Nouveau ransomware bloque le Mac et exige une rançon

Malware du type Crypto-ransomware sont devenues très répandues ces derniers mois entre les cybercriminels. En plus de Windows oeprativi également des systèmes tels que Linux ou MacOS peut être compromise par le ransomware, qui comprennent les tentatives pour prévenir ou limiter l’utilisation de votre Mac et demande une rançon!!!
Nous avons récemment remarqué une nouvelle campagne de ransomware pour Mac, écrit à Swift, il est distribué par l’intermédiaire des sites de distribution de fichiers torrent et est appelé Patcher, prétendant que vous avez besoin de mettre à jour des logiciels.

Le distrubution du fichier malware est souvent à travers les sites de partage de fichiers Torrent et, comme le Torrent contient un seul fichier ZIP – un dossier de candidature. Nous avons vu deux applications différentes de faux « patcher »: un pour Adobe Premiere Pro et un pour Microsoft Office pour Mac, mais il pourrait y avoir de nombreux types plus différents.

L’application dispose d’une fenêtre avec un fond transparent, ce qui peut créer de la confusion chez les utilisateurs, et est évidemment pas signé avec une clé validée par Apple.

Processus de cryptage de fichiers

En cliquant sur le bouton de démarrage, malheureusement, une partie du processus de chiffrement, qui copie un fichier appelé README.txt (souvent présent en tant que fichiers explication même dans les programmes réguliers) dans tous les répertoires utilisateur, tels que « Mes documents » et « Photos ».
Ensuite, le ransomware génère une chaîne de 25 caractères aléatoires à utiliser comme une clé pour chiffrer des fichiers, la même clé est utilisée pour tous les fichiers, qui sont énumérés avec par l’outil de ligne de commande find; outil zip est ensuite utilisé pour stocker des fichiers dans une archive cryptée.
Enfin, le fichier original est supprimé avec le changement et le temps rm fichier crypté qui est fixé à minuit du 13 Février 2010, avec la commande tactile.
Une fois le répertoire des utilisateurs est la même pour tout le stockage externe et réseau qui est monté, il est donc très dangereux.

Pas de décryptage possible, même de l’auteur

Il y a un gros problème avec cette ransomware: n’a pas de code pour communiquer avec un serveur C & C. Cela signifie qu’il n’y a aucun moyen que la clé utilisée pour chiffrer les fichiers peuvent être envoyés aux pirates qui ont créé le logiciel malveillant!
Cela signifie également qu’il n’y a aucun moyen pour eux de fournir un moyen de décrypter les dossiers des victimes, puis payer la rançon dans ce cas, il ne va pas restaurer vos fichiers. C’est une raison pour laquelle vous voudrez peut-être victimes ne jamais payer la rançon.
En outre postal mot de passe aléatoire est généré avec arc4random_uniform qui est considéré comme un générateur de nombres aléatoires sécurisé. La clé est trop longue pour être en mesure de forcer dans un délai raisonnable avec la méthode de la force brute.

Mail public

Il est intéressant de noter que l’adresse e-mail est une adresse donnée par Mailinator, qui fournit une boîte aux lettres gratuitement à toute personne, sans les obliger à authentifier. Cela signifie que vous pouvez voir la boîte aux lettres utilisée pour communiquer avec l’auteur du malware. Nous avons suivi cet e-mail pour la semaine dernière et ne pas voir aucun message. Cependant, il est possible que les messages sont supprimés très rapide et nous avons perdu.
conclusion

Ce nouveau ransomware crypto, conçu spécifiquement pour Mac OS, il est certainement pas un chef-d’œuvre. Malheureusement, cependant, il est encore assez efficace pour faire en sorte que les victimes puissent retrouver l’accès à leurs dossiers et pourraient causer des dommages graves.
Nous devons être conscients qu’il ya un risque accru lors du téléchargement de logiciels piratés, et que quelqu’un pourrait utiliser ces fichiers afin de vous faire exécuter des logiciels malveillants.

Nous recommandons que vous avez un produit de sécurité installé, mais la précaution la plus importante dans le cas où vous rencontrez le ransomware est d’avoir une sauvegarde hors ligne constamment mise à jour de toutes les données importantes pour vous.
Si vous pensez que vous avez un virus examiner la question ici.