В начале марта различные СМИ и блоги сообщили об активности первого полноценного вируса-шифровальщика для платформы OS X. Эксперты «Доктор Веб» изучили вредоносную программу, которая получила название Mac.Trojan.KeRanger.2, а также разработали алгоритм расшифровки файлов, измененных вирусом.
Шифровальщик впервые был выявлен в зараженном обновлении программы для работы с торрентами. Утилита, внедренная в дистрибутив DMG, была подписана действующим сертификатом. Это позволило KeRanger обойти встроенную защиту ОС.
После инсталляции на компьютер вредоносная программа выжидает трое суток, пребывая в «спящем» режиме. Далее приложение соединяется с внешним управляющим узлом, используя для этого анонимную сеть TOR. Далее инициируется запуск шифрования файлов пользователя: в каталоге текущего пользователя шифруются все файлы, к которым у вируса есть права доступа. При этом вредоносное приложение может работать как с правами простого пользователя, так и от имени root-аккаунта (максимальные привилегии). После этого вредоносное приложение делает попытку зашифровать содержимое раздела /Volumes (остальные файлы жесткого диска). В этом случае найденные файлы шифруются по маске – список содержит 313 типов файлов, включая изображения и текстовые документы. Файл с текстом требования и ключ шифрования троянская программа получает с внешнего сервера. Отличительной чертой вируса является использование для зашифрованных файлов уникального расширения «.encrypted», а также создание в каталогах файла README_FOR_DECRYPT.txt.
Чтобы воспользоваться услугой восстановления файлов, пострадавших от утилиты Mac.Trojan.KeRanger.2, специалисты «Доктор Веб» рекомендуют выполнить следующие действия:
— сразу написать соответствующее заявление в полицию;
— не удалять никаких файлов на ПК, а также не пытаться восстановить их самостоятельно;
— оперативно обратиться в службу поддержки «Доктор Веб» (услуга бесплатна для обладателей коммерческих лицензий компании). К запросу необходимо приложить любой зашифрованный файл.
Компания не дает гарантии на полное восстановление файлов, однако специалисты заверяют, что прикладывают максимальные усилия для расшифровки файлов, а также продолжают изучать вредоносную программу.
- сразу написать соответствующее заявление в полицию;
- не удалять никаких файлов на ПК, а также не пытаться восстановить их самостоятельно;
- оперативно обратиться в службу поддержки «Доктор Веб» (услуга бесплатна для обладателей коммерческих лицензий компании). К запросу необходимо приложить любой зашифрованный файл.
Компания не дает гарантии на полное восстановление файлов, однако специалисты заверяют, что прикладывают максимальные усилия для расшифровки файлов, а также продолжают изучать вредоносную программу.