Un nou malware din categoria ransomware criptează datele utilizatorilor fără a păstra cheia necesară pentru recuperarea acestora

Autor: Aurelian Mihai 24.02.2017
Un nou malware din categoria ransomware criptează datele utilizatorilor fără a păstra cheia necesară pentru recuperarea acestora

Ajuns una dintre cele mai răspândite ameninţări informatice, malware-ul din categoria ransomware are ca principal obiectiv „sechestrarea” fişierelor importante de pe hard disk în spatele unui algoritm de criptare şi solicitarea plăţii unei sume de bani pentru recuperarea acestora, de obicei prin cedarea cheii de criptare folosită iniţial.

Din păcate plata sumei cerute înainte de expirarea termenului limită impus de atacatori nu garantează şi recuperarea ulterioară a datelor, după cum au aflat utilizatorii de PC-uri cu sistem macOS atacate cu o nouă formă de ransomware numită „Patcher”, propagat cu ajutorul site-urilor BitTorrent şi deghizat în aplicaţii de tip Cracking Tool folosite la activarea frauduloasă a pachetelor Adobe Premiere Pro şi Microsoft Office for Mac.

Odată ce utilizatorul porneşte aplicaţia extrasă dintr-o arhivă .ZIP plasată alături de kit-ul de instalare al uneia dintre aplicaţiile mai sus menţionate este întâmpinat cu o fereastră fără conţinut, exceptând un singur buton etichetat „Start”. Activat chiar de victima luată prin surprindere, butonul respectiv declanşează efectiv procesul de criptare a datelor, folosind o cheie de 25 caractere generate aleatoriu. La final, unica cheie de criptare este ştearsă de pe hard disk fără ca malware-ul trimită o copie atacatorilor, astfel că plata unei recompense devine inutilă. Fără un scop anume, malware-ul setează toate fişierele criptate cu data de 13 februarie 2010. Operaţiunea este repetată apoi pentru toate fişierele păstrate pe dispozitive de stocare externă, sau conectate în reţeaua locală.

Instrucţiunile pentru plata sumei solicitate drept recompensă sunt plasate într-un fişier Readme.txt care este răspândit oriunde se află fişiere criptate de aplicaţie. Conţinutul acestuia (adresa email şi Bitcoin) este identic pentru fiecare victimă, astfel că deosebirea celor care au plătit taxa de răscumpărare nu este posibilă.

Deşi rudimentar, malware-ul creat special pentru platforma macOS funcţionează suficient de bine încât să facă practic imposibil de recuperat fişierele criptate pentru care nu au fost create backup-uri anterioare.