Mac 用の新しいランサムウェアがセキュリティ研究者によって発見されました。Swift で作成された「不十分にコーディングされた」マルウェアは、ユーザーのファイルを暗号化して支払いを要求しますが、身代金を支払ったとしてもファイルを復号化する可能性はありません。
BitTorrent サイト経由で流通し、「Patcher」と呼ばれるこのマルウェアは、海賊版が人気のあるソフトウェア スイートで使用されているコピー プロテクトやライセンス システムを回避するための亀裂の役割を果たします。研究者のMarc-Etienne M.Lveillは、2つの異なることを発見しました偽のパッチャーこれは同じコードを使用し、Microsoft Office for Mac 2016 と Adobe Premiere Pro CC 2017 のロックを解除する方法を装っていましたが、このマルウェアのインスタンスがさらに別の名前で流通している可能性があることを示唆しています。
このマルウェアはアーカイブから抽出されて実行されると、ウィンドウを開き、海賊版ソフトウェアにパッチを適用するためにスタート ボタンを押すようユーザーに勧めます。クリックされると、ランサムウェアは「readme」ファイルを中心にさまざまなユーザー ディレクトリに拡散し、その後アーカイブ内でランダムに生成された 25 文字のキーを使用して他のすべてのユーザー ファイルを暗号化し、元のファイルを削除します。
Readme ファイルでは、ファイルが暗号化されていること、ロックを解除するには 7 日以内に特定のウォレット アドレスに 0.25 ビットコインを支払う必要があることがユーザーに説明されています。ファイルはランダムの支払いから 24 時間以内に復号化されると主張されていますが、0.45 ビットコインを支払う別のオプションも提供され、10 分以内に復号化できると宣伝されています。
研究者は、このマルウェアはさまざまな点で「全体的にコーディングが不十分」であると指摘しています。を使用して生産されています迅速、アプリケーションのウィンドウが閉じていると開くことはできませんが、ディスク ユーティリティを使用してルート パーティションの空き領域を無効にしようとするコードでは、ツールへの間違ったパスが使用されます。
Readme ファイル内の詳細はハードコーディングされており、感染ごとに固有の情報ではなく、すべての被害者に同じビットコイン ウォレットと電子メール アドレスが提示されます。報告時点でビットコインウォレットを検査したところ、まだ取引が行われていないことが明らかになった。これは、これまでのところ誰も作成者の身代金を支払っていないことを意味する。
暗号化ランサムウェアの他の多くの例とは異なり、たとえ身代金が支払われたとしても、被害者は復号化によってファイルを取り戻すことができないことが注目されています。マルウェアにはキーをオペレーターに送信するコードがないため、ユーザーにファイルを復号する「サービス」を提供する可能性はありません。また、キーの長さからブルート フォース攻撃には時間がかかりすぎることが示唆されています。達成するために。
「この新しい暗号ランサムウェアは、macOS 向けに特別に設計されており、決して傑作ではありません」と Lveill 氏は書いています。 「残念ながら、被害者が自分のファイルにアクセスするのを防ぐには依然として十分な効果があり、重大な損害を引き起こす可能性があります。」
Lveill 氏は、同様の脅威から保護するために、セキュリティ ソフトウェアだけでなく、すべての重要なデータの最新のオフライン バックアップを作成することをお勧めします。
「Patcher」は、macOS ユーザーを狙った最近発見された一連のマルウェアの最新版です。先月だけでも、次のようになりすましたマルウェアが発生しました。Adobe Flash PlayerのアップデートそしてMicrosoft Wordマクロ人権団体や米国の防衛産業の人々をターゲットにした攻撃が発見されており、また、Xagent マルウェア パッケージは、ある人物によって作成されたと伝えられています。ロシアのハッカー集団。
Isamu 
Isamu 
Isamu