本文讲的是
新型MacOS勒索软件:正在伪装成PS软件传播,
几天前, ESET公司的安全专家发现了一种新型的MacOS勒索软件,属于非常珍贵的物种。这一勒索软件被命名为OSX/Filecoder.E,主要是通过bittorrent网站攻击MacOS用户。
ESET分析到:
上周,我们发现了一种新型的勒索软件活动,并且是专门针对Mac的勒索软件活动。这一新型的勒索软件使用Swift语言编写的,通过bittorrent网站进行自我传播。从表面上看,它似乎就是一个盗版软件。
OSX/Filecoder.E伪装成办公工具进行传播
更糟糕的信息就是,即使受害者支付了赎金,文件也不会被解密。MacOS勒索软件并不常见,它会将自己伪装成Mac版Adobe Premiere Pro CC 和Microsoft Office的破解工具。一旦用户在自己的Mac上安装了该工具,则意味着它的文件即将被锁定。
OSX/Filecoder.E很难在最新版的OS X和MacOS 上安装,因为该勒索软件的安装包并没有获得苹果开发者授权的证书。
$ codesign -dv "Office 2016 Patcher.app"
Executable=Office 2016 Patcher.app/Contents/MacOS/Office 2016 Patcher
Identifier=NULL.prova
Format=app bundle with Mach-O thin (x86_64)
CodeDirectory v=20100 size=507 flags=0x2(adhoc) hashes=11+3 location=embedded
Signature=adhoc
Info.plist entries=22
TeamIdentifier=not set
Sealed Resources version=2 rules=12 files=14
Internal requirements count=0 size=12
OSX/Filecoder.E的勒索技术比较简单,只能产生一个加密密钥,也就是说所有加密文件都是共用一个加密密钥。并且,该勒索软件的加密密钥是不会发送至C&C服务器,所以用户的文件是不可能被解密的。但它的加密方式很高效,也很难被破解。
样本
通过对这一勒索软件的渗入分析得出一个结论是,它是一个专门针对MacOS的勒索软件,但无可厚非的是,勒索软件作者的技术并不是很高超,可能是一个菜鸟。但即使它的技术很low,仍然还是可以让受害者无法访问其文件,从而造成比较严重的后果。
截至发布本文的时间,接收赎金的比特币钱包还没有收到金钱汇入。
原文发布时间为:2017年2月24日
本文作者:張奕源Nick
本文来自云栖社区合作伙伴嘶吼,了解相关信息可以关注嘶吼网站。