Исследователи ESET обнаружили новую малварь для macOS. Шифровальщик Patcher (он же Filecoder и OSX/Filecoder.E) написан на Swift и распространяется преимущественно через торрент-трекеры, маскируясь под кряк для Adobe Premiere Pro или Microsoft Office for Mac и другого софта. Если пользователь загружает такой файл через торрент, он обнаруживает ZIP-архив, содержащий бинарник, чье название заканчивается словом Patcher.

Если жертва запустит кряк, появится пустое окно, содержащее одну только кнопку Start. В этот момент еще не поздно закрыть окно, так как процесс шифрования запускается после нажатия Start.

Специалисты ESET пишут, что Patcher использует arc4random_uniform и генерирует случайное значение, длиной 25 символов, которое применяется в качестве ключа шифрования для всех пользовательских файлов. Проблема в том, что шифровальщик не передает этот ключ на управляющий сервер. В коде малвари вообще нет ничего, что могло бы использоваться для связи с C&C-сервером. Так что у операторов вредоноса попросту нет возможности восстановить данные пострадавших. Хуже того, ключ достаточно длинный, чтобы его было практически невозможно подобрать посредством брутфорса.

Patcher оставляет файл README!.txt, содержащий сообщение с требованием выкупа, во всех пострадавших директориях, причем файл жестко закодирован в код малвари, то есть указанный в сообщении биткоин-кошелек един для всех пользователей. Исследователи сообщают, что в настоящий момент денег на указанный кошелек еще не перечислил никто.

Также операторы малвари указывают для связи email-адрес, предоставленный сервисом Mailinator. Так как Mailinator не требует авторизации и регистрации, просматривать содержимое ящика может кто угодно. Эксперт ESET пишут, что наблюдали за ящиком всю последнюю неделю, но так и не увидели ни одного сообщения, хотя, возможно, операторы малвари просто удаляют их слишком быстро.

В заключение исследователи отмечают, что Patcher «определенно не шедевр», а скачивание пиратского ПО через сомнительные каналы всегда существенно повышает риск заражения малварью.



3 комментария

  1. Skybad

    24.02.2017 at 15:38

    Какие есть варианты если все таки пользователь нажал «Старт»?

  2. Skybad

    25.03.2017 at 19:37

Оставить мнение