Компания «Доктор Веб» тщательно проанализировала опасную программу-шифровальщика KeRanger для платформы OS X и разработала технологию восстановления повреждённых файлов.
На днях, напомним, по Интернету прошла волна сообщений о том, что пользователям компьютеров Apple угрожает первый полнофункциональный червь-вымогатель. Зловред впервые был обнаружен в инфицированном обновлении популярного торрент-клиента для OS X. Причём программа была подписана действующим сертификатом разработчика приложений для OS X, благодаря чему могла обойти встроенную систему защиты ОС от Apple.
После проникновения на ПК жертвы KeRanger выжидает три дня, а затем устанавливает соединение со своим управляющим сервером с использованием сети TOR. После этого зловред начинает процесс шифрования файлов: в папке пользователя KeRanger шифрует абсолютно все файлы, к которым у него имеются права доступа. После этого вредоносная программа пытается зашифровать содержимое логического раздела /Volumes, то есть файлы, хранящиеся на жёстком диске и в смонтированных логических разделах.
Ключ для шифрования и файл с требованиями злоумышленников зловред получает с управляющего сервера. Характерным признаком работы программы является добавление к зашифрованным файлам расширения “.encrypted” и появление в папках файла с именем “README_FOR_DECRYPT.txt”.
Для того чтобы воспользоваться услугой «Доктора Веба» по расшифровке файлов, которые стали недоступны в результате проникновения KeRanger, необходимо отправить запрос в службу технической поддержки компании. Инструкции по его составлению доступны на этой странице.
Источник:
