新型MacOS勒索軟體：正在偽裝成PS軟體傳播

01-27

幾天前， ESET公司的安全專家發現了一種新型的MacOS勒索軟體，屬於非常珍貴的物種。這一勒索軟體被命名為OSX/Filecoder.E，主要是通過bittorrent網站攻擊MacOS用戶。

ESET分析到：

上周，我們發現了一種新型的勒索軟體活動，並且是專門針對Mac的勒索軟體活動。這一新型的勒索軟體使用Swift語言編寫的，通過bittorrent網站進行自我傳播。從表面上看，它似乎就是一個盜版軟體。

OSX/Filecoder.E偽裝成辦公工具進行傳播

更糟糕的信息就是，即使受害者支付了贖金，文件也不會被解密。MacOS勒索軟體並不常見，它會將自己偽裝成Mac版Adobe Premiere Pro CC 和Microsoft Office的破解工具。一旦用戶在自己的Mac上安裝了該工具，則意味著它的文件即將被鎖定。

OSX/Filecoder.E很難在最新版的OS X和MacOS 上安裝，因為該勒索軟體的安裝包並沒有獲得蘋果開發者授權的證書。

$ codesign -dv "Office 2016 Patcher.app"nExecutable=Office 2016 Patcher.app/Contents/MacOS/Office 2016 PatchernIdentifier=NULL.provanFormat=app bundle with Mach-O thin (x86_64)nCodeDirectory v=20100 size=507 flags=0x2(adhoc) hashes=11+3 location=embeddednSignature=adhocnInfo.plist entries=22nTeamIdentifier=not setnSealed Resources version=2 rules=12 files=14nInternal requirements count=0 size=12n

OSX/Filecoder.E的勒索技術比較簡單，只能產生一個加密密鑰，也就是說所有加密文件都是共用一個加密密鑰。並且，該勒索軟體的加密密鑰是不會發送至C&C伺服器，所以用戶的文件是不可能被解密的。但它的加密方式很高效，也很難被破解。

樣本

通過對這一勒索軟體的滲入分析得出一個結論是，它是一個專門針對MacOS的勒索軟體，但無可厚非的是，勒索軟體作者的技術並不是很高超，可能是一個菜鳥。但即使它的技術很low，仍然還是可以讓受害者無法訪問其文件，從而造成比較嚴重的後果。

截至發布本文的時間，接收贖金的比特幣錢包還沒有收到金錢匯入。

本文參考來源於securityaffairs，如若轉載，請註明來源於嘶吼：新型MacOS勒索軟體：正在偽裝成PS軟體傳播更多內容請關注「嘶吼專業版」——Pro4hou