AdobeやMicrosoft Officeのクラックツールを装い、実行するとファイルを暗号化し、復号化と引き換えに身代金を要求するSwift製のランサムウェア「OSX/Filecoder.E」がBitTorrent経由で広まっているそうです。詳細は以下から。
AdobeやMicrosoft Officeのクラックツールを装ったmacOS用ランサムウェア「OSX/Filecoder.E」が新たに発見されたとして、ESETが運営するセキュリティサイトWeLiveSecurityが注意を呼びかけています。
New #ransomware hits #macOS users via #torrent with no decryption possible, even from the author: https://t.co/5oVcs2rl6V pic.twitter.com/J4yZo3qbiF
— ESET (@ESET) 2017年2月22日
Early last week, we have seen a new ransomware campaign for Mac. This new ransomware, written in Swift, is distributed via BitTorrent distribution sites and calls itself “Patcher”, ostensibly an application for pirating popular software.
New crypto-ransomware hits macOS – WeLiveSecurity
配布元
このマルウェアは”Adobe Premiere Pro CC 2017″や”Microsoft Office 2016″のPatchers(クラックツール)の中に潜み、BitTorrent経由で広まってるそうで、先ほど確認したところこのTorrentは現在も公開され、ダウンロード可能な状態にありました。
The Torrent contains a single ZIP file – an application bundle. We saw two different fake application “Patchers”: one for Adobe Premiere Pro and one for Microsoft Office for Mac. Mind you, our search was not exhaustive; there might be more out there.
New crypto-ransomware hits macOS – WeLiveSecurity
ランサムウェアの挙動
上記のPatcherを起動すると、AdobeやMicrosoft Officeアプリをクラックする(実際にはクラックしません)[Start]ボタンが表示されたMacの背景に透過したウィンドウが現れ、
ボタンを押すと他のランサムウェアと同様に、まずMac内に保存してあるユーザーのドキュメントや写真などが暗号化され、次に”/Volumes”以下にある外部/ネットワークストレージ内のファイルが暗号化された後、各ディレクトリに”README!.txt”ファイルを作成。
README!.txtの中には「あなたのデータを元通りにしたければ、0.25ビットコインを支払え」という身代金を要求する主旨と、ビットコインの支払い方法が記載されているそうです。
NOT YOUR LANGUAGE? USE https://translate.google.com
What happened to your files ?
All of your files were protected by a strong encryption method.What do I do ?
So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENTNew crypto-ransomware hits macOS – WeLiveSecurity
対処法
ランサムウェア”OSX/Filecoder.E”はSwiftが使用され、macOS専用に設計されているものの、現在のところ良い出来と言えるものではないそうで、
Mach-OファイルはBitTorrent経由で広がっているクラックツールの中にしか確認されておらず、既にESETを含めいくつかのセキュリティアプリが検出可能になっていますが、ESETはランサムウェアが不安なユーザーに対し、重要なファイルは必ずバックアップを取りオフラインで保存しておくことをお勧めしています。
- Office 2016 Patcher.zip(1b7380d283ceebcabb683464ba0bb6dd73d6e886) – VirusTotal
- Adobe Premiere Pro CC 2017 Patcher.zip(a91a529f89b1ab8792c345f823e101b55d656a08)– VirusTotal
- Office 2016 Patcher(e55fe159e6e3a8459e9363401fcc864335fee321)– VirusTotal
- Adobe Premiere Pro CC 2017 Patcher(3820b23c1057f8c3522c47737f25183a3c15e4db) – VirusTotal
Conclusion
This new crypto-ransomware, designed specifically for macOS, is surely not a masterpiece. Unfortunately, it’s still effective enough to prevent the victims accessing their own files and could cause serious damage.
New crypto-ransomware hits macOS – WeLiveSecurity
- New crypto-ransomware hits macOS – WeLiveSecurity
コメント
てっとり早く作りたいからSwiftを選んだようにしか思えないし、言う通りにしてもデータが復旧できる訳でもない。
何をどう作っても引っかかる奴は引っかかる。