Mac Hack
Mac Hack — это компьютерная программа-вымогатель (ransomware), обнаруженная в 2016 году, которая шифровала файлы на компьютерах под управлением операционной системы macOS и требовала выкуп за их восстановление. Относится к классу троянских программ (троянов) и является одним из первых известных примеров полнофункционального шифровальщика, нацеленного на экосистему Apple.
История
Первые сообщения о вредоносной программе Mac Hack появились в марте 2016 года. Программа распространялась через торренты, в частности, через файлы с пиратскими версиями популярного программного обеспечения, такого как Adobe Photoshop, Microsoft Office для Mac, а также через взломанные версии игр. Пользователи, скачивая и запуская установщики, активировали вредоносный код.
Программа была написана на языке программирования Python и скомпилирована в исполняемый файл с помощью утилиты py2app. В отличие от многих более поздних вымогателей, Mac Hack не использовал сложные методы обхода антивирусной защиты и распространялся относительно открыто. После обнаружения компаниями по кибербезопасности, такими как Palo Alto Networks и Malwarebytes, были выпущены сигнатуры для антивирусных продуктов, и распространение программы было в значительной степени остановлено. Тем не менее, инцидент привлёк внимание к уязвимости macOS перед атаками программ-вымогателей.
Механизм работы
Способ заражения
Заражение происходило при запуске пользователем якобы установочного пакета (файла с расширением .app или .pkg), загруженного из ненадёжного источника. Внутри пакета содержался скрипт на Python, который при активации начинал выполнение вредоносных действий. Программа не использовала уязвимости операционной системы — для её запуска требовалось явное согласие пользователя (обход Gatekeeper и других защитных механизмов macOS не требовался, так как пользователь сам запускал файл).
Процесс шифрования
После запуска Mac Hack выполнял следующие действия:
- Определение целевых файлов. Программа сканировала локальные диски и монтированные тома в поисках файлов с определёнными расширениями: .jpg, .png, .doc, .docx, .xls, .xlsx, .pdf, .zip, .rar, .mp3, .mp4, .mov, .avi и другие. Список расширений был жёстко задан в коде.
- Шифрование. Для каждого найденного файла генерировался уникальный ключ шифрования. Использовался симметричный алгоритм AES-128 в режиме CBC (Cipher Block Chaining). Ключ шифрования для каждого файла, в свою очередь, шифровался асимметричным алгоритмом RSA-1024 с использованием публичного ключа, встроенного в программу. Зашифрованные файлы получали новое расширение —
.encrypted. - Удаление оригиналов. После успешного шифрования оригинальные файлы безвозвратно удалялись с помощью команды
srm(secure remove), что делало их восстановление стандартными средствами невозможным. - Создание записки с требованием выкупа. На рабочий стол пользователя помещался текстовый файл с именем
README_README.txt(или аналогичным), содержащий инструкции по оплате выкупа. В записке сообщалось, что файлы зашифрованы, и для их расшифровки необходимо перевести 1 биткоин (на момент атаки — около 400–600 долларов США) на указанный биткоин-кошелёк. После оплаты обещалось предоставить ключ дешифрования.
Связь с командным сервером
Для передачи информации о заражённом устройстве и получения подтверждения оплаты Mac Hack подключался к серверу управления (C&C) по протоколу HTTP. Сервер был расположен на одном из публичных хостингов. После оплаты выкупа, по заявлениям некоторых жертв, расшифровка действительно происходила, однако гарантий восстановления данных не было.
Воздействие и последствия
Mac Hack стал одним из первых громких случаев атаки программы-вымогателя на платформу macOS. До этого считалось, что пользователи Mac в значительной степени защищены от подобных угроз из-за меньшей доли рынка и архитектурных особенностей системы. Инцидент показал, что:
- macOS не является неуязвимой для вредоносного ПО;
- основным вектором заражения остаётся человеческий фактор — скачивание и запуск непроверенных файлов;
- даже относительно простая программа может нанести значительный ущерб.
По оценкам экспертов, общее количество заражённых компьютеров было невелико — несколько тысяч по всему миру. Однако ущерб для отдельных пользователей и компаний мог быть серьёзным, особенно если зашифрованными оказывались рабочие документы, базы данных или архивы.
Методы защиты и противодействия
Профилактика
Основные меры защиты от Mac Hack и аналогичных угроз включали:
- Отказ от пиратского ПО. Загрузка программ только из официальных источников — Mac App Store или сайтов разработчиков.
- Включение Gatekeeper. Настройка системы на запуск только приложений, подписанных действительным сертификатом разработчика (по умолчанию включено в macOS).
- Регулярное резервное копирование. Создание копий важных данных на внешних носителях или в облачных сервисах (с возможностью отката к предыдущим версиям).
- Использование антивирусного ПО. Установка и регулярное обновление антивирусных продуктов, поддерживающих защиту от программ-вымогателей.
- Обновление системы. Установка последних версий macOS и обновлений безопасности.
Лечение
Если заражение уже произошло, специалисты рекомендовали:
- Не оплачивать выкуп. Оплата не гарантирует получение ключа и стимулирует развитие киберпреступности.
- Отключить компьютер от сети. Чтобы предотвратить дальнейшее распространение (если программа способна заражать сетевые ресурсы) и потерю данных.
- Обратиться к специалистам. В некоторых случаях возможно восстановление файлов из теневых копий (Volume Shadow Copy) или с помощью специализированных утилит, если шифровальщик имеет уязвимости.
- Восстановить данные из резервной копии. Самый надёжный способ.
Для Mac Hack не было выпущено публичных универсальных дешифраторов, так как алгоритм RSA-1024 считался на момент атаки криптостойким. Однако отдельные случаи восстановления были возможны, если у жертвы сохранились теневые копии или если ключи шифрования были перехвачены правоохранительными органами.
Критика и уроки
Инцидент с Mac Hack подвергся критике со стороны сообщества кибербезопасности за то, что он выявил недостаточную осведомлённость пользователей macOS о киберугрозах. Многие владельцы Mac полагали, что их система защищена «по умолчанию» и не требует дополнительных мер предосторожности. Программа также продемонстрировала, что даже простые вредоносные программы, написанные на скриптовых языках, могут быть эффективными, если они правильно нацелены на поведение пользователей.
С другой стороны, Mac Hack считается относительно «этичным» вымогателем — в том смысле, что после оплаты выкупа ключи действительно предоставлялись, а программа не содержала функций для уничтожения данных или их публикации (в отличие от более поздних вариантов ransomware). Тем не менее, сам факт вымогательства остаётся уголовно наказуемым деянием.
Источники
- Palo Alto Networks. «Mac Ransomware: A New Threat to Apple Users». Unit 42 Threat Research, 2016.
- Malwarebytes Labs. «Mac Hack Ransomware Analysis». Malwarebytes Blog, 2016.
- Symantec Security Response. «OSX.Ransomware: A New Variant Targeting Mac Users». Symantec, 2016.
- Krebs on Security. «First Mac Ransomware Spotted in the Wild». Krebs on Security, 2016.
- Документация по языку Python и утилите py2app (архивные версии).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →