbplats. (Yup, det betyder att du måste betala för det om programvaran inte är gratis.)
Dessutom har Apple drivit en uppdatering av sina XProtect-antivirus-signaturer till version 2089 på Mavericks, Yosemite, El Capitan och Sierra och upptäckt några komponenter i detta hot som OSX.Findzip.A. Apple verkar dock sakna provhändelsen eller någon iteration som kan ändra namnet README.txt. Under vår testning genererar inte körning av Patcher-applikationen en GateKeeper-varning eller begär lösenord.
Användare av Intego VirusBarrier med uppdaterade malware-definitioner kan upptäcka alla komponenter i ransomware, identifierade som OSX / filkodare och OSX / Filecoder.fs, och blockera det om det tar sig in i ditt system.
Att ta bort Patcher manuellt är lika enkelt som att ta bort Adobe Premiere CC 2017 eller Office 2016 patcher-applikationer. I det här fallet är det mycket viktigare att förhindra att Patcher någonsin kommer till ditt system. Det finns inga andra filer att ta bort, och en säkerhetskopia av dina data måste återställas eftersom din användarmapp nu är helt krypterad. Detta scenario kan ses som fullständig dataförlust och belyser vikten av att ha en solid och smart backup-strategi.
Det bästa sättet att skydda dig mot ransomware är att planera framåt innan katastrofen inträffar, och vi uppmuntrar dig därför att ta en titt i vår guide för att hjälpa dig att hålla dig säker från ransomware: A Layman’s Guide to Ransomware Protection.
Om Mike Jones
Mike Jones är en IT-konsult med en passion för säkerhetsforskning på Mac. Han utför oberoende skyddstester mot skadlig kod och skriver också om sekretess och säkerhetsrelaterade frågor på sin blogg Security Spread. Följ honom på Twitter på @SecuritySpread. Visa alla inlägg av Mike Jones → Detta inlägg postades i Malware, rekommenderas, säkerhetsnyheter och taggade Filecoder, OSX.Findzip.A, OSX / Filecoder, OSX / Filecoder.fs, Patcher, ransomware. Bokmärk permalänken.