Defend what you create

Other Resources

Zamknij

Library
My library

+ Add to library

Profile

Back to news

Pliki zaatakowane przez trojana ransomware dla OS X mogą być odszyfrowane przez Doctor Web

11 marca 2016

Z początkiem marca liczne massmedia, strony www i blogi ogłosiły pojawienie się pierwszego w historii ransomware dla komputerów Mac. Specjaliści Doctor Web przebadali ten złośliwy program, nazwany Mac.Trojan.KeRanger.2 i opracowali metodę która może pomóc w odszyfrowaniu plików zaatakowanych przez tego trojana.

Mac.Trojan.KeRanger.2 został wykryty w zmodyfikowanych wersjach instalatora popularnego klienta torrent dla Mac OS X dystrybuowanego w postaci pliku DMG. Ta złośliwa aplikacja została podpisana ważnym certyfikatem twórców aplikacji dla “Maków”. Tym samym ten program z powodzeniem ominął mechanizmy ochrony Apple Gatekeeper.

Gdy Mac.Trojan.KeRanger.2 zostanie zainstalowany na zainfekowanym komputerze, odczekuje trzy dni przed podłączeniem się do serwera C&C poprzez sieć TOR. Następnie uruchamia procedurę szyfrującą. Najpierw trojan szyfruje wszystkie pliki do których ma dostęp z pomocą uprawnień użytkownika lub administratora (root’a). Następnie Mac.Trojan.KeRanger.2 próbuje zaszyfrować zawartość partycji logicznej /Volumes, to jest plików zapisanych na dysku twardym i na podmontowanych partycjach logicznych. W tym przypadku pliki są szyfrowane zgodnie z listą wbudowaną w trojana zawierającą 313 różnych typów plików, włączając pliki tekstowe i obrazy. Przed szyfrowaniem trojan pobiera z serwera klucz szyfrujący i plik z żądaniami cyberprzestępców. Ten program ransomware może być rozpoznany na podstawie faktu dodawania przez niego do nazw wszystkich zaszyfrowanych plików rozszerzenia “.encrypted” i osadzania we wszystkich katalogach pliku “README_FOR_DECRYPT.txt”.

Analitycy bezpieczeństwa Doctor Web opracowali nową technikę która, w większości przypadków, pomaga w odszyfrowaniu plików zaatakowanych przez to malware.

Jeśli stałeś się ofiarą Mac.Trojan.KeRanger.2, postępuj zgodnie z poniższymi wskazówkami:

  • Powiadom policję.
  • Pod żadnym pozorem nie próbuj zmieniać zawartości katalogów z zaszyfrowanymi plikami.
  • Nie kasuj żadnych plików z komputera.
  • Nie próbuj samodzielnie przywracać zaszyfrowanych danych.
  • Skontaktuj się ze wsparciem technicznym Doctor Web (darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web).
  • Załącz plik zaszyfrowany przez trojana do swojego zgłoszenia.
  • Poczekaj na odpowiedź od wsparcia technicznego. Z przyczyny na dużą liczbę zgłoszeń może to zająć nieco czasu.

Chcemy jeszcze raz zaznaczyć, że darmowa usługa odszyfrowywania plików jest dostępna tylko dla użytkowników, którzy zakupili komercyjne licencje na produkty Dr.Web. Aby uzyskać więcej informacji o tym, w jaki sposób można założyć zgłoszenie z prośbą o odszyfrowanie plików, skorzystaj z tego linku. Doctor Web nie gwarantuje, że wszystkie Twoje pliki będą odszyfrowane z powodzeniem, jednakże nasi specjaliści zrobią wszystko, co w ich mocy, aby odzyskać zaszyfrowane dane.

Więcej na temat tego Trojana

Tell us what you think

You will be awarded one Dr.Webling per comment. To ask Doctor Web’s site administration about a news item, enter @admin at the beginning of your comment. If your question is for the author of one of the comments, put @ before their names.


Other comments

The Russian developer of Dr.Web anti-viruses

Doctor Web has been developing anti-virus software since 1992

Dr.Web is trusted by users around the world in 200+ countries

The company has delivered an anti-virus as a service since 2007

24/7 tech support

© Doctor Web
2003 — 2019

Doctor Web to rosyjski producent oprogramowania antywirusowego Dr.Web. Rozwijamy nasze produkty od 1992 roku.

125040, Rosja, Moskwa, 3. ulica Jamskiego Pola 2-12A