Обнаружен вымогатель Patcher для Mac, который шифрует файлы, но не может расшифровать их обратно
Эксперты исследовательской компании ESET обнаружили вредоносное ПО для Mac, которое шифрует файлы на компьютере и требует деньги за доступ к информации. Проблема состоит в том, что даже после оплаты «зловред» под названием Patcher не способен расшифровать обратно данные на компьютере.
Patcher, известный также как Filecoder и OSX/Filecoder.E, написан на языке программирования Swift и распространяется через торренты, маскируясь под кряк для Microsoft Office для Mac или Adobe Premiere Pro. Если пользователь загружает такой файл, он обнаруживает ZIP-архив, содержащий файл со словом Patcher в названии.
Если маковод запустит приложение, появится пустое окно с единственной кнопкой Start. В этот момент еще не поздно закрыть окно, так как процесс шифрования запускается после нажатия Start.
Как отмечает Xakep, Patcher использует arc4random_uniform и генерирует случайное значение, длиной 25 символов, которое применяется в качестве ключа шифрования для всех пользовательских файлов. Проблема в том, что шифровальщик не передает этот ключ на управляющий сервер. В коде малвари вообще нет ничего, что могло бы использоваться для связи с C&C-сервером. Так что у операторов вредоноса попросту нет возможности восстановить данные пострадавших. Хуже того, ключ достаточно длинный, чтобы его было практически невозможно подобрать с помощью перебора.
Patcher оставляет файл README!.txt, содержащий сообщение с требованием выкупа, во всех пострадавших директориях, причем файл закодирован в код малвари, то есть указанный в сообщении биткоин-кошелек един для всех пользователей. Исследователи сообщают, что в настоящий момент денег на указанный кошелек еще не перечислил никто.
По данным исследователи отмечают, что Patcher «определенно не шедевр», а скачивание пиратского ПО через сомнительные каналы всегда существенно повышает риск заражения компьютера.
