Dat is natuurlijk niet de essentie van het stuk. Zoals de onderzoeker zelf al aangeeft betreft het hier een eenvoudige vorm die in twee dagen is gemaakt. Stop er wat meer tijd in, en je krijgt een wat geavanceerdere versie die meer kan.

Blijkbaar is het dus niet zo ingewikkeld om ransomware voor een Mac te schrijven, maar is het (nog) niet rendabel genoeg (voor Cybercriminelen) om hier moeite in te stoppen (kosten/baten)

Overigens is het maken en kunnen terugzetten van een backup een goede oplossing voor het herstellen van een, door ransomware getroffen, computer.

Je onderbouweing geld voor elke OS en voor elke omgeving. je hebt daar gelijk in .... maar...

Je zou de eerste niet zijn die pas merkt dat de backup niet goed is op het moment dat hij hem nodig heeft.
Voor de ICT checklist stond vroeger in het afvinklijstje, heft u een backup j/n. Het is tegenwoordig vervangen door: "kunt u (jaarlijks/kwartaal) aantonen dat u de DR/backup volledig kunt uitvoeren?". Kijk dan naar een aantal praktijkervaringen en dan is het na de 3-e of meer herstelactie tijdens zo'n oefening dat het lukt. Feitelijk zijn het mislukkingen. Het moet in 1 keer goed als de nood echt aan de man is.

Gefeliciteerd, je hebt ontdekt dat een externe backup maken best handig kan zijn, chapeau! [/End Sarcasm]

Grappig nieuwtje, maar niet echt baan brekend.

Een beetje slimme ransomware probeert dan ook de TimeMachine backups ook te versleutelen of verklooien. (voordat de actieve files versleuteld worden!)

Mac-user, ik ben ook Mac user, naast Windows maar dat terzijde.
Heb je ooit een Time Machine kopie teruggezet? Zo'n gemiddelde, anno 2015 gebruikelijk, van 750GB? Neem maar een halve dag vakantie.
Ander punt, wat wil je hier nu duidelijk maken maken?
En daarnaast, als het over de hedendaagse ransomware gaat is er geen sprake van een 'infectie' maar slechts van een eenzame pagina (waarvan de scripting niet functioneert in OSX) in je browser die je door een simpele Force Quit sluit en daarna opstart met de option toets ingedrukt om ervoor de zorgen dat dezelfde webpagina niet geladen wordt.
Deze ontwikkelaar beweert een webpagina te hebben ontwikkelt waarvan de scripting wel vat heeft op OSX en als die broncode algemeen bekend wordt zijn de rapen gaar na 15 jaar veilig OSX, héél erg gaar!

Nee hoor

Info is al meerdere keren naar buiten gebracht en ook op dit forum gemeld :

juni 2014

Unfinished ransomware for MacOS X
https://securelist.com/blog/research/66760/unfinished-ransomware-for-macos-x/

September 2014

https://eugene.kaspersky.com/2014/09/29/the-evolution-of-os-x-malware/

De aanpak van deze 'onderzoeker' tekent het probleem waar Mac OS X meer last van begint te krijgen.
Last van het voorwerk dat onderzoekers, die publiciteit willen hebben voor zichzelf, verrichten voor criminelen die vanaf daar geholpen de draad oppikken.
Recent ook daadwerkelijk gebeurd rondom een openbaar aangetoonde kwetsbaarheid en opgepikt door agressieve adware makers.

Je zou zeggen dat de taak van een onderzoeker is om kwetsbaarheden aan te tonen, er is echter vast wel te discussieren over de morele grenzen die worden opgezocht uit eigenbelang voor bijvoorbeeld publiciteit.
Het lijkt er namelijk meer en meer op dat onderzoekers het voortouw nemen in het vinden van mogelijkheden waar criminelen misschien wel helemaal niet aan hadden gedacht of tot waren gekomen om dat ze die intelligente moeite nou eenmaal niet nemen.

Een discussie en overwegingen de je met gemak kan proberen van tafel te vegen met reeds aangegeven argument maar waarvan als je ook maar een beetje werkelijk moreel besef in je donder hebt wel in vanuit een meer oprechte instelling kan aanvoelen dat de overwegingen van het maken van dit soort proof of concepts bepaald niet helemaal zuiver op de graad zijn.

