A Swift-ben íródott (az Apple saját fejlesztésű programozási nyelve) zsarolóvírus BitTorrenten keresztül terjedt, és egy 'Patcher' elnevezésű, népszerű szoftverek feltörésére szolgáló alkalmazásnak adta ki magát. A torrent állomány egyetlen, ZIP-be tömörített alkalmazáscsomagot tartalmaz.
Az ESET szakemberei kétféle hamis feltörő programot is észleltek: az egyik az Adobe Premiere Pro, a másik pedig a Microsoft Office for Mac program feltörésével kecsegtet, azonban ezeken kívül akár több ilyen hamis trójai program is létezhet.
Az alkalmazás szemlátomást gyenge kódolási munka, jó pár kezdetleges hibát tartalmaz. Például a megjelenő ablak háttere zavaróan áttetsző, és a bezárása után már nem lehet azt újra megnyitni. A program egy NULL.prova fejlesztői azonosítóval rendelkezik, amelyet nem az Apple bocsátott ki.
A start gombra kattintva elindul a titkosítási folyamat, amelynek során a program egy “README!.txt” elnevezésű fájlt másol a felhasználó könyvtáraiba. Ezek után a zsarolóvírus egy véletlenszerű 25 karakter hosszú láncot generál, amely kulcsként szolgál a fájlok titkosításához.
A felhasználóknak szóló utasításokat a README!.txt tartalmazza, amelybe fixen belekódolták az adatokat, így a Bitcoin cím és az emailcím minden egyes áldozatnál ugyanaz.
"NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption method.
What do I do ?
So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT
FOLLOW THESE STEPS:
1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)
KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON'T BE ANY METHOD TO RECOVER YOUR FILES, DON'T WASTE YOUR TIME!"
Akad azonban egy nagy probléma ezzel a zsarolóvírussal: nem tartalmaz semmilyen kódot, ami C&C szerverrel (távoli vezérlőszerver) kommunikál, így a titkosításhoz használt kulcsot sem küldi el a kártevő üzemeltetőjéhez. Ez egyben azt is jelenti, hogy az áldozatok fájljai örökre bennragadtak, azok feloldása jelenlegi ismereteink szerint sajnos egyáltalán nem lehetséges, tehát a zsarolás során kért összeg esetleges kifizetése után sem kaphatjuk vissza adatainkat.
Többek között ezért ajánlja az ESET, hogy soha ne fizessünk, ha zsarolóvírus áldozataivá válunk. Egyelőre a megadott Bitcoin tárcában nem történt semmiféle tranzakció, ami azt jelenti, hogy a zsarolóvírus készítője még semmit sem keresett vele - és ez jelen cikkünk megjelenése után remélhetőleg továbbra is így marad.
Csak érdekességképpen, a vírustörténelemben sajnos volt már más olyan zsaroló kártevő, amelyik helyreállíthatatlan károkat okozott. A 2015. októberében a Windows rendszereken felbukkanó Power Worm Microsoft Word és Excel fájlokat támadott meg.
Viszont hibásan volt megírva, emiatt a mégis fizetőknek - itt 2 BTC volt a váltságdíj, akkori áron körülbelül 220 eHUF - esélyük sem volt az adatok helyreállítására.
Visszatérve a mai macOS rendszereket fenyegető új zsarolóvírusra, ez szerencsére nem mestermunka, azonban így is elég hatékony ahhoz, hogy megakadályozza az áldozatokat adataik elérésében, és komoly veszteségeket okozhat. A kalózszoftverek használata mindig nagy kockázatokat rejt magában, ezért az ESET azt ajánlja minden felhasználónak, hogy ne töltsön le ilyen programokat, illetve a naprakész biztonsági szoftverek használata mellett legfontosabb adatairól rendszeresen készítsen olyan biztonsági mentéseket, amelyeket a gépről leválasztva, offline tárol.
A macOS rendszert érintő kártevőkről részletesebben ezen a linken tájékozódhatunk.
Örök élet plusz húsz év
A zsarolóvírusok mostanában nagyon népszerűek a kiberbűnözők körében. A legtöbb ilyen vírus a Windows asztali rendszereit támadja, azonban a Linuxot vagy OSX rendszert futtató gépek sincsenek biztonságban. Erre jó példa a Linuxra veszélyes KillDisk, vagy pedig a KeRanger zsarolóvírus, amely az Apple operációs rendszerét támadja. Az ESET szakemberei nemrégiben észleltek egy olyan zsarolóvírus kampányt, amely szintén a Mac gépeket támadta, és miatta akár örökre elveszthetjük adatainkat.