Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Ransomware Ransomware FileCoder para macOS

Ransomware FileCoder para macOS

Por Mezo en Ransomware
Traducir a:

Los ciberdelincuentes desarrollan constantemente nuevas formas de explotar a usuarios desprevenidos, y el ransomware sigue siendo una de las amenazas más dañinas. Entre los usuarios de macOS, el ransomware FileCoder, también conocido como Patcher o Findzip, es un ejemplo conocido. Una vez activado, cifra los archivos personales y exige un pago para liberarlos. Desafortunadamente, la deficiente codificación de FileCoder implica que ni siquiera pagando se restaurarán los datos, por lo que es esencial contar con estrategias de prevención sólidas.

¿Qué es el ransomware FileCoder?

FileCoder es un ransomware de cifrado de archivos que ataca sistemas macOS. Suele hacerse pasar por una herramienta de parcheo para programas populares como Adobe Premiere Pro CC y Microsoft Office 2016. Los investigadores observaron inicialmente su propagación a través de plataformas BitTorrent, convirtiendo a los usuarios que buscan software pirateado en sus principales víctimas.

El malware afecta principalmente a sistemas con OS X 10.11.x (El Capitan) y macOS 10.12.x, aunque también puede afectar a versiones anteriores y posteriores. Su ejecutable no está firmado por Apple, lo que debería ser una señal de alerta para los usuarios precavidos.

¿Cómo infecta FileCoder los dispositivos?

El proceso de infección comienza cuando los usuarios descargan lo que parece ser un parcheador o un cracker para software premium desde sitios de torrents. Una vez iniciado, el parcheador falso muestra una ventana de progreso con tres pasos, pero esto es solo una distracción. El proceso de cifrado comienza inmediatamente después de que el usuario haga clic en "INICIAR". Para cuando la interfaz muestra el paso 2 o 3, el daño ya está hecho.

FileCoder cifra todo el contenido de la carpeta Usuarios, dejando intactos los archivos del sistema y de las aplicaciones. También ataca las unidades externas y los volúmenes de red conectados al momento de la ejecución. El malware genera localmente una clave de cifrado aleatoria de 25 caracteres y elimina los archivos originales con el comando rm. Incluso intenta borrar el espacio libre con diskutil, pero falla debido a una ruta de archivo incorrecta, un error que ofrece pocas posibilidades de recuperación parcial de los datos.

¿Qué sucede después del cifrado?

Una vez completado el cifrado, el escritorio del usuario se llena de notas de rescate como README.txt y DECRYPT!.txt. Se les pide a las víctimas que paguen 280 $ en Bitcoin para desbloquear sus archivos en 24 horas o 500 $ para un descifrado más rápido. Sin embargo, esta exigencia es engañosa, ya que FileCoder no tiene la capacidad de comunicarse con un servidor de comando y control ni de enviar una clave de descifrado. En otras palabras, pagar el rescate no restaurará el acceso a sus archivos.

Además, el ransomware cambia la fecha de modificación de los archivos cifrados al 13 de febrero de 2010 por razones desconocidas. Al reiniciar el sistema, se muestra la pantalla "Iniciar sesión en iCloud", ya que las preferencias y la configuración del usuario se cifran junto con los datos.

Debilidades y opciones de recuperación

A pesar de su potencial destructivo, FileCoder contiene varios defectos:

  • Cifra archivos lentamente, tardando unos 30 segundos para un archivo de vídeo de 250 MB. Una acción rápida puede detener el cifrado.
  • Salir de la aplicación a mitad del proceso detiene el cifrado adicional de archivos.
  • La ruta de diskutil incorrecta impide el borrado seguro completo y ofrece una ventana para una recuperación parcial mediante herramientas como Data Rescue.

Los investigadores también han desarrollado un método para descifrar archivos cifrados con FileCoder. Este proceso es tedioso y requiere conocimientos técnicos, pero ofrece un último recurso para las víctimas.

Para intentar recuperar archivos, las víctimas necesitan varios recursos: una segunda computadora que funcione, una copia sin cifrar de al menos uno de los archivos cifrados, un editor de texto confiable, las herramientas de línea de comandos Xcode y pkcrack, una utilidad que realiza un ataque de texto simple conocido sobre el cifrado de archivos ZIP.

Sin embargo, no siempre es obligatorio tener una versión original sin cifrar de un archivo. Si no está disponible, los usuarios podrían usar el ransomware contra sí mismos. En los casos en que la aplicación FileCoder se ejecutó desde la carpeta del usuario, como el directorio de Descargas, es probable que el malware haya cifrado su propio ejecutable. Las víctimas pueden descargar una copia nueva de la aplicación infectada para facilitar el proceso de descifrado.

Los investigadores advierten que este método es lento y laborioso, ya que no es posible el descifrado masivo. No obstante, para quienes estén decididos a recuperar el acceso a sus datos, este enfoque ofrece un último recurso viable.

Prácticas de seguridad comprobadas para prevenir infecciones

Prevenir infecciones de ransomware como FileCoder es mucho más fácil que recuperarse. Siga estas medidas de seguridad para proteger su sistema:

1. Hábitos informáticos seguros

  • Evite descargar software o parches de sitios de torrents u otras fuentes no verificadas.
  • Verifique siempre las firmas de las aplicaciones e instale únicamente aplicaciones de desarrolladores confiables o de la Mac App Store oficial.
  • Manténgase informado sobre las últimas amenazas y avisos de seguridad.
  1. Fuerte protección del sistema
  • Habilite una solución antimalware confiable y manténgala actualizada.
  • Realice copias de seguridad periódicas de sus archivos importantes con Time Machine o un servicio de copias de seguridad en la nube. Guarde las copias de seguridad sin conexión o en una ubicación segura que no esté conectada constantemente a su sistema.
  • Mantenga macOS y todo el software instalado actualizado con los últimos parches de seguridad.

Al combinar estas prácticas, reduce significativamente su exposición a amenazas de ransomware y garantiza que, incluso en los peores escenarios, sus datos permanezcan seguros y recuperables.

Mensajes

Se encontraron los siguientes mensajes asociados con Ransomware FileCoder para macOS:

NOT YOUR LANGUAGE? USE https://translate.google.com

What happened to your files ?
All of your files were protected by a strong encryption method.

What do I do ?

So , there are two ways you can choose: wait for a miracle or start obtaining BITCOIN NOW! , and restore YOUR DATA the easy way
If You have really valuable DATA, you better NOT WASTE YOUR TIME, because there is NO other way to get your files, except make a PAYMENT

FOLLOW THESE STEPS:
1) learn how to buy bitcoin https://en.bitcoin.it/wiki/Buying_Bitcoins_(the_newbie_version)
2)send 0.25 BTC to 1EZrvz1kL7SqfemkH3P1VMtomYZbfhznkb
3)send your btc address and your ip (you can get your ip here https://www.whatismyip.com) via mail to rihofoj@mailinator.com
4)leave your computer on and connected to the internet for the next 24 hours after payment, your files will be unlocked. (If you can not wait 24 hours make a payment of 0.45 BTC your files will be unlocked in max 10 minutes)

KEEP IN MIND THAT YOUR DECRYPTION KEY WILL NOT BE STORED ON MY SERVER FOR MORE THAN 1 WEEK SINCE YOUR FILE GET CRYPTED,THEN THERE WON’T BE ANY METHOD TO RECOVER YOUR FILES, DON’T WASTE YOUR TIME!

Tendencias

Estafa por correo electrónico: La contraseña de la...

Suplantación de identidad (phishing), Correo basura
Los estafadores siguen creando campañas de correo electrónico engañosas para engañar a usuarios desprevenidos y conseguir que proporcionen información confidencial. Una de estas estafas que circula actualmente es la de la "Alerta de Seguridad Urgente", que se presenta bajo la apariencia de un mensaje titulado "La contraseña de la cuenta es antigua". Aunque a primera vista parecen legítimas,...

Mas Visto

Cargando...