Новая вредоносная программа для macOS, написанная на Swift, обнаружена исследователями ESET.
Распространение шифровальщика Patcher осуществляется, прежде всего, посредством торрент-трекеров. Вредоносная программа обычно замаскирована под кряк для Adobe Premiere Pro или Microsoft Office for Mac. При загрузке данного объекта с помощью торрента жертва обнаруживает zip-архив, в котором содержится двоичный файл с именем, которое заканчивается словом Patcher.
При запуске кряка появляется пустое окно, которое содержит лишь кнопку Start. В этот момент жертва еще может закрыть окно, поскольку запуск шифрования осуществляется только после нажатия кнопки Start.
По словам специалистов ESET, Patcher задействует arc4random_uniform и создает случайное значение из 25 символов, применяемое как ключ шифрования для всех пользовательских файлов. При этом вымогательская программа не отправляет данный ключ на командный сервер. В коде шифровальщика нет ничего, что могло бы быть применено для связи с управляющим сервером. Таким образом операторы вредоносной программы не могут восстановить зашифрованную информацию. Более того, ключ является достаточно длинным, вследствие чего его практически невозможно взломать, используя метод полного перебора.
Во всех затронутых директориях Patcher оставляет текстовый документ README!.txt, в котором содержится сообщение с требованием выкупа. Упомянутый в файле биткоин-кошелек является единым для всех пользователей. По словам экспертов, пока что никто не перечислил денег злоумышленникам.
Кроме того, операторы вредоносной программы указывают для связи электронный почтовый адрес в сервисе Mailinator. Поскольку на Mailinator не нужна авторизация и регистрация, любой человек может просмотреть содержимое ящика. Эксперты ESET отслеживали активность ящика в течение всей последней недели, однако так и не зафиксировали ни одного письма.