Pliki zaatakowane przez ransomware dla OS X mogą zostać odszyfrowane

14 marca, 2016

Z początkiem marca liczne massmedia, strony www i blogi ogłosiły pojawienie się pierwszego w historii ransomware dla komputerów Mac. Specjaliści Doctor Web przebadali ten złośliwy program, nazwany Mac.Trojan.KeRanger.2 i opracowali metodę, która może pomóc w odszyfrowaniu plików zaatakowanych przez tego trojana.

Mac.Trojan.KeRanger.2 został wykryty w zmodyfikowanych wersjach instalatora popularnego klienta torrent dla Mac OS X dystrybuowanego w postaci pliku DMG. Ta złośliwa aplikacja została podpisana ważnym certyfikatem twórców aplikacji dla “Maków”. Tym samym ten program z powodzeniem ominął mechanizmy ochrony Apple Gatekeeper.

Gdy Mac.Trojan.KeRanger.2 zostanie zainstalowany na zainfekowanym komputerze, odczekuje 3 dni przed podłączeniem się do serwera C&C poprzez sieć TOR. Następnie uruchamia procedurę szyfrującą. Najpierw trojan szyfruje wszystkie pliki, do których ma dostęp, z pomocą uprawnień użytkownika lub administratora (root’a). Następnie Mac.Trojan.KeRanger.2 próbuje zaszyfrować zawartość partycji logicznej /Volumes, tj. plików zapisanych na dysku twardym i na podmontowanych partycjach logicznych. W tym przypadku pliki są szyfrowane zgodnie z listą wbudowaną w trojana zawierającą 313 różnych typów plików, włączając pliki tekstowe i obrazy. Przed szyfrowaniem trojan pobiera z serwera klucz szyfrujący i plik z żądaniami cyberprzestępców. Ten program ransomware może być rozpoznany na podstawie faktu dodawania przez niego do nazw wszystkich zaszyfrowanych plików rozszerzenia “.encrypted” i osadzania we wszystkich katalogach pliku “README_FOR_DECRYPT.txt”.

Analitycy bezpieczeństwa Doctor Web opracowali nową technikę, która w większości przypadków, pomaga w odszyfrowaniu plików zaatakowanych przez to malware.

Jeśli stałeś się ofiarą Mac.Trojan.KeRanger.2, postępuj zgodnie z poniższymi wskazówkami:

  • Nie próbuj zmieniać zawartości katalogów z zaszyfrowanymi plikami.
  • Nie kasuj żadnych plików z komputera.
  • Skontaktuj się ze wsparciem technicznym Doctor Web (darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web).
  • Załącz plik zaszyfrowany przez trojana do swojego zgłoszenia.
  • Poczekaj na odpowiedź od wsparcia technicznego. Ze względu na dużą liczbę zgłoszeń prosimy o cierpliwość.

Darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web. Firma Doctor Web nie gwarantuje, że wszystkie pliki będą odszyfrowane z powodzeniem, jednakże specjaliści podejmą wszystkie niezbędna działania, aby odzyskać zaszyfrowane dane.

źródło: Doctor Web

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]