Ransomware FileCoder pour macOS
Les cybercriminels développent constamment de nouvelles méthodes pour exploiter les utilisateurs peu méfiants, et les rançongiciels restent l'une des menaces les plus dangereuses. Parmi les utilisateurs de macOS, le rançongiciel FileCoder, également connu sous le nom de Patcher ou Findzip, en est un exemple notoire. Une fois activé, il chiffre vos fichiers personnels et exige un paiement pour leur libération. Malheureusement, la mauvaise qualité de codage de FileCoder signifie que même un paiement ne restaurera pas vos données, d'où l'importance de stratégies de prévention efficaces.
Table des matières
Qu’est-ce que FileCoder Ransomware ?
FileCoder est un rançongiciel de chiffrement de fichiers ciblant les systèmes macOS. Il se fait souvent passer pour un outil de correction pour des logiciels populaires comme Adobe Premiere Pro CC et Microsoft Office 2016. Les chercheurs ont d'abord observé sa propagation via les plateformes BitTorrent, faisant des utilisateurs à la recherche de logiciels piratés ses principales victimes.
Le malware affecte principalement les systèmes exécutant OS X 10.11.x (El Capitan) et macOS 10.12.x, bien que les versions plus anciennes et plus récentes puissent également être affectées. Son exécutable n'est pas signé par Apple, ce qui devrait alerter les utilisateurs prudents.
Comment FileCoder infecte-t-il les appareils ?
Le processus d'infection démarre lorsque les utilisateurs téléchargent ce qui semble être un « patcher » ou un « cracker » pour des logiciels premium depuis des sites de torrents. Une fois lancé, le faux patcher affiche une fenêtre de progression en trois étapes, mais il ne s'agit que d'une distraction. Le processus de chiffrement commence immédiatement après que l'utilisateur a cliqué sur « DÉMARRER ». Lorsque l'interface affiche l'étape 2/3, le mal est déjà fait.
FileCoder chiffre tout le contenu du dossier Utilisateurs, laissant intacts les fichiers système et applicatifs. Les disques externes et les volumes réseau connectés au moment de l'exécution sont également ciblés. Le malware génère localement une clé de chiffrement aléatoire de 25 caractères et supprime les fichiers d'origine à l'aide de la commande rm. Il tente même d'effacer l'espace libre avec diskutil, mais échoue en raison d'un chemin d'accès incorrect, une erreur qui réduit considérablement les chances de récupération partielle des données.
Que se passe-t-il après le cryptage ?
Une fois le chiffrement terminé, le bureau de l'utilisateur se remplit de demandes de rançon telles que README.txt et DECRYPT!.txt. Les victimes sont invitées à payer 280 $ en Bitcoin pour débloquer leurs fichiers dans les 24 heures, ou 500 $ pour un déchiffrement plus rapide. Cependant, cette demande est trompeuse, car FileCoder n'est pas capable de communiquer avec un serveur de commande ni d'envoyer une clé de déchiffrement. Autrement dit, payer la rançon ne restaurera pas l'accès à vos fichiers.
De plus, le rançongiciel modifie la date de modification des fichiers chiffrés au 13 février 2010 pour des raisons inconnues. Un redémarrage du système affiche l'écran « Connexion à iCloud », car les préférences et paramètres utilisateur sont chiffrés avec les données.
Faiblesses et options de récupération
Malgré son potentiel destructeur, FileCoder contient plusieurs défauts :
- Le chiffrement des fichiers est lent, prenant environ 30 secondes pour un fichier vidéo de 250 Mo. Une action rapide peut interrompre le chiffrement.
- Quitter l'application en cours de processus arrête le cryptage ultérieur des fichiers.
- Un chemin diskutil incorrect empêche l'effacement sécurisé complet, offrant une fenêtre de récupération partielle à l'aide d'outils tels que Data Rescue.
Les chercheurs ont également développé une méthode pour déchiffrer les fichiers chiffrés par FileCoder. Ce processus est fastidieux et requiert des connaissances techniques, mais il constitue une solution de dernier recours pour les victimes.
Pour tenter de récupérer des fichiers, les victimes ont besoin de plusieurs ressources : un deuxième ordinateur fonctionnel, une copie non chiffrée d'au moins un des fichiers chiffrés, un éditeur de texte fiable, les outils de ligne de commande Xcode et pkcrack, un utilitaire qui effectue une attaque en texte clair connu sur le chiffrement des fichiers ZIP.
Cependant, il n'est pas toujours indispensable de disposer d'une version originale non chiffrée d'un fichier. En l'absence de ce fichier, les utilisateurs peuvent utiliser le rançongiciel contre lui-même. Si l'application FileCoder a été exécutée depuis le dossier utilisateur, par exemple le répertoire Téléchargements, le logiciel malveillant a probablement chiffré son propre exécutable. Les victimes peuvent télécharger une nouvelle copie de l'application infectée pour faciliter le déchiffrement.
Les chercheurs mettent en garde contre la lenteur et la complexité de cette méthode, car le déchiffrement en masse est impossible. Néanmoins, pour ceux qui souhaitent récupérer l'accès à leurs données, cette approche constitue un dernier recours viable.
Pratiques de sécurité éprouvées pour prévenir les infections
Prévenir les infections par ransomware comme FileCoder est bien plus facile que d'en guérir. Suivez ces mesures de sécurité pour protéger votre système :
1. Habitudes informatiques sûres
- Évitez de télécharger des logiciels ou des correctifs à partir de sites torrent ou d’autres sources non vérifiées.
- Vérifiez toujours les signatures des applications et installez uniquement des applications provenant de développeurs de confiance ou du Mac App Store officiel.
- Restez informé des dernières menaces et avis de sécurité.
- Protection renforcée du système
- Activez une solution anti-malware réputée et maintenez-la à jour.
- Sauvegardez régulièrement vos fichiers importants avec Time Machine ou un service de sauvegarde cloud. Stockez vos sauvegardes hors ligne ou dans un emplacement sécurisé, non connecté en permanence à votre système.
- Maintenez macOS et tous les logiciels installés à jour avec les derniers correctifs de sécurité.
En combinant ces pratiques, vous réduisez considérablement votre exposition aux menaces de ransomware et vous garantissez que même dans le pire des cas, vos données restent sûres et récupérables.
messages
Les messages suivants associés à Ransomware FileCoder pour macOS ont été trouvés:
|
NOT YOUR LANGUAGE? USE https://translate.google.com What happened to your files ? All of your files were protected by a strong encryption method. What do I do ? So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT FOLLOW THESE STEPS: 1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version) 2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb 3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com 4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes) KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME! |
