Nowy ransomware atakuje macOS i gubi klucz do zaszyfrowanych plików. Programować trzeba umieć

Kolekcja zagrożeń na system macOS powiększyła się o kolejną ciekawostkę. Odkryto nowy rodzaj zagrożeń typu ransomware, czyli szyfrujących dane i żądających okupu. Złośliwe programy podszywają się pod cracki do popularnych programów, umożliwiające korzystanie z nich bez płacenia. Zamiast pirackiego Adobe Premiere Pro czy Office'a użytkownik zostaje z zaszyfrowanym dyskiem… bez możliwości odzyskania danych, bo autorzy złośliwego programu odwalili fuszerkę.

Patcher, oznaczony jako OSX/Filecoder.E, rozpowszechnia się za pośrednictwem sieci BitTorrent i można na niego trafić, pobierając pirackiego Premiere Pro, Office'a albo inny popularny program. Po rozpakowaniu pobranego archiwum użytkownik znajdzie program crackujący Premiere Pro lub Office'a. Z pozoru wygląda jak każdy inny crack i użytkownik może dać się nabrać. Na razie wszystkie znalezione złośliwe aplikacje miały podobne nazwy plików i ikonki, co może być wskazówką w dalszych poszukiwaniach.

Dalsza część procesu przebiega tradycyjnie – nieświadomy niczego użytkownik, skuszony darmowym programem od Adobe, uruchamia program i uruchamia crackowanie. Program, zamiast wprowadzić zmiany w instalacji Premiere Pro, szyfruje dane, chyba że użytkownik zamknie okno bez wprowadzania zmian.

Ten przypadek ransomware pokazuje, jak nie należy zabierać się za zbieranie okupu. Przede wszystkim okno programu nie ma tła, a chyba każda szanująca się grupa crackująca umieszcza w tym miejscu swoje logo albo coś zabawnego. Drugie skorzystanie z programu nie będzie możliwe, gdyż okno w ogóle się nie pokaże, co jest kolejnym sygnałem, że mamy do czynienia nie z porządnym crackiem, ale z amatorskim ransomware.

Jeśli ktoś nie przestraszy się podejrzanego okna i uruchomi crackowanie, jego dysk zostanie zaszyfrowany. Kluczem będzie 25-znakowy ciąg losowych liczb (funkcja arc4random_uniform). Zwykle w takich sytuacjach klucz zostaje wysłany do autorów ransomware, którzy oddadzą go po otrzymaniu okupu, ale ci najwyraźniej nie pomyśleli, że może to być potrzebne. Patcher szyfruje dane i bezpowrotnie kasuje klucz. Gdyby klucz był krótszy, można by było spokojnie próbować dostać się do danych na własną rękę, ale łamanie 25 znaków jest pracochłonne. Nie jest jednak niemożliwe.

Szyfrowanie też nie zostało dobrze zaimplementowane. Patcher zaczyna od wygenerowania klucza, a następnie zamyka pliki, jeden po drugim w archiwach, do których hasłem jest wspomniany 25-znakowy klucz. Wszystkie pliki są szyfrowane tym samym kluczem, za co autorzy Patchera zostaliby wyśmiani przez swoich kolegów z branży, preferujących wielowarstwowe modele szyfrowania. Autorzy programu nie zadali sobie nawet trudu, by zmieniać nazwy szyfrowanych plików, więc kotek.gif zostanie zapisany jako kotek.gif.crypt. Dla użytkownika to oczywiście ułatwienie, bo może starać się odszyfrować tylko pliki, na których mu najbardziej zależy, ale przecież nie o to chodzi. Pliki są pobierane z folderów użytkowników (/Users) i zamontowanych dysków zewnętrznych.

Po zakończeniu procesu zobaczymy obok zaszyfrowanych plików plik tekstowy z informacją, że pliki są teraz chronione „silnym szyfrowaniem” i by je odzyskać, trzeba przelać ćwierć bitcoina do podanego portfela, a potem wysłać adres swojego portfela i adres IP mailem. Podany jest tylko jeden portfel, co można uznać za kolejną wtopę, i adres e-mail w usłudze Mailinator, dzięki czemu każdy może uzyskać dostęp do skrzynki. Dopiero w tym momencie Patcher uruchamia diskutil, by nadpisać wolne miejsce na dysku Maca i uniemożliwić odzyskiwanie danych… tylko że ktoś zrobil w skrypcie literówkę w ścieżce do narzędzia i nie zostaje ono uruchomione. Ofiara może więc podjąć próbę odzyskania swoich plików.

Nie ulega wątpliwości, że nie mamy do czynienia z arcydziełem kodowania. Autorzy Patchera muszą się jeszcze wiele nauczyć, jeśli chcą mierzyć się z ransomeware z rodziny KillDisk czy KeRanger.