Patcher: nieuwe Mac-ransomware is niet slim, wel gevaarlijk

Door: Raymon Mens - 3 reacties

Een van de snelste manieren om malware en ransomware op je Mac te krijgen, is het bezoeken van de donkere hoekjes van het internet. Op sites die illegale software aanbieden, is de nieuwe Mac-malware “Patcher” gevonden.

De ransomware lijkt een crack voor software van Adobe of Microsoft, maar versleutelt in werkelijkheid alle bestanden op je Mac. De maker heeft echter één ding over het hoofd gezien.

Ontgrendelen onmogelijk

Patcher biedt twee mogelijkheden om bestanden te herstellen: 0,25 Bitcoin betalen voor ontgrendeling binnen 7 dagen, of 0,45 Bitcoin voor herstel binnen 10 minuten. De software is echter zeer slecht gemaakt en versleutelt bestanden met een willekeurige sleutel van 25 tekens, die daarna niet wordt opgeslagen of verstuurd naar een centrale server. Hierdoor is herstel van bestanden onmogelijk.

patcher-001
Patcher doet zich voor als crack voor dure software.

Daarnaast hebben de instructies en links in het README-bestand dezelfde identieke Bitcoin-adressen en e-mailadressen, ongeacht de gebruiker. De maker lijkt vooral snel te willen cashen en is niet geïnteresseerd in het ontgrendelen van bestanden. Een twijfelachtige primeur: de malware is gemaakt in Apple’s nieuwe programmeertaal Swift en roept op de achtergrond het zip-commando aan om bestanden in een versleuteld archief in te pakken en de originelen te verwijderen.

Moraal van het verhaal: geen twijfelachtige software downloaden. Deze malware is beslis geen meesterwerkje, maar het onvermogen om de decryptiesleutels te verkrijgen maakt het wel gevaarlijk. Een back-upstrategie om dit soort tegenslagen op te vangen is belangrijk, bijvoorbeeld met Time Machine. (Zie → 5 redenen om Time Machine te gebruiken voor het maken van back-ups)

Reacties

3 reacties
  • Profielfoto
    Vilscon

    Ik vraag mij af of je een versleutelde Mac kan back-uppen // de ransomware je backup machine kan infecteren.. Anders heb je natuurlijk nog steeds niks aan je backup van een maand geleden..

  • Profielfoto
    Facundo

    Als het, na infectie, nog mogelijk is om te back-uppen zal je backup ook geinfecteerd zijn. Of als je automatische back-ups maakt en je laatste back-up is na infectie gemaakt. Daarom is het verstandig meerdere back-ups te maken; 1 met korte interval en 1 met lange interval.

  • Profielfoto
    Ome Kor

    Zo te zien is het XProtect bestand weer aangepast door Apple.

    Ik vraag me toch af of een Time Machine backup op een permanent aangesloten USB-schijf veilig is voor dit soort ransomware.