RaaS Mac勒索軟件專殺工具,是針對MacRansom勒索病毒制作的一款安全殺毒軟件,為你的蘋果電腦開啟24小時無間斷的保護(hù),避免MacRansom勒索病毒對你造成的任何損失。
MacRansom如何進(jìn)行勒索?
這款勒索軟件的開發(fā)者在暗網(wǎng)上發(fā)布廣告稱這款軟件是最復(fù)雜的針對Mac平臺的勒索軟件。購買者在支付費用后可以要求開發(fā)團(tuán)隊設(shè)置軟件的觸發(fā)時間并可以選擇是否延遲加密即可以不立即加密文件。
MacRansom利用硬編碼密鑰實現(xiàn)對稱加密,而且該勒索軟件最多只能加密128個文件; 在解密密鑰方面,作者要求受害方支付0.25比特幣(約700美元)。
研究人員發(fā)現(xiàn)了兩組由該勒索軟件使用的對稱密鑰:
ReadmeKey: 0x3127DE5F0F9BA796
TargetFileKey: 0x39A622DDB50B49E9
其中的ReadmeKey用于加密包含有勒索詞與指令的._README_file,而TargetFileKey則用于加密及解密受害者的文件。
比較有意思的是,這款勒索軟件除會加密外還會把原始的文件給加密并修改時間用來防止被恢復(fù)工具恢復(fù)出來。
通過對惡意代碼的執(zhí)行進(jìn)行逆向分析,我們發(fā)現(xiàn)該勒索軟件首先會檢查自身是否處于非Mac環(huán)境或者調(diào)試環(huán)境當(dāng)中。
一旦受害者支付贖金,該作者會將30%的金額發(fā)送回客戶的比特幣地址。
而客戶方面則需要傳播該威脅,例如通過電子郵件發(fā)布下載驅(qū)動型攻擊。
開發(fā)者并不鼓勵采取下載驅(qū)動型攻擊或者其它需要上傳MacRansom定制化版本的傳播方法。
Fortinet公司總結(jié)稱:
“我們很少看到新型且專門針對Mac OS平臺的勒索軟件。盡管其實際水平遠(yuǎn)遠(yuǎn)低于目前Windows系統(tǒng)所面臨的大多數(shù)勒索軟件,但仍然有能力加密受害者的文件或者阻止用戶對重要文件的訪問,因此完全可以造成實質(zhì)性損害!
“最后但同樣重要的是,這款MacRansom的變種很可能是由模仿者加工并利用。因為我們從其中發(fā)現(xiàn)了很多提取自過往Mac OSX勒索軟件的類似代碼與設(shè)計思路。盡管其與之前的Mac OSX勒索軟件采用不同的反分析技術(shù),但這些技術(shù)早已被眾多惡意軟件作者廣泛部署在自己的攻擊工具當(dāng)中。MacRansom無疑是勒索軟件威脅大規(guī)模盛行的又一大實例,意味著任何一種操作系統(tǒng)平臺都有可能遭受此類危害!
任何人都可以使用MacRansom進(jìn)行攻擊
該惡意軟件通過TOR網(wǎng)絡(luò)當(dāng)中的一項隱藏服務(wù)以勒索軟件即服務(wù)(簡稱RaaS)的形式實現(xiàn)作用。盡管這一威脅并不像其它類似威脅那樣復(fù)雜,但由于會對受害者的文件進(jìn)行加密,因此同樣可能造成嚴(yán)重的后續(xù)影響。MacRansom作為RaaS,也就是說這款勒索軟件的開發(fā)團(tuán)隊只負(fù)責(zé)在幕后開發(fā)軟件不參與勒索,下游攻擊者可以購買這款勒索軟件進(jìn)行傳播。
Fortinet公司在發(fā)布的分析報告當(dāng)中指出:
“我們剛剛在FortiGuard實驗室當(dāng)中發(fā)現(xiàn)了一種勒索軟件即服務(wù)(簡稱RaaS),其利用托管于TOR網(wǎng)絡(luò)當(dāng)中的一套門戶網(wǎng)站。盡管這種作法目前已經(jīng)成為新的趨勢,但在本案例中,我們意外地發(fā)現(xiàn)網(wǎng)絡(luò)犯罪分子開始以類似的手法針對Windows之外的操作系統(tǒng)發(fā)起攻擊——這確實值得加以關(guān)注。事實上,這很可能是歷史上第一例RaaS形式的Mac OS惡意軟件!
