Attenti ai Torrent, malware cripta i file e chiede riscatto!

I malware del tipo Crypto-ransomware sono diventati molto diffusi negli ultimi mesi tra i criminali informatici. Oltre a Windows anche sistemi oeprativi come Linux o MacOS possono essere compromessi dal ransomware, che lo ricordiamo tenta di impedirci o limitarci l’utilizzo del Mac e ci chiede un riscatto!!!
Di recente abbiamo notato una nuova campagna ransomware per Mac, scritta in Swift, è distribuita tramite siti di distribuzione di file Torrent e si chiama Patcher, finge cioè di dover aggiornare qualche software.

La distrubuzione del file malware avviene spesso tramite siti di Torrent e file sharing, ad esempio il Torrent contiene un singolo file ZIP – un pacchetto di applicazione. Abbiamo visto due diversi applicativi di falsi “patcher”: uno per Adobe Premiere Pro e uno per Microsoft Office per Mac, ma potrebbero essercene molti altri tipi diversi.

Se il tuo Mac ha problemi di avvio, leggi i nostri consigli.

L’applicazione ha una finestra con uno sfondo trasparente, che può generare confusione negli utenti, e non è ovviamente firmata con una chiave validata dalle Apple.

Processo di crittografia dei file

Facendo clic sul pulsante di avvio parte purtroppo il processo di crittografia, che copia un file chiamato README.txt (spesso presente come file di spiegazione anche in programmi regolari) in tutte le directory degli utenti, come “Documenti” e “Foto”.
Poi il ransomware genera una stringa di 25 caratteri casuale da utilizzare come chiave per crittografare i file, la stessa chiave viene utilizzata per tutti i file, che sono elencati con lo strumento da riga di comando find; lo strumento zip viene quindi utilizzato per memorizzare il file in un archivio cifrato.
Infine, il file originale viene cancellato con rm e ora di modifica del file crittografato che è impostato a mezzanotte, del 13 Febbraio 2010 con il comando touch.
Dopo la directory Users fa la stessa cosa per tutto lo storage esterno e di rete montato che trova, ed è quindi molto pericoloso.

Nessuna decrittazione possibile, anche da parte dell’autore

C’è un grosso problema con questo ransomware: non ha alcun codice per comunicare con qualsiasi server C&C. Questo significa che non esiste alcun modo che la chiave utilizzata per crittografare i file possa essere inviata agli hacker che hanno creato il malware!
Questo significa anche che non c’è modo per loro di fornire un modo per decriptare i file delle vittime, e quindi pagare il riscatto in questo caso non vi ridarà i vostri file. Questo è uno dei motivi per cui si consiglia alle vittime di non pagare mai il riscatto.
Inoltre la password ZIP casuale è generata con arc4random_uniform che è considerato un generatore di numeri casuali sicuro. La chiave è anche troppo lunga per riuscire a forzarla in tempi ragionevoli con il metodo della forza bruta.

Casella di posta pubblica

È interessante notare che l’indirizzo e-mail è un indirizzo fornito da Mailinator, che fornisce una casella di posta gratuitamente a chiunque, senza richiedere loro di autenticarsi. Ciò significa che è possibile vedere la casella di posta utilizzato per comunicare con l’autore del malware. Abbiamo monitorato questa casella di posta elettronica per l’ultima settimana e non vedere alcun messaggio. Tuttavia, è possibile che i messaggi vengono eliminati molto veloce e abbiamo semplicemente perso.

Conclusione

Questo nuovo cripto-ransomware, progettato specificamente per MacOS, non è certo un capolavoro. Purtroppo, però è ancora abbastanza efficace per evitare che le vittime riescano ad riottenere l’accesso ai propri file e potrebbe causare gravi danni.
Bisogna essere consci che c’è un aumento del rischio quando si scaricano software pirata, e che qualcuno potrebbe usare questi file di al fine di farvi eseguire malware.

Consigliamo di avere un prodotto di sicurezza installato ma la precauzione più importante nel caso in cui doveste incontrare del ransomware è quello di avere un backup sempre aggiornato non in linea di tutti i dati importanti per voi.
Se pensi di aver preso un virus esamina la questione qui.

Scarica Mackeeper l’antivirus pensato per il Mac!

Download MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *