FileCoder macOSランサムウェア
サイバー犯罪者は、無防備なユーザーを狙う新たな手口を常に開発しており、ランサムウェアは依然として最も深刻な脅威の一つです。macOSユーザーの間では、FileCoderランサムウェア(別名Patcher、Findzip)が悪名高い例です。起動すると、個人ファイルを暗号化し、解除と引き換えに金銭を要求します。しかし、FileCoderのコーディングが粗雑なため、金銭を支払ってもデータを復元できないため、強力な予防対策が不可欠です。
目次
FileCoder ランサムウェアとは何ですか?
FileCoderは、macOSシステムを標的とするファイル暗号化ランサムウェアです。Adobe Premiere Pro CCやMicrosoft Office 2016といった人気ソフトウェアのパッチ適用ツールを装うことが多いです。研究者らは、このランサムウェアがBitTorrentプラットフォームを介して拡散し、海賊版ソフトウェアを求めるユーザーを主な標的にしているのを初めて確認しました。
このマルウェアは主にOS X 10.11.x(El Capitan)およびmacOS 10.12.xを実行しているシステムに影響を与えますが、それ以前のバージョンや新しいバージョンも影響を受ける可能性があります。実行ファイルはAppleの署名がないため、注意深いユーザーにとっては警戒すべき点です。
FileCoder はどのようにデバイスに感染するのでしょうか?
感染プロセスは、ユーザーがトレントサイトから有料ソフトウェア用の「パッチャー」または「クラッカー」と思しきものをダウンロードした時点で始まります。起動すると、偽のパッチャーは3つのステップを示す進行状況ウィンドウを表示しますが、これは単なる目くらましです。ユーザーが「開始」をクリックするとすぐに暗号化プロセスが開始されます。インターフェースにステップ2または3が表示される頃には、既に被害は発生しています。
FileCoderはUsersフォルダ内のすべてを暗号化しますが、システムファイルとアプリケーションファイルはそのまま残ります。実行時に接続された外付けドライブやネットワークボリュームも標的となります。このマルウェアは25文字のランダムな暗号化キーをローカルで生成し、rmコマンドを使用して元のファイルを削除します。さらに、diskutilを使用して空き領域の消去を試みますが、ファイルパスが正しくないため失敗します。このエラーにより、部分的なデータ復旧の可能性はわずかです。
暗号化後に何が起こるでしょうか?
暗号化が完了すると、ユーザーのデスクトップにはREADME.txtやDECRYPT!.txtなどの身代金要求メッセージが次々と表示されます。被害者は、24時間以内にファイルのロックを解除するためにビットコインで280ドル、より早く復号化するために500ドルを支払うよう指示されます。しかし、この要求は欺瞞的なものです。FileCoderにはコマンド&コントロールサーバーと通信したり、復号鍵を送信したりする機能がないためです。つまり、身代金を支払ってもファイルへのアクセスは回復しません。
さらに、このランサムウェアは、暗号化されたファイルの変更日を、理由は不明ですが2010年2月13日に変更します。システムを再起動すると、「iCloudにサインイン」画面が表示され、ユーザーの環境設定もデータと共に暗号化されます。
弱点と回復オプション
FileCoder には破壊的な可能性があるにもかかわらず、いくつかの欠陥があります。
- ファイルの暗号化には時間がかかり、250MBの動画ファイルの場合は約30秒かかります。迅速な対応により暗号化を停止できます。
- アプリケーションを途中で終了すると、それ以降のファイルの暗号化は停止します。
- ディスクユーティリティ パスが正しくないと、完全な安全な消去が妨げられ、Data Rescue などのツールを使用して部分的な回復を行う機会が生まれます。
研究者たちは、FileCoderによって暗号化されたファイルを復号する方法も開発しました。このプロセスは面倒で技術的な知識が必要ですが、被害者にとっては最後の手段となります。
ファイルの回復を試みるために、被害者はいくつかのリソースを必要とします。2 台目の動作するコンピューター、暗号化されたファイルの少なくとも 1 つの暗号化されていないコピー、信頼できるテキスト エディター、Xcode コマンドライン ツール、および ZIP ファイル暗号化に対して既知平文攻撃を実行するユーティリティである pkcrack です。
しかし、ファイルの元の暗号化されていないバージョンが必ずしも必要というわけではありません。そのようなファイルがない場合、ユーザーはランサムウェアを自身に悪用する可能性があります。FileCoderアプリがダウンロードディレクトリなどのユーザーフォルダ内から実行された場合、マルウェアは自身の実行ファイルを暗号化している可能性があります。被害者は、感染したアプリケーションの新しいコピーをダウンロードすることで、復号プロセスを支援できます。
研究者たちは、この方法は大量の復号が不可能なため、時間がかかり、手間がかかると警告しています。しかしながら、データへのアクセスを取り戻そうと決意している人にとって、このアプローチは有効な最後の手段となります。
感染を防ぐための実証済みのセキュリティ対策
FileCoderのようなランサムウェア感染を防ぐのは、感染から回復するよりもはるかに簡単です。システムを保護するために、以下のセキュリティ対策を講じてください。
1.安全なコンピューティング習慣
- トレント サイトやその他の検証されていないソースからソフトウェアやパッチをダウンロードすることは避けてください。
- 常にアプリケーションの署名を確認し、信頼できる開発者または公式の Mac App Store からのアプリのみをインストールしてください。
- 最新の脅威とセキュリティに関するアドバイスを常に把握してください。
- 強力なシステム保護
- 信頼できるマルウェア対策ソリューションを有効にし、最新の状態に保ってください。
これらの対策を組み合わせることで、ランサムウェアの脅威にさらされる可能性が大幅に軽減され、最悪の場合でもデータが安全に回復可能になります。
メッセージ
FileCoder macOSランサムウェア に関連する次のメッセージが見つかりました:
|
NOT YOUR LANGUAGE? USE https://translate.google.com What happened to your files ? All of your files were protected by a strong encryption method. What do I do ? So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT FOLLOW THESE STEPS: 1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version) 2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb 3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com 4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes) KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME! |
