新型MacOS勒索軟體:正在偽裝成PS軟體傳播
幾天前, ESET公司的安全專家發現了一種新型的MacOS勒索軟體,屬於非常珍貴的物種。這一勒索軟體被命名為OSX/Filecoder.E,主要是通過bittorrent網站攻擊MacOS用戶。
ESET分析到:
上周,我們發現了一種新型的勒索軟體活動,並且是專門針對Mac的勒索軟體活動。這一新型的勒索軟體使用Swift語言編寫的,通過bittorrent網站進行自我傳播。從表面上看,它似乎就是一個盜版軟體。
OSX/Filecoder.E偽裝成辦公工具進行傳播
更糟糕的信息就是,即使受害者支付了贖金,文件也不會被解密。MacOS勒索軟體並不常見,它會將自己偽裝成Mac版Adobe Premiere Pro CC 和Microsoft Office的破解工具。一旦用戶在自己的Mac上安裝了該工具,則意味著它的文件即將被鎖定。
OSX/Filecoder.E很難在最新版的OS X和MacOS 上安裝,因為該勒索軟體的安裝包並沒有獲得蘋果開發者授權的證書。
$ codesign -dv "Office 2016 Patcher.app"nExecutable=Office 2016 Patcher.app/Contents/MacOS/Office 2016 PatchernIdentifier=NULL.provanFormat=app bundle with Mach-O thin (x86_64)nCodeDirectory v=20100 size=507 flags=0x2(adhoc) hashes=11+3 location=embeddednSignature=adhocnInfo.plist entries=22nTeamIdentifier=not setnSealed Resources version=2 rules=12 files=14nInternal requirements count=0 size=12n
OSX/Filecoder.E的勒索技術比較簡單,只能產生一個加密密鑰,也就是說所有加密文件都是共用一個加密密鑰。並且,該勒索軟體的加密密鑰是不會發送至C&C伺服器,所以用戶的文件是不可能被解密的。但它的加密方式很高效,也很難被破解。
樣本
通過對這一勒索軟體的滲入分析得出一個結論是,它是一個專門針對MacOS的勒索軟體,但無可厚非的是,勒索軟體作者的技術並不是很高超,可能是一個菜鳥。但即使它的技術很low,仍然還是可以讓受害者無法訪問其文件,從而造成比較嚴重的後果。
截至發布本文的時間,接收贖金的比特幣錢包還沒有收到金錢匯入。
本文參考來源於securityaffairs,如若轉載,請註明來源於嘶吼: 新型MacOS勒索軟體:正在偽裝成PS軟體傳播 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※GoSSIP 論文推薦(2017-06-19)
※互聯網甲方公司和乙方公司安全工程師的薪資範圍大概是什麼樣的?
※追蹤IP地址你需要這幾款工具加持
※小心!Google Play 中出現首個使用代碼注入Android惡意軟體——Dvmap
※快訊:英國議會電郵網路遭到持續攻擊
TAG:信息安全 |