雖然看起來MacRansom并沒有比Windows的勒索軟件厲害多少, 但這款勒索軟件聲稱還能監(jiān)視用戶鍵盤記錄。這意味著這款勒索軟件已經(jīng)不是簡單的勒索功能了, 而是類似完整的木馬病毒可以窺竊用戶電腦里的內(nèi)容了。當(dāng)然最麻煩的還是這種勒索軟件即服務(wù)的策略, 這可以讓完全不懂開發(fā)的下游攻擊者直接購買軟件進(jìn)行散播。
目前尚無法直接通過Tor門戶獲得MacRansom的變種版本,有興趣的惡意人士需要聯(lián)系該勒索軟件的作者以獲取更多其它針對性版本。
這份分析報告進(jìn)一步補(bǔ)充稱:
“MacRansom的變種尚無法通過該門戶獲取。必須聯(lián)系該勒索軟件的開發(fā)者以溝通其它版本獲取事宜。我們起初認(rèn)為這可能是個騙局,因為開發(fā)者并沒有提供任何演示; 但在隨后的驗證當(dāng)中,我們向該開發(fā)者發(fā)出了聯(lián)系郵件并意外收到了回復(fù)!
任何人都可以使用MacRansom進(jìn)行攻擊
該惡意軟件通過TOR網(wǎng)絡(luò)當(dāng)中的一項隱藏服務(wù)以勒索軟件即服務(wù)(簡稱RaaS)的形式實現(xiàn)作用。盡管這一威脅并不像其它類似威脅那樣復(fù)雜,但由于會對受害者的文件進(jìn)行加密,因此同樣可能造成嚴(yán)重的后續(xù)影響。MacRansom作為RaaS,也就是說這款勒索軟件的開發(fā)團(tuán)隊只負(fù)責(zé)在幕后開發(fā)軟件不參與勒索,下游攻擊者可以購買這款勒索軟件進(jìn)行傳播。
Fortinet公司在發(fā)布的分析報告當(dāng)中指出:
“我們剛剛在FortiGuard實驗室當(dāng)中發(fā)現(xiàn)了一種勒索軟件即服務(wù)(簡稱RaaS),其利用托管于TOR網(wǎng)絡(luò)當(dāng)中的一套門戶網(wǎng)站。盡管這種作法目前已經(jīng)成為新的趨勢,但在本案例中,我們意外地發(fā)現(xiàn)網(wǎng)絡(luò)犯罪分子開始以類似的手法針對Windows之外的操作系統(tǒng)發(fā)起攻擊——這確實值得加以關(guān)注。事實上,這很可能是歷史上第一例RaaS形式的Mac OS惡意軟件!
雖然看起來MacRansom并沒有比Windows的勒索軟件厲害多少, 但這款勒索軟件聲稱還能監(jiān)視用戶鍵盤記錄。這意味著這款勒索軟件已經(jīng)不是簡單的勒索功能了, 而是類似完整的木馬病毒可以窺竊用戶電腦里的內(nèi)容了。當(dāng)然最麻煩的還是這種勒索軟件即服務(wù)的策略, 這可以讓完全不懂開發(fā)的下游攻擊者直接購買軟件進(jìn)行散播。
目前尚無法直接通過Tor門戶獲得MacRansom的變種版本,有興趣的惡意人士需要聯(lián)系該勒索軟件的作者以獲取更多其它針對性版本。
這份分析報告進(jìn)一步補(bǔ)充稱:
“MacRansom的變種尚無法通過該門戶獲取。必須聯(lián)系該勒索軟件的開發(fā)者以溝通其它版本獲取事宜。我們起初認(rèn)為這可能是個騙局,因為開發(fā)者并沒有提供任何演示; 但在隨后的驗證當(dāng)中,我們向該開發(fā)者發(fā)出了聯(lián)系郵件并意外收到了回復(fù)!