En ny lumsk ransomware er netop nu på spil, og den er ekstra interessant af to grunde:
1) Ransomwaren er målrettet macOS-brugere, hvor det ellers oftest er Windows-brugerne, de it-kriminelle går efter.
2) Ransomwaren rammer ofrene via populære fora for software-pirater.
Patcher, som ransomwaren hedder, er skrevet i Swift, og udbredes via BitTorrent-sider, hvor den foregiver at være en applikation til piratkopiering af populære software fra eksempelvis Adobe og Microsoft.
Læs også: Vær på vagt: Disse tre ransomware-familier udgør de største trusler netop nu
Ifølge welivesecurity.com, som sikkerhedsfirmaet ESET står bag, indeholder denne torrent en ZIP-fil, der skal ligne at indeholde Adobe Premiere Pro og Microsoft Office til macOS.
Der kan dog være flere varianter i spil, advarer ESET.
Beskeden til ofrene
Hvis en software-pirat klikker på start-knappen i troen på, at det vil installere eksempelvis Adobe Premiere Pro, sætter det i stedet gang i krypteringen af brugerens egne filer.
Herefter kopieres en README!.txt-fil til forskellige mapper på maskinen.
I dette dokument forklager ransomware-bagmændene, hvad der er sket, og man kan blandt andet læse følgende besked:
What happened to your files ?
All of your files were protected by a strong encryption method.
What do I do ?
So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT
Læs også: Ransomware as a service boomer: Så nemt kan menigmand angribe dig med ransomware
Umuligt at genskabe filerne
ESET skriver, at Patcher-ransomwaren generelt er dårligt kodet, men at skaden alligevel kan være stor.
Samtidig er det interessant, at de it-kriminelle indirekte kommer til at afsløre, at ofrene absolut intet kan få ud af at betale løsepenge.
"Der er et stort problem med denne ransomware: den har ikke nogen kode, der kommunikerer med nogen C&C server. Det betyder, at der ikke er nogen måde, hvorpå den nøgle, der blev anvendt til at kryptere filerne, kan sendes til malware-operatørerne."
"Det betyder også, at der ikke er nogen metode til at give dem en måde at dekryptere et offers filer på. I dette tilfælde vil det ikke bringe dine filer tilbage at betale løsesummen," forklarer ESET.
"Denne nye crypto-ransomware, der er designet specifikt til macOS, er bestemt ikke et mesterstykke. Desværre er den stadig effektiv nok til at forhindre ofrenes adgang til deres egne filer og kan udrette alvorlig skade."
Læs også:
Vær på vagt: Disse tre ransomware-familier udgør de største trusler netop nu
Ransomware as a service boomer: Så nemt kan menigmand angribe dig med ransomware
Ransomware 2.0 truer: Smadrer din computers boot-funktion - ingen adgang til OS'et uden betaling
Alvorlig afsløring: Halvdelen af alle ransomware-ofre ender med at betale løsepenge