新的麦斯科斯兰科·勒索在野外发现了
用于宏的新文件加密ransomware程序正在通过位洪流网站分发,并且降低受害者的用户赢得了“T即可恢复他们的文件 - 即使他们支付。
Crypto ransomware程序为MacOS是罕见的。这是狂野中迄今为止发现的第二种这样的威胁,它是一个设计不良的威胁。该程序被命名为OSX / filecoder.e,由发现它的防病毒供应商ESET的恶意软件研究人员。
OSX / FileCoder.e伪装成作为商业软件的开裂工具,如Adobe Premiere Pro CC和Microsoft Office for Mac。它是用苹果公司的SWIFT编程语言编写的,这些语言似乎是一个不经验的开发人员,从实现的许多错误中判断。
[进一步阅读:2016年赎金软件在2016年虽然恶意软件拒绝了]应用程序安装程序未与Apple颁发的开发人员证书签名,这使得恶意软件在较新的OS X和MacOS版本上更加困难,因为用户需要覆盖默认安全设置。
但是,此恶意软件的最大问题是它加密文件的方式。它为所有文件生成一个加密密钥,然后将文件存储在加密的zip存档中。但是,恶意软件不会出现任何与外部服务器通信的能力,因此在被销毁之前,加密密钥永远不会发送到攻击者。
这意味着即使受害者遵循黑客的指示(包括在计算机上的README!留在计算机上)的说明书上,如何支付赎金,他们赢得了“T获取他们的文件。加密似乎很强,所以它不能使用替代方法破解。
“随机zip密码是用arc4random_uniform生成的,它被认为是一个安全的随机数生成器,”ESET研究人员在周三的博客文章中表示。“钥匙在合理的时间内蛮力也太长了。”
研究人员监控了攻击者使用的比特币钱包地址,他们没有看到到目前为止的任何付款。攻击者使用的公开访问邮箱也没有显示与潜在受害者的沟通迹象。
即使OSX / FileCoder.e可能是一个缺乏经验的编码器的工作,他们选择诈骗受害者而不是构建命令和控制的基础架构来处理密钥存储和解密,它确实显示了麦斯科斯州的勒索软件创建者的可行目标。由于越来越多的赎金瓶帮派竞争在其他平台上,这款操作系统的各种这种恶意程序可能会增加。
