Apple beschermt Mac-computers tegen ransomware
Apple heeft de in macOS ingebouwde virusverwijdertool XProtect van een update voorzien om gebruikers tegen de ransomware te verspreiden die zich als illegale software voordat en via torrentsites wordt verspreid. Eenmaal actief versleutelt de Findzip-ransomware, zoals de malware door Apple wordt genoemd, bestanden voor losgeld. De versleutelde bestanden zijn echter niet te ontsleutelen, ook als het slachtoffer betaalt.
Anti-malwarebedrijf Malwarebytes laat weten dat de apps waar de ransomware in zit verborgen gesigneerd zijn, maar niet door een certificaat dat door Apple is uitgegeven. "Wat vrij bijzonder is", aldus onderzoeker Thomas Reed. De apps zullen standaard dan ook niet geopend worden. Althans, als het programma dat de app gedownload heeft goed omgaat met de quarantaine-optie. Iets wat bijvoorbeeld de grote browsers doen, maar wat niet het geval is bij torrentclients. In dit geval zal de app alsnog kunnen worden geopend.
"Al met al is dit voor de meeste mensen geen grote dreiging. Alleen mensen die zich met illegale software bezighouden komen het tegen en dan zijn er nog steeds voldoende aanwijzingen dat er iets mis is voordat ze de ransomware starten", merkt Reed op. Hij waarschuwt wel dat als de ransomware toch wordt uitgevoerd en gebruikers geen back-ups hebben ze hun bestanden kwijt zijn. Voor zover bekend versleutelt de ransomware geen Time Machine-back-ups.
Reverse engineering:
I let it loose on a dummy backup, made from my test system, and let it run for 45 minutes. Although it definitely was accessing the external drive, the backups were never damaged in any way. I was still able to restore files from the backup at the end of the test. Of course, a different kind of backup that is connected at the time the malware runs could be affected.
Tegenstrijdige info dus of deze ransomware ook je backup's / mounted drives kan verklooien.
Lees het nog eens na, zou ik zeggen.
Apple heeft wel degelijk vandaag een update voor XProtect uitgegeven (FindZip ransomware).
Een deel van de bijgewerkte lijst in XProtect staat hieronder:
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://
www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<array>
<dict>
<key>Description</key>
string>
<string>OSX.Findzip.A</string>
<key>LaunchServices</key>
<dict>
<key>LSItemContentType</key>
<string>com.apple.application-bundle</
6619 Feb 17 18:35 /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta.plist
En bevat géén OSX.Findzip.A
Ook niet na updaten via de app store.
6619 Feb 17 18:35 /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.meta.plist
En bevat géén OSX.Findzip.A
Ook niet na updaten via de app store.
Je hebt het verkeerde bestand te pakken
Op de locatie
Dat bestand heet : XProtect.plist
En daarin staat ze netjes vermeld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.