回归最本质的信息安全

新型MacOS勒索软件:正在伪装成PS软件传播

2017年2月24日发布

7,536
2
0

导语:几天前, ESET公司的安全专家发现了一种新型的MacOS勒索软件,属于非常珍贵的物种。这一勒索软件被命名为OSX/Filecoder.E,主要是通过bittorrent网站攻击MacOS用户。

1487900516722718.png

几天前, ESET公司的安全专家发现了一种新型的MacOS勒索软件,属于非常珍贵的物种。这一勒索软件被命名为OSX/Filecoder.E,主要是通过bittorrent网站攻击MacOS用户。

ESET分析到:

上周,我们发现了一种新型的勒索软件活动,并且是专门针对Mac的勒索软件活动。这一新型的勒索软件使用Swift语言编写的,通过bittorrent网站进行自我传播。从表面上看,它似乎就是一个盗版软件。

OSX/Filecoder.E伪装成办公工具进行传播

更糟糕的信息就是,即使受害者支付了赎金,文件也不会被解密。MacOS勒索软件并不常见,它会将自己伪装成Mac版Adobe Premiere Pro CC 和Microsoft Office的破解工具。一旦用户在自己的Mac上安装了该工具,则意味着它的文件即将被锁定。

1487900552632033.png

OSX/Filecoder.E很难在最新版的OS X和MacOS 上安装,因为该勒索软件的安装包并没有获得苹果开发者授权的证书。

$ codesign -dv "Office 2016 Patcher.app"
Executable=Office 2016 Patcher.app/Contents/MacOS/Office 2016 Patcher
Identifier=NULL.prova
Format=app bundle with Mach-O thin (x86_64)
CodeDirectory v=20100 size=507 flags=0x2(adhoc) hashes=11+3 location=embedded
Signature=adhoc
Info.plist entries=22
TeamIdentifier=not set
Sealed Resources version=2 rules=12 files=14
Internal requirements count=0 size=12

OSX/Filecoder.E的勒索技术比较简单,只能产生一个加密密钥,也就是说所有加密文件都是共用一个加密密钥。并且,该勒索软件的加密密钥是不会发送至C&C服务器,所以用户的文件是不可能被解密的。但它的加密方式很高效,也很难被破解。

样本

9.png

通过对这一勒索软件的渗入分析得出一个结论是,它是一个专门针对MacOS的勒索软件,但无可厚非的是,勒索软件作者的技术并不是很高超,可能是一个菜鸟。但即使它的技术很low,仍然还是可以让受害者无法访问其文件,从而造成比较严重的后果。

截至发布本文的时间,接收赎金的比特币钱包还没有收到金钱汇入。

本文参考来源于securityaffairs,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/3488.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

張奕源Nick

張奕源Nick

嘶吼编辑

发私信

发表评论

    蔡宁宁
    蔡宁宁 2017-02-24 15:58

    作者是怎么知道比特币钱包没钱的?