Apple beschermt Mac-computers tegen ransomware
Apple heeft de in macOS ingebouwde virusverwijdertool XProtect van een update voorzien om gebruikers tegen de ransomware te verspreiden die zich als illegale software voordat en via torrentsites wordt verspreid. Eenmaal actief versleutelt de Findzip-ransomware, zoals de malware door Apple wordt genoemd, bestanden voor losgeld. De versleutelde bestanden zijn echter niet te ontsleutelen, ook als het slachtoffer betaalt.
Anti-malwarebedrijf Malwarebytes laat weten dat de apps waar de ransomware in zit verborgen gesigneerd zijn, maar niet door een certificaat dat door Apple is uitgegeven. "Wat vrij bijzonder is", aldus onderzoeker Thomas Reed. De apps zullen standaard dan ook niet geopend worden. Althans, als het programma dat de app gedownload heeft goed omgaat met de quarantaine-optie. Iets wat bijvoorbeeld de grote browsers doen, maar wat niet het geval is bij torrentclients. In dit geval zal de app alsnog kunnen worden geopend.
"Al met al is dit voor de meeste mensen geen grote dreiging. Alleen mensen die zich met illegale software bezighouden komen het tegen en dan zijn er nog steeds voldoende aanwijzingen dat er iets mis is voordat ze de ransomware starten", merkt Reed op. Hij waarschuwt wel dat als de ransomware toch wordt uitgevoerd en gebruikers geen back-ups hebben ze hun bestanden kwijt zijn. Voor zover bekend versleutelt de ransomware geen Time Machine-back-ups.
Reverse engineering:
I let it loose on a dummy backup, made from my test system, and let it run for 45 minutes. Although it definitely was accessing the external drive, the backups were never damaged in any way. I was still able to restore files from the backup at the end of the test. Of course, a different kind of backup that is connected at the time the malware runs could be affected.
Tegenstrijdige info dus of deze ransomware ook je backup's / mounted drives kan verklooien.
Lees het nog eens na, zou ik zeggen.
Apple heeft wel degelijk vandaag een update voor XProtect uitgegeven (FindZip ransomware).
Een deel van de bijgewerkte lijst in XProtect staat hieronder:
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://
www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<array>
<dict>
<key>Description</key>
string>
<string>OSX.Findzip.A</string>
<key>LaunchServices</key>
<dict>
<key>LSItemContentType</key>
<string>com.apple.application-bundle</
6619 Feb 17 18:35 /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta.plist
En bevat géén OSX.Findzip.A
Ook niet na updaten via de app store.
6619 Feb 17 18:35 /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta.plist
En bevat géén OSX.Findzip.A
Ook niet na updaten via de app store.
Je hebt het verkeerde bestand te pakken
Op de locatie
Dat bestand heet : XProtect.plist
En daarin staat ze netjes vermeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
