Пользователи macOS, пострадавшие от шифровальщика FindZip теперь могут вернуть свои файлы, воспользовавшись специальным инструментом для расшифровки.
В прошлом месяце вымогатель был обнаружен экспертами компании ESET, компания присвоила ему имя OSX/Filecoder.E. Вредонос распространяется через пиратские сайты под видом «кряков» для Adobe Premier Pro и Microsoft Office.
Эксперты заявляли, что пользователям Mac были лишены способа восстановить свои файлы из-за того, что вредонос уничтожал ключ шифрования, прежде чем связаться с сервером злоумышленников и отправить его.
Поэтому исследователи рекомендовали пользователям не платить выкуп, поскольку у злоумышленников, как они полагали, не было средств для восстановления зашифрованных файлов.
В конце февраля исследователи Malwarebytes Labs опубликовали о том, как жертвы могут восстановить свои данные, используя Xcode и TextWrangler. Для этого потребуются как зашифрованные, так и незашифрованные версии файлов, второй компьютер или другая учетная запись на взломанной машине и некоторые технические знания.
Благодаря от Avast пользователи могут расшифровать свои файлы на Mac или Windows устройствах. По исследователей, пользователи, которые переносят свои файлы с Mac на Windows, не будут нуждаться в дополнительных ресурсах для установки и использования дешифратора.
Однако на Mac или Linux потребуется программа для запуска приложений Windows, Avast протестировала работу дешифратора с CrossOver и Wine, также эксперты утверждают, что и с другими эмуляторами проблем не будет. Дешифратор тестировался на macOS 10.10 (Yosemite) и macOS 10.12 (Sierra).
Если на компьютере до заражения был установлен Wine, пользователям рекомендуется удалить папку \Users\<YourUserName>\.wine перед запуском приложения-дешифратора. При запуске дешифратора пользователям может быть предложено установить Mono или Gecko, Avast отмечает, что они должны нажать «Отмена». После запуска приложения пользователям будет необходимо выбрать место для расшифрованных файлов.
Европол огласил новые результаты трансграничной операции Endgame. Выявлены и задержаны пятеро предполагаемых пользователей ботнета на основе Smokeloader; деактивация серверов трояна прошла успешно.
На одном из серверов Smokeloader была обнаружена клиентская база (ботнет предоставляется в пользование как услуга, с оплатой за каждую установку с помощью трояна). В пяти случаях исследователям удалось по записи идентифицировать обладателя юзернейма.
Некоторые задержанные проявили готовность сотрудничать со следствием и добровольно сдали улики, облегчив и ускорив изучение изъятых компьютеров.
За ходом Operation Endgame теперь можно следить на специально созданном сайте. Там же можно передать властям релевантную информацию.
Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
