macOS naudotojai pasigavę FindZip/Patcher ransomware jau turi priešnuodį

Pasirodė priešnuodis išsprendžiantis FindZip ransomware pasigavusių „macOS“ aplikacijų piratų problemas.

Vasario pabaigoje rašiau apie naujai pasirodžiusį, į piratauti linkusius „macOS“ aplikacijų naudotojus, ransomware[1] tipo kenkėją.

FindZip kenkėjas nusitaikęs į Mac aplikacijų piratus

Šis kaip „FindZip“ arba „OSX/Filecoder.E“ žinomas kenkėjas, save vadinantis „Patcher“ yra parašytas Swift programavimo kalba ir nusitaikęs į populiarias piratines aplikacijų versijas diegiančius „Mac“ kompiuterių naudotojus. Pirmoji kenkėjo versija nebuvo pilnai realizuota, nes aukos pasigavusios kenkėją negalėjo atstatyti savo failų net jei ir sumokėdavo „išpirką“. Dėl šios priežasties saugumo ekspertai „pasimovusiems“ ant šio kenkėjo smaigų rekomendavo išpirkų nemokėti. Dėl neteisingai parašyto kodo, kenkėjas sunaikindavo šifravimo raktą prieš jį išsiųsdamas komandas į kontrolės centrą.

Kenkėjas pasislepia apsimesdamas „Adobe Premier Pro“ ir „Microsoft Office“ aplikacijų nulaužimo įrankiu bei turi galiojančius pasirašytus sertifikatus, kas apsunkina jo kaip kenkėjo identifikavimą.

Gera žinia ta, kad dabar „FindZip“, „Patcher“, „OSX/Filecoder.E“ ar kaip jį bepavadinsi kenkėjo aukos dabar turi galimybę pabandyti atkurti savo failus, kuriuos buvo užšifravęs kenkėjas.

Prieš porą savaičių, „Malwarebytes Labs“ saugumo ekspertai paskelbė instrukcijas, kuriose aprašoma kaip atstatyti „FindZip“ užšifruotus duoemnis.

Procese naudojami šie elementai:

  1. „Xcode“ ar „TextWrangler“
  2. Xcode“ komandinės eilutės įrankiai
  3. „PkCrack“ išeitinis kodas
  4. vienas nešifruotas ir jį atitinkantis šifruotas failas

Taip pat reikalinga dar viena paskyra užkrėstame kompiuteryje.

Vėliau procesą automatizavo „Avast“ ekspertai išleisdami „FindZip decryption tool“ įrankį. Šio įrankio pagalba „FindZip“ aukos gali atšifruoti savo failus tiek „Mac“, tiek ir „Windows“ kompiuteriuose.

Jei domina techniniai „FindZip“ duomenys – juos aprašė „MalwareByte“. Daugiau informacijos apie šį kenkėją rasite mano anksčiau rašytame straipsnyje.

Nemokamą duomenų atšifravimo įrankį atsisiųsti galite iš „Avast“ svetainės.


Apie Ramūnas Blavaščiūnas

Fotografijos, geros technikos ir kavos mylėtojas

Parašykite komentarą

Į viršų