Index Vakbarát Hírportál

MacOS-t támadó zsarolóvírusokat észleltek

2017. március 6., hétfő 13:35

A zsarolóvírusok mostanában nagyon népszerűek a kiberbűnözők körében. A legtöbb ilyen vírus a Windows asztali rendszereit támadja, azonban a Linuxot vagy OSX rendszert futtató gépek sincsenek biztonságban. Erre jó példa a Linuxra veszélyes KillDisk, vagy a KeRanger zsarolóvírus, amely pedig a Apple operációs rendszerét is támadja.

Az ESET szakemberei nemrégiben észleltek egy átfogó zsarolóvírus kampányt, amely az Mac gépeket támadta. A Swift-ben íródott zsarolóvírus BitTorrenten keresztül terjedt, és egy Patcher elnevezésű, népszerű szoftverek feltörésére szolgáló alkalmazásnak adta ki magát.

A torrent állomány egyetlen, ZIP-be tömörített alkalmazáscsomagot tartalmaz. Az ESET szakemberei kétféle hamis feltörő programot is észleltek: az egyik az Adobe Premiere Pro, a másik pedig a Microsoft Office for Mac program feltörésével kecsegtet, azonban ezeken kívül akár több ilyen hamis trójai program is létezhet.

Az alkalmazás szemlátomást gyenge programozói munka, kezdetleges hibákat tartalmaz. Például a megjelenő ablak háttere zavaróan áttetsző, és a bezárása után már nem lehet azt újra megnyitni. A program egy NULL.prova fejlesztői azonosítóval rendelkezik, amelyet nem az Apple bocsátott ki.

A start gombra kattintva elindul a titkosítási folyamat, amelynek során a program egy README!.txt elnevezésű fájlt másol a felhasználó könyvtáraiba. Ezek után a zsarolóvírus egy véletlenszerű 25 karakter hosszú láncot generál, amely kulcsként szolgál a fájlok titkosításához.

A felhasználóknak szóló utasításokat a README!.txt tartalmazza, amelybe fixen belekódolták az adatokat, így a Bitcoin cím és az emailcím minden egyes áldozatnál ugyanaz. Egyelőre a megadott Bitcoin tárcában nem történt semmiféle tranzakció, ami azt jelenti, hogy a zsarolóvírus készítője még semmit sem keresett vele.

Akad azonban egy nagy probléma ezzel a zsarolóvírussal: nem tartalmaz semmilyen kódot, ami C&C szerverrel (távoli vezérlőszerver) kommunikál, így a titkosításhoz használt kulcsot sem küldi el a kártevő üzemeltetőjéhez. Ez egyben azt is jelenti, hogy az áldozatok fájljainak feloldása egyáltalán nem lehetséges, tehát a zsarolás során kért összeg esetleges kifizetése után sem kapják vissza adatainkat. De a fizetést amúgy sem javasolják a szakemberek.

A macOS rendszereket fenyegető új zsarolóvírus nem mestermunka, azonban így is elég hatékony ahhoz, hogy megakadályozza az áldozatokat adataik elérésében, és komoly veszteségeket okozzon.

Rovatok