Всички сме се изкушавали понякога да инсталираме пиратско копие на софтуер, за да не плащаме за него. Но трябва да помислите два пъти и да избегнете изкушението, когато се появи. Първо от осъзнаване всеки. Зад всяко приложение има стотици или хиляди часове разработка и програмиране и е много несправедливо да не се плаща за това. Или директно, или чрез реклама, вмъкната в приложението.
И втората за сигурност. Това е най-простият и стар метод за прикриване и разпространение на вирус. Вграден в инсталатора на приложението, вие не го знаете, давате всички необходими разрешения, мислейки, че софтуерът, който инсталирате, ги иска и оттам тръгвате. Нов рансъмуер се изпълнява от инсталаторите на пиратски софтуер. Към папагала.
Потребителите на Mac вече са изложени на нов рансъмуер, наречен „evilquest»Който кодира някои потребителски файлове и причинява множество проблеми на операционната система. Malwarebytes е намерил такъв рансъмуер, който се разпространява чрез пиратски приложения за macOS.
Злонамерен код беше открит за първи път в пиратско копие на приложението Little Snitch, достъпно на руски форум с торент връзки. Изтегленото приложение се доставя с PKG инсталационен файл, за разлика от оригиналната му версия.
Когато разглеждате този PKG файл, Malwarebytes откри, че приложението се доставя със "скрипт за инсталиране", който обикновено се използва за почистване на инсталацията след завършване на процеса В този случай обаче скриптът реализира зловреден софтуер на macOS.
Файлът на скрипта се копира в папка, свързана с приложението Little Snitch с име Репортер на катастрофи, така че потребителят няма да забележи, че се изпълнява в Activity Monitor, тъй като macOS има вътрешно приложение с подобно име. Зададеното местоположение е: / Library / LittleSnitchd / CrashReporter.
Malwarebytes отбелязва, че ще мине известно време преди ransomware той започва да действа, след като е инсталиран, така че потребителят няма да го свързва с последното инсталирано приложение. След като зловредният код бъде активиран, той модифицира системата и потребителските файлове с неизвестно криптиране.
Ransomware ви иска 50 долара за отключване на вашия Mac
"EvilQuest" ви иска $ 50 за дешифриране на вашите файлове.
Част от криптирането води до неизправност на Finder и системата постоянно виси. Дори системният ключодържател се поврежда, което прави невъзможния достъп до паролите и сертификатите, запазени на Mac. Съобщение на екрана казва, че потребителят трябва плати 50 долара за да си върнете файловете, в противен случай всичко ще бъде изтрито след три дни. Истината е, че плаши.
Все още няма начин да се отървете от зловреден софтуер, след като сте шифровали файлове без формат целия диск, така че потребителите трябва да поддържат актуално архивиране на всичко.
Най-добрият начин да се избегнат последиците от рансъмуера е да се поддържа добър набор от резервни копия. Съхранявайте поне две резервни копия на всички важни данни и поне едно не трябва да бъде постоянно свързано с вашия Mac. (Ransomware може да се опита да криптира или повреди резервни копия на свързани устройства.)
Въпреки че засега рансъмуерът е в комплект с хакнати приложения, Apple трябва да поправи това нарушение на сигурността възможно най-скоро, тъй като този злонамерен код може да бъде включен в повече „законни“ приложения, разпространявани извън App Store.
