ESET обнаружили шифратор для macOS. Вредоносная программа маскируется под Patcher – приложение для взлома Adobe Premiere Pro, Microsoft Office для Mac и другого платного софта. При запуске программы открывается окно с кнопкой Start на прозрачном фоне. На этом этапе шифрование файлов еще можно предотвратить – достаточно закрыть окно, которое уже не откроется повторно.
Требования выкупа содержатся в файле README!.txt. Пользователю требуется перевести 0,25 биткоина (около 17 000 рублей) на указанный кошелек и сообщить об оплате по электронной почте на открытом сервисе Mailinator. Текстовый файл жестко вшит в код малвари, это означает, что для всех потенциальных жертв используется один и тот же кошелек и email. Проблема в том, что даже в случае оплаты выкупа восстановить файлы не удастся.
Программа создает ключ шифрования при помощи генерации случайного числа. Длина ключа (25 символов) не позволяет подобрать его путем полного перебора в разумные сроки.