FileCoder macOS Ransomware

Cyberkriminelle entwickeln ständig neue Methoden, um ahnungslose Nutzer auszunutzen, und Ransomware bleibt eine der schädlichsten Bedrohungen. Unter macOS-Nutzern ist die FileCoder-Ransomware, auch bekannt als Patcher oder Findzip, ein berüchtigtes Beispiel. Nach der Aktivierung verschlüsselt sie Ihre persönlichen Dateien und verlangt eine Zahlung für deren Freigabe. Leider führt die schlechte Codierung von FileCoder dazu, dass Ihre Daten selbst gegen Bezahlung nicht wiederhergestellt werden können. Daher sind wirksame Präventionsstrategien unerlässlich.

Was ist FileCoder Ransomware?

FileCoder ist eine dateiverschlüsselnde Ransomware, die es auf macOS-Systeme abgesehen hat. Sie tarnt sich oft als Patch-Tool für gängige Software wie Adobe Premiere Pro CC und Microsoft Office 2016. Forscher beobachteten zunächst, dass sich die Malware über BitTorrent-Plattformen verbreitete, was vor allem Nutzer auf der Suche nach Raubkopien zu ihren Opfern machte.

Die Malware betrifft hauptsächlich Systeme mit OS X 10.11.x (El Capitan) und macOS 10.12.x, kann aber auch ältere und neuere Versionen betreffen. Die ausführbare Datei ist nicht von Apple signiert, was vorsichtigen Nutzern ein Warnsignal sein sollte.

Wie infiziert FileCoder Geräte?

Der Infektionsprozess beginnt, wenn Nutzer einen vermeintlichen Patcher oder Cracker für Premium-Software von Torrent-Seiten herunterladen. Nach dem Start zeigt der gefälschte Patcher ein Fortschrittsfenster mit drei Schritten an, was jedoch nur zur Ablenkung dient. Der Verschlüsselungsprozess beginnt unmittelbar nach dem Klick auf „START“. Bis Schritt 2/3 angezeigt wird, ist der Schaden bereits angerichtet.

FileCoder verschlüsselt den gesamten Ordner „Benutzer“ und lässt System- und Anwendungsdateien unberührt. Auch externe Laufwerke und Netzwerklaufwerke, die zum Zeitpunkt der Ausführung angeschlossen sind, werden angegriffen. Die Malware generiert lokal einen 25-stelligen zufälligen Verschlüsselungsschlüssel und löscht Originaldateien mit dem Befehl „rm“. Sie versucht sogar, freien Speicherplatz mit diskutil zu löschen, scheitert jedoch aufgrund eines falschen Dateipfads, wodurch die Chance auf eine teilweise Datenwiederherstellung gering ist.

Was passiert nach der Verschlüsselung?

Sobald die Verschlüsselung abgeschlossen ist, füllt sich der Desktop des Benutzers mit Lösegeldforderungen wie README.txt und DECRYPT!.txt. Die Opfer werden aufgefordert, 280 US-Dollar in Bitcoin zu zahlen, um ihre Dateien innerhalb von 24 Stunden freizuschalten, oder 500 US-Dollar für eine schnellere Entschlüsselung. Diese Forderung ist jedoch irreführend, da FileCoder weder mit einem Command-and-Control-Server kommunizieren noch einen Entschlüsselungsschlüssel senden kann. Anders ausgedrückt: Durch die Zahlung des Lösegelds wird der Zugriff auf Ihre Dateien nicht wiederhergestellt.

Darüber hinaus ändert die Ransomware aus unbekannten Gründen das Änderungsdatum verschlüsselter Dateien auf den 13. Februar 2010. Bei einem Systemneustart wird ein Bildschirm zur Anmeldung bei iCloud angezeigt, da Benutzereinstellungen und -einstellungen zusammen mit den Daten verschlüsselt werden.

Schwächen und Wiederherstellungsoptionen

Trotz seines zerstörerischen Potenzials weist FileCoder mehrere Mängel auf:

• Die Verschlüsselung erfolgt langsam. Bei einer 250 MB großen Videodatei dauert es etwa 30 Sekunden. Schnelles Handeln kann die Verschlüsselung stoppen.
• Durch Beenden der Anwendung während des Prozesses wird die weitere Dateiverschlüsselung gestoppt.
• Ein falscher Diskutil-Pfad verhindert ein vollständiges sicheres Löschen und bietet ein Zeitfenster für eine teilweise Wiederherstellung mit Tools wie Data Rescue.

Forscher haben außerdem eine Methode zum Entschlüsseln von mit FileCoder verschlüsselten Dateien entwickelt. Dieser Prozess ist zwar mühsam und erfordert technisches Wissen, bietet Opfern aber eine letzte Möglichkeit.

Für den Versuch einer Dateiwiederherstellung benötigen die Opfer mehrere Ressourcen: einen zweiten funktionierenden Computer, eine unverschlüsselte Kopie von mindestens einer der verschlüsselten Dateien, einen zuverlässigen Texteditor, die Xcode-Befehlszeilentools und pkcrack, ein Dienstprogramm, das einen Known-Plaintext-Angriff auf die ZIP-Dateiverschlüsselung durchführt.

Es ist jedoch nicht immer zwingend erforderlich, eine unverschlüsselte Originalversion einer Datei zu besitzen. Ist keine solche Datei verfügbar, könnten Nutzer die Ransomware gegen sich selbst einsetzen. Wurde die FileCoder-App aus dem Benutzerordner, beispielsweise dem Download-Verzeichnis, ausgeführt, verschlüsselte die Malware wahrscheinlich ihre eigene ausführbare Datei. Opfer können eine neue Kopie der infizierten Anwendung herunterladen, um den Entschlüsselungsprozess zu unterstützen.

Forscher weisen darauf hin, dass diese Methode langsam und arbeitsintensiv ist, da eine Massenentschlüsselung nicht möglich ist. Dennoch ist dieser Ansatz für diejenigen, die entschlossen sind, den Zugriff auf ihre Daten wiederherzustellen, ein praktikabler letzter Ausweg.

Bewährte Sicherheitspraktiken zur Verhinderung von Infektionen

Ransomware-Infektionen wie FileCoder zu verhindern ist viel einfacher, als sie wiederherzustellen. Befolgen Sie diese Sicherheitsmaßnahmen, um Ihr System zu schützen:

1. Sichere Computergewohnheiten

• Vermeiden Sie das Herunterladen von Software oder Patches von Torrent-Sites oder anderen nicht überprüften Quellen.
• Überprüfen Sie immer die Anwendungssignaturen und installieren Sie nur Apps von vertrauenswürdigen Entwicklern oder aus dem offiziellen Mac App Store.
• Bleiben Sie über die neuesten Bedrohungen und Sicherheitshinweise auf dem Laufenden.

2. Starker Systemschutz

• Aktivieren Sie eine seriöse Anti-Malware-Lösung und halten Sie sie auf dem neuesten Stand.

Durch die Kombination dieser Vorgehensweisen verringern Sie Ihr Risiko durch Ransomware-Bedrohungen erheblich und stellen sicher, dass Ihre Daten auch im schlimmsten Fall sicher und wiederherstellbar bleiben.