I ransomware sono il pericolo al momento peggiore per la sicurezza dei nostri dati: se infettano un computer cifrano tutti i suoi file e per recuperarli si deve pagare un “riscatto”, a fronte del quale i criminali rilasciano (a volte, non sempre) la chiave per decifrare le informazioni. Ora è stato trovato in circolazione un nuovo ransomware, battezzato Patcher, che è stato scritto in Swift e colpisce solo i Mac.
Patcher si presenta come un “craccatore” di applicazioni a pagamento ed è in circolazione su alcuni siti BitTorrent. Ne esistono sicuramente le versioni che promettono di sproteggere Adobe Premiere Pro e Microsoft Office, potrebbero anche essercene delle altre. È distribuito sotto forma di file zip.
Una volta scaricato il file zip di Patcher e lanciata l’applicazione che contiene, questa si comporta da ransomware a tutti gli effetti. Anzi, anche peggio. Genera una chiave di cifratura casuale a 25 bit con un algoritmo che viene considerato molto sicuro e la usa per comprimere in un file zip cifrato i file contenuti nelle directory del Mac colpito. Poi cancella i file originali. In questo modo i file del Mac sono cifrati in un file zip per cartella, che è impossibile scompattare senza la chiave.
Dopo aver zippato e cifrato tutte le directory del Mac, il ransomware procede a fare la stessa cosa per quelle dei dischi esterni collegati. Alla fine del processo, il malcapitato utente del Mac colpito non ha più nessun file utilizzabile. Un file di testo salvato sul disco del Mac indica come pagare il riscatto di 0,25 bitcoin (circa 270 euro al momento in cui scriviamo).
Ma oltre al danno, c’è la beffa: analizzando il codice del ransomware Patch i ricercatori di Eset hanno compreso che la chiave generata casualmente per lo specifico Mac non viene inviata a qualche server remoto, quindi nemmeno l’autore di Patch potrebbe decriptare i file zip cifrati del Mac colpito. Insomma, anche pagando non cambierà nulla e i file resteranno cifrati. Per evitare Patch la raccomandazione è banale: primo non scaricare strani Torrent poco identificati, secondo avere un anti-malware aggiornato sul Mac.
