SHA1:
- fd1f246ee9effafba0811fd692e2e76947e82687 (upx)
- 689cf98c54357d90527a38d922412c04a7107a89 (unpacked)
Троянец-шифровальщик для OS X, впервые был обнаружен в инфицированном обновлении популярного торрент-клиента для OS X, распространявшегося в виде дистрибутива в формате DMG. Программа была подписана действующим сертификатом разработчика приложений для OS X, благодаря чему могла обойти встроенную систему защиты ОС от Apple. Может работать как с привилегиями Root, так и с правами обычного пользователя. После запуска удаляет собственный исходный файл. Создает три файла:
- ~/Library/.kernel_pid – в нем хранится PID процесса троянца;
- ~/Library/.kernel_time - в нем хранится информация о времени первого запуска троянца (шифрование начинается через три дня после этого);
- ~/Library/.kernel_complete – содержит строку "do not touch this\n", создается после успешного шифрования файлов.
По истечении трех дней с момента первого запуска энкодер устанавливает соединение одним из трех управляющих серверов с использованием сети TOR. На управляющий сервер передается запрос вида:
Lcl******ohlkcml.onion/osx/ping?user_id=general&uuid=hwid&model=hw_modelГде:
- hw_model – данные о модели зараженного устройства;
- hwid – это значение получается путем создания SHA256-хэша от значений IOPlatformUUID и IOPlatformSerialNumber.
В ответ сервер передает троянцу две строки, зашифрованные base64, которые содержат публичный RSA-ключ и файл с требованиями злоумышленников.
Шифрование осуществляется алгоритмом AES-CBC-256.
В первую очередь энкодер шифрует все содержимое папки "/Users", кроме собственных файлов: ".encrypted", "README_FOR_DECRYPT.txt", ".kernel_pid", ".kernel_time", ".kernel_complete".
В папке "/Volumes" файлы шифруются по имеющемуся в теле троянца списку — всего злоумышленники предусмотрели в этом списке 313 различных типов файлов.
После шифрования файла энкодер устанавливает для него дату создания и модификации такие же, какие у него были до шифрования, кроме того, восстанавливает прежние права доступа.
Характерным признаком работы этого энкодера является добавление к зашифрованным файлам расширения ".encrypted" и появление в папках файла с именем "README_FOR_DECRYPT.txt".
В настоящее время специалисты компании «Доктор Веб» разработали технологию, позволяющую расшифровать данные, зашифрованные этой вредоносной программой.