Volgens mij missen er essentiële punten bij de aanval in zijn demo. Het lijkt nu gewoon een programma dat bij het starten de files versleuteld. Dat is geen kunst. Hij laat niet zien hoe hij de firewall misleidt om het programma te kunnen starten, zodat ik de indruk heb dat hij dit programma vooraf rechten gegeven heeft in de firewall om zijn werk te mogen doen.

Verder gebruikt een groot deel van de mac gebruikers Time Machine. Veel doen dat echter via een externe HD. Die drive is constant gemount zodat cryptoware die data ook kan versleutelen.

Zelf backup ik via servers op mijn lan. Deze zijn standaard unmounted en worden slechts 1x per uur gemount door Time Machine. Dit gaat volgens mij via een mountpoint die in root ligt zodat de user de gemounte share niet kan zien. (In elk geval kan ik hem als gebruiker niet zichtbaar krijgen tijdens een backup). Hier zou cryptoware in zijn algemeenheid niet bij mogen kunnen komen zonder root acces.

?
• Bij wie werkt dit POC met welke browser? ?Even zag ik een verhoogd cpu gebruik van de finder maar zonder herleidbaar crypto resultaat.
• Ik kan ook geen bijzonderheden op die site vinden, speciale javascripts die je moet toestaan bijvoorbeeld.
• Hoe lang duurde het locken dan?
• Wat gebeurt er als je tussentijds afbreekt?
• Welke extensie levert een encrypted file dan op?
• Is alles in je home/user directory dan op slot en heb je een andere computer nodig om de unlock code van die website te halen? ??Dat zou niet zo mooi zijn, deze vaste unlock codes kwam ik tegen??
Wie heeft ook de moeite genomen deze site te bezoeken en te bekijken?
Dat is misschien een iets relevantere discussie dan over de tijdlengte van het terugzetten van Timemachine backups die overigens nogal eens vrij permanent aan Mac stations zijn gekoppeld en daarmee ook encrypted zouden kunnen geweest gaan worden zijn.

Deze onerzoekers zouden in ieder geval hun vondsten moeten delen met Apple en ze een redelijke tijd moeten gunnen, om het gat te dichten. Vinden van kwetsbaarheden wordt op die manier een goed ding, maar meteen gaan roepen: "het kan fout, want het is mij ook gelukt, kijk maar", kan kwaadwillenden wakker schudden.

aanvulling, inmiddels de hele youtube video gezien, zag in eerste instantie maar een te kort videootje (t/m openen promo document klapper) wegens het over het hoofd zien en dus niet toestaan van alle googlevideo javascripts met een korte video als gevolg.

Het programma is, lees ik elders, geschreven in c++ (waar ik ook verder geen verstand van heb) maar waar verstopt deze code zich dan en hoe laat het bestanden encrypten?
Ik zie dat voor het decrypten het Terminal programma benodigd is.

Heeft iemand kunnen ontdekken, bij wie de POC wel werkt, of toevallig het programma Terminal.app wordt aangeroepen voor het encrypten van de lokale files?
Ik heb zomaar sterk het vermoeden dat het geval is, ziet iemand deze even in het dock verschijnen?

En waar ergens zit de code dan verstopt?

- In de pagina code?
Ik zie niet echt referers naar andere domeinen behalve die van de website template aanbieder.
- In een van de diverse css-en?
- Of in een van de afbeeldingen?
De png van de lock zou ik als eerste usual suspect pakken maar ik zie in die code niet iets waar ik (als dummy) iets uit kan afleiden.

Waar ik dus erg benieuwd naar ben is waar de code zich heeft verstopt en vooral welk proces extra dan wordt aangeroepen voor het encrypten van de files.
Aangenomen dat de browser.app dat niet alleen kan bewerkstelligen.

Heel knap dat je zoiets kunt maken op je eigen lokale computer.
Nu nog zorgen voor de mogelijkheid om andere externe computers te besmetten met deze malware.
Dat zal een stuk lastiger blijken...

Tja lekker dan

http://news.softpedia.com/news/quick-q-a-with-author-of-mabouia-first-mac-os-x-ransomware-495795.shtml

Werkt die demo nou wel of werkt hij niet?