Koncem února 2017 byl objeven nový typ ransomwaru pro Mac. Tento ransomware s názvem FindZip se do počítačů uživatelů dostává tím, že se vydává za cracknutou verzi komerčních aplikací, jako je Adobe Premiere Pro. Poté co Mac infikuje, pomocí šifrování ZIP zašifruje vaše dokumenty. Chová se stejně jako ransomware pro Windows s názvem Bart, který jsme dešifrovali minulé léto.

Společnost MalwareBytes již publikovala technickou analýzu malwaru FindZip včetně postupu, jak dešifrovat jím napadené soubory. Pokyny od MalwareBytes však mohou být pro některé uživatele poněkud komplikované, a proto jsme vytvořili uživatelsky přívětivější dešifrovací aplikaci.

Tento nástroj pro dešifrování ransomwaru FindZip je společně se všemi našimi nástroji pro dešifrování ransomwaru dostupný na naší stránce s bezplatnými nástroji pro dešifrování ransomwaru.

Spuštění nástroje pro dešifrování ransomwaru ve Windows

Pokud se zašifrované soubory rozhodnete zkopírovat z Macu do Windows, pomocí našeho dešifrovacího nástroje je to snadné a nevyžaduje to instalaci žádného dalšího softwaru.

Spuštění nástroje na dešifrování ransomwaru v Macu

Jelikož jsou nástroje na dešifrování ransomwaru aplikacemi pro Windows, uživatelé Maců (a Linuxu) si pro ně musí nainstalovat emulátor. Dešifrovací nástroj je podle našich testů kompatibilní s emulátory CrossOver a Wine. Může však být kompatibilní i s jinými.

Tento průvodce vám vysvětlí, jak dešifrovací nástroj spustit pomocí programu Wine pro Mac. Dešifrovací nástroj byl testován v systémech MacOS 10.10 (Yosemite) a 10.12 (Sierra).

Instalace nástroje XQuartz

Nejprve je třeba v Macu nainstalovat systém X Window. Navštivte stránku https://www.xquartz.org (nebo si na Googlu vyhledejte „XQuartz for Mac“) a stáhněte si instalační soubor DMG.

Pokud se stažený soubor automaticky neotevře, otevřete jej ze složky se staženými soubory.

Po dvojím kliknutí na ikonu „Quartz.pkg“ by se měl spustit instalační program.

Klikejte dále na tlačítka „Continue“ (Pokračovat) a „Install“ (Nainstalovat). Při instalaci nástroje se může zobrazit výzva k vyjádření souhlasu s licencí a k zadání vašeho hesla. Instalace může zabrat několik minut. Během instalace můžete být vyzváni k odhlášení a opětovnému přihlášení:

Poznámka: Pokud jste instalaci nástroje XQuartz přeskočili a rovnou jste přešli k instalaci programu Wine, nejspíš se vám zobrazí výzva, abyste nejdřív nainstalovali nástroj XQuartz.

Instalace programu Wine

Navštivte stránku https://wiki.winehq.org/MacOS (nebo na Googlu vyhledejte „Wine for Mac“), klikněte na odkaz na stahovací stránku a stáhněte balíčky PKG. Stáhněte „Installer for Wine Staging“:

Po stažení ji najdete ve složce se staženými soubory:

Dvojitým kliknutím na ikonu spusťte instalační program:

Klikněte na možnost „Continue“ (Pokračovat) a vyberte možnost „Install for all users on this computer“ (Nainstalovat pro všechny uživatele tohoto počítače). Dále klikejte na tlačítka „Continue“ (Pokračovat) a „Install“ (Nainstalovat). Jelikož instalujete novou aplikaci, můžete být vyzváni k zadání hesla. Po dokončení instalace klikněte na tlačítko „Close“ (Zavřít).

Nyní si můžete stáhnout dešifrovací nástroj Avast a bez problémů jej spustit.

Důležité upozornění: Pokud jste si Wine nainstalovali před napadením ransomwarem, celá konfigurace tohoto programu je nejspíš zašifrovaná. V takovém případě je třeba před spuštěním dešifrovacího nástroje smazat složku \Users\<VašeUživatelskéJméno>\.wine.

Spuštění dešifrovacího nástroje

Chcete-li dešifrovací nástroj spustit, stáhněte si jej z naší stránky s bezplatnými dešifrovacími nástroji od Avastu a dvakrát klikněte na jeho ikonu:

Konfigurace při prvním spuštění zabere více času.

• Pokud se zobrazí výzva, abyste nainstalovali software „Mono“, klikněte na tlačítko „Cancel“ (Storno).
• Pokud se zobrazí výzva, abyste nainstalovali software „Gecko“, klikněte na tlačítko „Install“ (Nainstalovat) a nechte jej instalační program stáhnout a nainstalovat.

Po dokončení prvotní konfigurace se dešifrovací nástroj spustí a zobrazí obrazovku „Welcome“ (Vítejte).

V dalším okně (po kliknutí na tlačítko „Další“) můžete vybrat jedno či více umístění, kde se nacházejí dešifrované soubory. Ve výchozím nastavení je zvolena domovská složka aktuálního uživatele.

S výchozím nastavením si obvykle vystačíte. Klikněte na tlačítko „Next“ (Další). Poté je třeba zvolit dvojici původního a zašifrovaného souboru. Soubory ve složkách v Macu můžete buď přetáhnout, nebo vyhledat kliknutím na tlačítko „…“.

Po nastavení obou souborů klikněte na tlačítko „Next“ (Další).

Na této obrazovce se provádí prolamování hesla. Klikněte na tlačítko „Start“ (Spustit) a počkejte, než dešifrovací nástroj zjistí heslo. Prolomení hesla k souborům, které zašifroval ransomware FindZip, obvykle zabere přibližně jednu minutu.

Po dokončení prolamování hesla klikněte na tlačítko „Next“ (Další).

Na závěrečné obrazovce můžete vypnout vytváření záložních kopií souborů při dešifrování. Doporučujeme to nedělat.

Nástroj po kliknutí na tlačítko „Dešifrovat“ dešifruje všechny soubory ve složce vybrané na obrazovce „Select location(s) to decrypt“ (Vyberte umístění k dešifrování).

Po dokončení dešifrování stačí kliknout na tlačítko „Close“ (Zavřít). Vaše soubory budou dešifrovány!

Speciální poděkování

Rádi bychom poděkovali Peteru Conradovi, autorovi programu PkCrack, který nám udělil svolení použít jeho knihovnu v našich nástrojích na dešifrování. Dále bych chtěl věnovat speciální poděkování svému kolegovi Ladislavu Zezulovi, který tento dešifrovací nástroj připravil.

IOCs

c68814901d0af5de410c152e62a06a51c16ec7fe118f1e5251bbcdbb27364709

d19b903adbd0f8c119d0d8f25b194bdd24b737357a517f23ca5cdc6c75b35038