Z początkiem marca liczne massmedia, strony www i blogi ogłosiły pojawienie się pierwszego w historii ransomware dla komputerów Mac. Specjaliści Doctor Web przebadali ten złośliwy program, nazwany Mac.Trojan.KeRanger.2 i opracowali metodę, która może pomóc w odszyfrowaniu plików zaatakowanych przez tego trojana.
Mac.Trojan.KeRanger.2 został wykryty w zmodyfikowanych wersjach instalatora popularnego klienta torrent dla Mac OS X dystrybuowanego w postaci pliku DMG. Ta złośliwa aplikacja została podpisana ważnym certyfikatem twórców aplikacji dla “Maków”. Tym samym ten program z powodzeniem ominął mechanizmy ochrony Apple Gatekeeper.
Gdy Mac.Trojan.KeRanger.2 zostanie zainstalowany na zainfekowanym komputerze, odczekuje 3 dni przed podłączeniem się do serwera C&C poprzez sieć TOR. Następnie uruchamia procedurę szyfrującą. Najpierw trojan szyfruje wszystkie pliki, do których ma dostęp, z pomocą uprawnień użytkownika lub administratora (root’a). Następnie Mac.Trojan.KeRanger.2 próbuje zaszyfrować zawartość partycji logicznej /Volumes, tj. plików zapisanych na dysku twardym i na podmontowanych partycjach logicznych. W tym przypadku pliki są szyfrowane zgodnie z listą wbudowaną w trojana zawierającą 313 różnych typów plików, włączając pliki tekstowe i obrazy. Przed szyfrowaniem trojan pobiera z serwera klucz szyfrujący i plik z żądaniami cyberprzestępców. Ten program ransomware może być rozpoznany na podstawie faktu dodawania przez niego do nazw wszystkich zaszyfrowanych plików rozszerzenia “.encrypted” i osadzania we wszystkich katalogach pliku “README_FOR_DECRYPT.txt”.
Analitycy bezpieczeństwa Doctor Web opracowali nową technikę, która w większości przypadków, pomaga w odszyfrowaniu plików zaatakowanych przez to malware.
Jeśli stałeś się ofiarą Mac.Trojan.KeRanger.2, postępuj zgodnie z poniższymi wskazówkami:
- Nie próbuj zmieniać zawartości katalogów z zaszyfrowanymi plikami.
- Nie kasuj żadnych plików z komputera.
- Skontaktuj się ze wsparciem technicznym Doctor Web (darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web).
- Załącz plik zaszyfrowany przez trojana do swojego zgłoszenia.
- Poczekaj na odpowiedź od wsparcia technicznego. Ze względu na dużą liczbę zgłoszeń prosimy o cierpliwość.
Darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web. Firma Doctor Web nie gwarantuje, że wszystkie pliki będą odszyfrowane z powodzeniem, jednakże specjaliści podejmą wszystkie niezbędna działania, aby odzyskać zaszyfrowane dane.
źródło: Doctor Web
