;

Nový vydírací software pro MacOS oběť podvede: chce výkupné, klíče k souborům stejně nedá

22. 2. 2017
Doba čtení: 2 minuty

Sdílet

 Autor: © lolloj - Fotolia.com
Na internetu se objevil nový vydírací software pro počítače Apple, který se šíří prostřednictvím bittorrentových stránek. Program zašifruje soubory na napadeném počítači a požaduje výkupné, avšak ani po zaplacení nedostane oběť šifrovací klíče k odemčení souborů.

Kryptografický vydírací software pro operační systém macOS je poměrně vzácný – jedná se teprve od druhý takový zaznamenaný v reálném světě. Antivirová společnost ESET, která jej odhalila, jej pojmenovala OSX/Filecoder.E.

OSX/Filecoder.E předstírá, že se jedná o nástroj k prolomení ochrany komerčního softwaru jako Adobe Premiere Pro CC nebo Microsoft Office pro Mac a šíří se prostřednictvím bittorrentových stránek. Je napsaný v programovacím jazyce Apple Swift, pravděpodobně nezkušeným vývojářem, na což lze usuzovat podle množství chyb v jeho implementaci.

Instalátor aplikace není podepsán certifikátem vývojáře vydaným společností Apple, což ztěžuje instalaci na novějších verzích OS X a macOS, protože uživatel musí ručně změnit základní bezpečnostní nastavení.

Největším problémem je způsob, jakým tento software zašifrovává soubory v napadeném počítači. Vygeneruje jediný šifrovací klíč pro všechny soubory a následně přesune soubory do zašifrovaných archivů ZIP. Nezdá se však, že by dokázal komunikovat s externím serverem, takže útočník nedostane do ruky šifrovací klíč před jeho zničením.

To znamená, že i když oběť postupuje podle pokynů vyděrače (uvedených v textovém souboru README!.txt, který v počítači zůstane), jak zaplatit výkupné, nezíská své soubory zpět. Šifrování se zdá být silné a neprolomitelné alternativními metodami.

Náhodné heslo k archivům ZIP je generováno pomocí nástroje arc4random_uniform, který je považován za bezpečný generátor náhodných čísel. Klíč je navíc příliš dlouhý na prolomení hrubou silou v přiměřeném čase.

ICTS24

Experti sledují adresu útočníkem uvedené bitcoinové peněženky, avšak dosud k žádné platbě nedošlo. Ani ve veřejně dostupné e-mailové schránce užívané útočníkem nebyla zaznamenána žádná komunikace s možnými obětmi.

Ačkoli je OSX/Filecoder.E pravděpodobně dílem nezkušeného autora, který raději oběti podvede, než by budoval řídicí infrastrukturu pro ukládání klíčů a dekódování souborů, naznačuje, že macOS je zajímavým cílem pro počítačové vyděrače. Takovýchto programů bude pravděpodobně přibývat s tím, jak bude rostoucí počet útočníků soupeřit o omezenou množinu platících obětí na jiných platformách.