11 marca 2016

Z początkiem marca liczne massmedia, strony www i blogi ogłosiły pojawienie się pierwszego w historii ransomware dla komputerów Mac. Specjaliści Doctor Web przebadali ten złośliwy program, nazwany Mac.Trojan.KeRanger.2 i opracowali metodę która może pomóc w odszyfrowaniu plików zaatakowanych przez tego trojana.

Mac.Trojan.KeRanger.2 został wykryty w zmodyfikowanych wersjach instalatora popularnego klienta torrent dla Mac OS X dystrybuowanego w postaci pliku DMG. Ta złośliwa aplikacja została podpisana ważnym certyfikatem twórców aplikacji dla “Maków”. Tym samym ten program z powodzeniem ominął mechanizmy ochrony Apple Gatekeeper.

Gdy Mac.Trojan.KeRanger.2 zostanie zainstalowany na zainfekowanym komputerze, odczekuje trzy dni przed podłączeniem się do serwera C&C poprzez sieć TOR. Następnie uruchamia procedurę szyfrującą. Najpierw trojan szyfruje wszystkie pliki do których ma dostęp z pomocą uprawnień użytkownika lub administratora (root’a). Następnie Mac.Trojan.KeRanger.2 próbuje zaszyfrować zawartość partycji logicznej /Volumes, to jest plików zapisanych na dysku twardym i na podmontowanych partycjach logicznych. W tym przypadku pliki są szyfrowane zgodnie z listą wbudowaną w trojana zawierającą 313 różnych typów plików, włączając pliki tekstowe i obrazy. Przed szyfrowaniem trojan pobiera z serwera klucz szyfrujący i plik z żądaniami cyberprzestępców. Ten program ransomware może być rozpoznany na podstawie faktu dodawania przez niego do nazw wszystkich zaszyfrowanych plików rozszerzenia “.encrypted” i osadzania we wszystkich katalogach pliku “README_FOR_DECRYPT.txt”.

Analitycy bezpieczeństwa Doctor Web opracowali nową technikę która, w większości przypadków, pomaga w odszyfrowaniu plików zaatakowanych przez to malware.

Jeśli stałeś się ofiarą Mac.Trojan.KeRanger.2, postępuj zgodnie z poniższymi wskazówkami:

• Powiadom policję.
• Pod żadnym pozorem nie próbuj zmieniać zawartości katalogów z zaszyfrowanymi plikami.
• Nie kasuj żadnych plików z komputera.
• Nie próbuj samodzielnie przywracać zaszyfrowanych danych.
• Skontaktuj się ze wsparciem technicznym Doctor Web (darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web).
• Załącz plik zaszyfrowany przez trojana do swojego zgłoszenia.
• Poczekaj na odpowiedź od wsparcia technicznego. Z przyczyny na dużą liczbę zgłoszeń może to zająć nieco czasu.

Chcemy jeszcze raz zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web. Aby uzyskać więcej informacji o tym, w jaki sposób można założyć zgłoszenie z prośbą o odszyfrowanie plików, skorzystaj z tego linku. Doctor Web nie gwarantuje, że wszystkie Twoje pliki będą odszyfrowane z powodzeniem, jednakże nasi specjaliści zrobią wszystko, co w ich mocy, aby odzyskać zaszyfrowane dane.

Więcej na temat tego Trojana