MacOS rendszert támadja egy új zsarolóvírus

A legtöbb zsarolóvírus a Windows rendszereket támadja, azonban a Linuxot vagy OSX rendszert futtató gépek sincsenek biztonságban: erre jó példa a Linuxra veszélyes KillDisk, vagy a KeRanger zsarolóvírus, amely pedig a Apple operációs rendszerét is támadja. Az ESET szakemberei nemrégiben észleltek egy átfogó zsarolóvírus kampányt, amely a Mac gépeket támadta.

A Swift-ben íródott (az Apple saját fejlesztésű programozási nyelve) zsarolóvírus BitTorrenten keresztül terjedt, és egy ‘Patcher’ elnevezésű, népszerű szoftverek feltörésére szolgáló alkalmazásnak álcázza magát. A torrent állomány egyetlen, ZIP-be tömörített alkalmazáscsomagot tartalmaz. Az ESET szakemberei kétféle hamis feltörő programot is észleltek: az egyik az Adobe Premiere Pro, a másik pedig a Microsoft Office for Mac program feltörésével kecsegtet, azonban ezeken kívül akár több ilyen hamis trójai program is létezhet. Az alkalmazás szemlátomást gyenge programozói munka, kezdetleges hibákat tartalmaz. Például a megjelenő ablak háttere zavaróan áttetsző, és a bezárása után már nem lehet azt újra megnyitni.

A start gombra kattintva elindul a titkosítási folyamat, amelynek során a program egy “README!.txt” elnevezésű fájlt másol a felhasználó könyvtáraiba. Ezek után a zsarolóvírus egy véletlenszerű 25 karakter hosszú láncot generál, amely kulcsként szolgál a fájlok titkosításához. A felhasználóknak szóló utasításokat a README!.txt tartalmazza, amelybe fixen belekódolták az adatokat, így a Bitcoin cím és az emailcím minden egyes áldozatnál ugyanaz. Van egy nagy probléma ezzel a zsarolóvírussal: nem tartalmaz semmilyen kódot, ami C&C szerverrel (távoli vezérlőszerver) kommunikál, így a titkosításhoz használt kulcsot sem küldi el a kártevő üzemeltetőjéhez. Ez egyben azt is jelenti, hogy az áldozatok fájljainak feloldása sajnos egyáltalán nem lehetséges, tehát a zsarolás során kért összeg esetleges kifizetése után sem kapható vissza az állományokat helyreállító kód. Már csak ezért sem érdemes fizetni.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.