Недоделанный вымогатель для MacOS X

Троянец-шифровальщик на Mac OS X – явление до сих пор невиданное, но, как оказалось, вполне реальное. Одного такого зловреда мы нашли на просторах интернета, а точнее на небезызвестном сайте virustotal.com. Но не торопитесь прятать документы от этого вымогателя – мы провели детальный анализ Trojan-Ransom.OSX.FileCoder.a и его результаты нас слегка разочаровали.

Первое, что бросилось в глаза при изучении троянца – весьма характерное для семейства Trojan-Ransom сообщение с требованием денег за восстановление пользовательских файлов.

Именно оно подтолкнуло нас к дальнейшему изучению функциональности Trojan-Ransom.OSX.FileCoder.a – хотелось узнать, как именно троянец будет шифровать файлы и вымогать деньги. Тем более, что написан он с использованием Qt framework, и если у потенциальной жертвы не установлен этот инструментарий, то зловред не отработает. Необычное решение, учитывая, что Qt framework на пользовательских компьютерах встречается сравнительно редко.

Выяснилось, что после запуска Trojan-Ransom.OSX.FileCoder.a находит в домашней директории пользователя файл «.d163c127f802d4c2a2abae36a429277b» и расшифровывает его с использованием алгоритма AES. Секретный ключ шифрования хранится в коде троянца и не изменяется. Расшифрованный файл сохраняется под именем «.decrypted-.d163c127f802d4c2a2abae36a429277b». Далее Trojan-Ransom.OSX.FileCoder.a зашифровывает с тем же ключом файл «.8c8790f8d6377dd45b83b113809584a2» и сохраняет его под именем «.encrypted-.8c8790f8d6377dd45b83b113809584a2». Оба обрабатываемых файла, похоже, были добавлены автором зловреда для проверки его работы — их имена жестко прописаны в коде.

После завершения процесса шифрования троянец сообщает пользователю о том, что его документы якобы повреждены. Но поскольку Trojan-Ransom.OSX.FileCoder.a на данный момент шифрует лишь свои собственные файлы и даже не умеет получать список файлов в домашней директории пользователя, перечень подлежащих восстановлению документов пуст.

После нажатия на кнопку «Restore documents» открывается новое окно, в котором авторы троянца предлагают пользователю восстановить его файлы и сообщают, что они, фактически, единственные, кто может помочь. Жертве нужно лишь выбрать наиболее удобный способ оплаты и отправить запрашиваемую вымогателями сумму.

Тут нам стало окончательно ясно, что изучаемый Trojan-Ransom.OSX.FileCoder.a является относительно безобидной программой, которая могла бы превратиться во вполне дееспособный троянец-шифровальщик, вымогающий деньги у своих жертв, но почему-то не превратилась.

Можно предположить, что троянец должен был зашифровывать все документы, изображения и другие файлы из домашнего каталога пользователя ключом, полученным с C&C сервера (как это делают шифровальщики на Windows). А в качестве идентификатора для соотнесения ключа шифрования с компьютером жертвы планировалось использовать уникальный идентификатор оборудования IOPlatformUUID, который возвращает следующий вызов (также присутствующий в коде):
ioreg -rd1 -c IOPlatformExpertDevice | awk ‘/IOPlatformUUID/ { split($0, line, «»»); printf(«%sn», line[4]); }’

Присутствует в коде и адрес C&C сервера — http://dv1208.local/key.php. Домен .local свидетельствует о том, что в момент создания Trojan-Ransom.OSX.FileCoder.a сервер находился на локальной машине автора.

Судя по virustotal.com, этому экземпляру Trojan-Ransom.OSX.FileCoder.a уже два года, а его доделанная версия так и не была обнаружена – видимо, у автора что-то не сложилось. Надеемся, что уже и не сложится.