Ranomware đã trở thành một công cụ phổ biến nhất đang được sử dụng bởi các tội phạm mạng. Một báo cáo tuần trước cho rằng các cuộc tấn công bằng ransonware Android đã tăng trưởng hơn 50% chỉ trong vòng một năm. Các nhà nghiên cứu bảo mật vừa phát hiện thêm một biến thể “Patcher” mà đang nhắm đến các đối tượng người dùng MacOS. Ransomware MacOS mới được viết bằng Swift và được phân phối thông qua các trang web chia sẽ nội dụng bittorent.
Ransomware Mac sẽ khoá dữ liệu của bạn một cách vĩnh viễn.
Các công ty bảo mật như ESET đã phát hiện ra một chương trình ransomware Mac mà sẽ được phân phối thông qua mạng chia sẽ nội dung bittorrent và núp bóng dưới dạng các công cụ bẻ khoá phần mềm (crack tool).
Hầu hết các ransomware trước đây chúng ta nhận dạng được chỉ tấn công người dùng Win dows và Android. Tuy nhiên, Linux và MacOS không phải là nền tảng miễn nhiễm hoàn toàn mà đâu đó vẫn có một số ransomware được thiết kế để chạy trên nền tảng này. Nhưng có một đều an ủi là các ransomware Mac có mã nguồn rất đơn giản.
Khi người dùng tải xuống và giải nén những tập tin bị nhiễm ranomware thường núp dưới dạng các công cụ bẻ khoá bản quyền phầm mềm, họ sẽ nhận được một tập tin nhị phân với tên kết thúc chuỗi “Patcher”. Khi tập tin này được thực thi, một cửa sổ trắng sẽ hiện lên. Sẽ xuất hiện một sự bối rối trong người dùng, nhưng có một nút Start mà sẽ khỏi động tiến trình mã hoá tập tin.
Nó sẽ tạo ra một tập tin README!.TXT bên trong tất cả các thư mục của người dùng như “Document” và “Photo”.
Sau đó, các ransomware sẽ tạo ra một chuỗi 25 ký tự được sử dụng như là chìa khoá để mã hoá các tập tin. Các khoá tương tự cũng được tạo ra cho tất cả các tập tin còn lại, mà được liệt kê với các dòng lệnh tìm kiếm; công cụ nén tập tin sẽ được sử dụng để đóng góp và nén và lưu trữ các tập tin trong một kho lưu trữ đã được mã hoá.
Cuối cùng, các tập tin ban đầu được xoá với rm (không thể khôi phục) và thời gian sử đổi các tập tin được mã hoá sẽ được thiết lập vào lúc nửa đêm ngày 13 tháng Hai năm 2010. Lý do cho việc thay đổi thời gian thiết lập tập tin là không rõ ràng. Sau đó, thư mục /Users se được đưa vào thay thế và nó sẽ thực hiện tương tự cho tất cả các lưu trữ mở rộng và các thư mục lưu trữ mạng được tìm thấy bên trong thư mục /Volumes.
Trình tự thực thi của việc mã hoá hệ thống của nạn nhân do file README!.TXT thực hiện, việc này có nghĩa rằng các địa chỉ Bitcoin và địa chỉ email sẽ là giống nhau cho mỗi nạn nhân. Trong khi điều này có thể khẳng định chưa phải là một ransomware tinh vi nhất nhưng có một vấn đền lớn hơn.
Patcher không gởi các chìa khoá đó lên bất kỳ máy chủ nào, do đó việc giải mã các chìa khoá đã được mã hoá trên các ransomware Mac là vô phương cứu chữa trừ khi bạn trả tiền để được cung cấp chìa
khoá giải mã. Nó cũng không thể thực hiện các cuộc tấn công mạng nguy hiểm do các các mã khoá có độ dài rất dài. Vì vậy, sao lưu dữ liệu có thể là cách tốt nhất của bạn.
“Đây là một cryto-ransomware mới, được thiết kế đặc biệt dành cho các hệ điều hành MacOS và chắc chắn đây không phải là một kiệt tác”, các nhà nghiên cứu đã viết trong một bài đăng trên blog của họ. “Thật không may, nó vẫn đủ hiệu quả để gây ra các thiệt hại nghiêm trọng với các người dùng phổ thông”
nguồn: wccftech
