В начале марта многочисленные средства массовой информации, сетевые издания и блоги сообщили о распространении первого в истории троянца-шифровальщика, атакующего компьютеры Apple под управлением операционной системы OS X.
Специалисты компании «Доктор Веб» тщательно исследовали эту вредоносную программу, получившую наименование Mac.Trojan.KeRanger.2, и разработали технологию расшифровки поврежденных троянцем файлов.
Троянец-шифровальщик Mac.Trojan.KeRanger.2 впервые был обнаружен в инфицированном обновлении популярного торрент-клиента для OS X, распространявшегося в виде дистрибутива в формате DMG. Программа была подписана действующим сертификатом разработчика приложений для OS X, благодаря чему могла обойти встроенную систему защиты ОС от Apple.
После установки на атакуемый компьютер Mac.Trojan.KeRanger.2 выжидает три дня, в течение которых пребывает в «спящем» режиме. После этого энкодер устанавливает соединение со своим управляющим сервером с использованием сети TOR. Затем начинает процесс шифрования пользовательских файлов: в папке пользователя Mac.Trojan.KeRanger.2 шифрует абсолютно все файлы, к которым у него имеются права доступа, при этом троянец может работать как с привилегиями обычного пользователя, так и от имени учетной записи root. После этого вредоносная программа пытается зашифровать содержимое логического раздела /Volumes, то есть файлы, хранящиеся на жестком диске и в смонтированных логических разделах. В этом случае файлы шифруются по имеющемуся списку — всего злоумышленники предусмотрели в этом перечне 313 различных типов файлов, включая текстовые документы и графические изображения. Ключ для шифрования и файл с требованиями злоумышленников троянец получает с управляющего сервера. Характерным признаком работы этого энкодера является добавление к зашифрованным файлам расширения ".encrypted" и появление в папках файла с именем "README_FOR_DECRYPT.txt".
Специалисты компании «Доктор Веб» разработали технологию, позволяющую расшифровывать файлы, поврежденные в результате вредоносной деятельности этого энкодера.
Для того чтобы воспользоваться услугой расшифровки файлов, которые стали недоступны в результате проникновения Mac.Trojan.KeRanger.2, выполните следующие действия:
обратитесь с соответствующим заявлением в полицию;
ни в коем случае не пытайтесь каким-либо образом изменить содержимое папок с зашифрованными файлами;
не удаляйте никакие файлы на компьютере;
не пытайтесь восстановить зашифрованные файлы самостоятельно;
обратитесь в службу технической поддержки компании «Доктор Веб» (эта услуга бесплатна для пользователей коммерческих лицензий Dr.Web);
к тикету приложите любой зашифрованный троянцем файл;
дождитесь ответа специалиста службы технической поддержки; в связи с большим количеством запросов это может занять некоторое время.
Напоминаем, что услуги по расшифровке файлов оказываются бесплатно только обладателям коммерческих лицензий на антивирусные продукты Dr.Web. С полными требованиями для отправки запроса на расшифровку можно ознакомиться по ссылке. Компания «Доктор Веб» не дает полной гарантии расшифровки всех поврежденных в результате действия энкодера файлов, однако наши специалисты приложат все усилия, чтобы спасти зашифрованную информацию.
