Pod koniec lutego 2017 roku odkryto nowy typ oprogramowania ransomware atakującego komputery Mac. To oprogramowanie ransomware nosi nazwę FindZip i infekuje komputery, podszywając się pod pirackie wersje płatnych aplikacji takich jak Adobe Premiere Pro. Po zainfekowaniu komputera Mac, oprogramowanie szyfruje znajdujące się na nim dokumenty, korzystając z algorytmu szyfrowania ZIP. Z tego samego schematu korzystało atakujące system Windows oprogramowanie ransomware Bart, które odszyfrowaliśmy zeszłego lata. 

Firma MalwareBytes opublikowała już analizę techniczną oprogramowania FindZip, a także opisała proces odszyfrowywania. Ponieważ instrukcje opublikowane przez MalwareBytes mogą być zbyt skomplikowane dla części użytkowników, opracowaliśmy nieco bardziej przyjazną aplikację umożliwiającą odszyfrowanie plików.

Narzędzie FindZip jest dostępne na naszej stronie z bezpłatnymi narzędziami do odszyfrowywania plików zablokowanych przez ransomware.

Uruchamianie narzędzia odszyfrowującego pliki zablokowane przez ransomware

Jeśli chcesz skopiować zaszyfrowane pliki z komputera Mac do systemu Windows, użycie naszego programu odszyfrowującego powinno być proste i intuicyjne (nie wymaga też instalowania żadnego osobnego oprogramowania).

Uruchamianie na komputerze Mac narzędzia odszyfrowującego pliki zablokowane przez ransomware

Narzędzia Avast do odszyfrowywania plików zablokowanych przez ransomware to aplikacje dla systemu Windows. Aby z nich korzystać, użytkownicy komputerów Mac (i systemu Linux) muszą zatem zainstalować warstwę emulacji. Program odszyfrowujący został przetestowany w narzędziach CrossOver i Wine, ale może też działać w innych emulatorach.

W tym przewodniku opisano uruchamianie narzędzia odszyfrowującego w programie Wine dla komputerów Mac. Narzędzie odszyfrowujące zostało przetestowane w systemach MacOS 10.10 (Yosemite) oraz MacOS 10.12 (Sierra).

Instalowanie programu XQuartz

Najpierw należy zainstalować system okien na komputerze Mac. Przejdź na stronę https://www.xquartz.org (lub wyszukaj „XQuartz for Mac” w Google) i pobierz instalacyjny plik DMG.

Jeśli pobrany plik nie uruchomi się automatycznie, otwórz go w folderze Pobrane.

Kliknij dwukrotnie ikonę „Quartz.pkg”. Powinien zostać uruchomiony instalator.

Klikaj kolejne opcje “Continue” (Kontynuuj) lub “Install” (Zainstaluj). Może pojawić się monit o zaakceptowanie licencji i wpisanie hasła w celu zainstalowania nowej aplikacji. Instalacja może potrwać kilka minut. W jej trakcie może pojawić się monit o wylogowanie się i ponowne zalogowanie w celu ukończenia tego procesu.

Uwaga: jeśli pominiesz instalację programu XQuartz i przejdziesz od razu do instalowania programu Wine, prawdopodobnie wyświetli on monit o zainstalowanie programu XQuartz. :)

Instalowanie programu Wine

Przejdź na stronę https://wiki.winehq.org/MacOS (lub wyszukaj „Wine for Mac” w Google) i kliknij link umożliwiający pobranie pakietów PKG. Pobierz plik oznaczony jako „Installer for Wine Staging”:

Uruchom instalator, klikając dwukrotnie jego ikonę:

Uruchom instalator, klikając dwukrotnie jego ikonę:

Kliknij „Continue” (Kontynuuj) i wybierz opcję „Install for all users on this computer” (Zainstaluj dla wszystkich użytkowników tego komputera). Następnie klikaj kolejne opcje „Continue” (Kontynuuj) i „Install” (Zainstaluj). Ponieważ instalujesz nową aplikację, może zostać wyświetlony monit o wpisanie hasła. Po zakończeniu instalacji kliknij przycisk „Close” (Zamknij).

Teraz możesz pobrać program odszyfrowujący Avast i bez problemu go uruchomić.

Ważna uwaga: Jeśli program Wine był już zainstalowany na Twoim komputerze przed zainfekowaniem go przez oprogramowanie ransomware, cała konfiguracja programu Wine prawdopodobnie jest zaszyfrowana. W takiej sytuacji przed uruchomieniem aplikacji odszyfrowującej usuń folder \Users\<Twoja_nazwa_użytkownika>\.wine.

Uruchamianie aplikacji odszyfrowującej

Aby uruchomić program odszyfrowujący, pobierz go ze strony z naszymi bezpłatnymi narzędziami Avast do odszyfrowywania i kliknij dwukrotnie ikonę aplikacji:

Konfiguracja przy pierwszym uruchomieniu może nieco potrwać.

• Jeśli zostanie wyświetlony monit o zainstalowanie programu „Mono”, kliknij opcję „Cancel” (Anuluj).
• Jeśli zostanie wyświetlony monit o zainstalowanie programu Gecko, wybierz opcję „Install” (Zainstaluj), aby instalator pobrał i zainstalował to oprogramowanie.

W kolejnym oknie, wyświetlonym po kliknięciu opcji „Next” (Dalej), można wybrać jedną lub więcej lokalizacji odszyfrowanych plików. Domyślnie to pole zawiera nazwę bieżącego katalogu głównego użytkownika:

Ustawienie domyślne zwykle jest odpowiednie. Użyj opcji „Next” (Dalej). Następnie możesz podać ścieżki do oryginalnego i zaszyfrowanego pliku. Możesz to zrobić, przeciągając i upuszczając pliki z folderów na komputerze Mac lub wskazując plik po kliknięciu przycisku „…”.

Po wprowadzeniu obu plików kliknij opcję „Next” (Dalej).

Na tym ekranie odbywa się proces łamania hasła. Kliknij opcję „Start“ i zaczekaj, aż program odszyfrowujący znajdzie hasło. Złamanie hasła użytego do zablokowania plików zaszyfrowanych za pomocą oprogramowania FindZip trwa zwykle około minuty.

Gdy proces łamania hasła zostanie ukończony, kliknij przycisk „Next” (Dalej).Na ekranie końcowym możesz zrezygnować z tworzenia kopii zapasowych podczas odszyfrowywania, ale nie jest to zalecane.

Kiedy klikniesz opcję „Decrypt” (Odszyfruj), aplikacja odszyfruje wszystkie pliki w folderze, które zostały wskazane na ekranie „Select location(s) to decrypt” (Wybierz lokalizacje do odszyfrowania).

Kiedy odszyfrowywanie zostanie ukończone, wystarczy kliknąć opcję „Close” (Zamknij). To wszystko! Pliki zostaną odszyfrowane.

Specjalne podziękowania

Pragniemy podziękować Peterowi Conradowi, twórcy oprogramowania PkCrack, który pozwolił nam użyć jego biblioteki w naszych narzędziach odszyfrowujących pliki. Dziękuję też mojemu współpracownikowi, Ladislavowi Zezuli, za przygotowanie tego programu odszyfrowującego.

IOCs

c68814901d0af5de410c152e62a06a51c16ec7fe118f1e5251bbcdbb27364709

d19b903adbd0f8c119d0d8f25b194bdd24b737357a517f23ca5cdc6c75b35038