Mac平台出现首例RaaS式的勒索程序MacRansom

Fortinet的恶意软件研究人员发现了一种称为MacRansom的新型ransomware，面向Mac机器。

通过TOR网络中的隐藏服务，Ransomware-as-a-service（RaaS）模型提供恶意软件。专家认为，这是第一次将Mac ransomware作为RaaS提供。

“刚刚在FortiGuard实验室里，我们发现了一个Ransomware-as-a-service（RaaS），它使用托管在TOR网络中的门户网站，这已成为当今的趋势。然而，在这种情况下，看到网络犯罪分子攻击Windows以外的操作系统是相当有趣的。这可能是第一次看到针对Mac OS的RaaS。“ Fortinet 发表的分析指出。

尽管威胁不像其他类似威胁那样复杂，但由于加密受害者的文件，可能会对受害者造成严重问题。MacRansom作为RaaS的可用性可以轻松地将ransomware运动安排为没有特定技能的骗子。

MacRansom变体通过Tor门户网站不容易获得，可能的骗子可以联系ransomware的作者以获取他们的版本的威胁。

“这个MacRansom变体不是通过门户网站可以获得的。有必要直接与作者联系建立赎金。起初，我们认为它是一个骗局，因为没有样本，但验证我们删除作者的电子邮件，并意外收到回应。“继续分析。

macranson raas

MacRansom使用硬编码密钥实现对称加密，ransomware最多只能加密128个文件，对于解密密钥，它需要0.25比特币（约700美元）。

研究人员发现ransomware使用的两套对称密钥：

ReadmeKey：0x3127DE5F0F9BA796
TargetFileKey：0x39A622DDB50B49E9
ReadmeKey用于解密包含赎金笔记和指令的._README_文件，而TargetFileKey用于加密和解密受害者的文件。

恶意代码实施反分析活动，ransomware的第一件事是检查样本是否在非Mac环境中运行，或者是否在调试环境中运行。

一旦受害者支付赎金，作者就给予 客户的比特币地址30％。

客户只需要传播威胁，例如通过驱动器下载攻击通过垃圾邮件传递威胁。

作者不鼓励通过下载攻击或涉及上传自定义版本的MacRansom的其他方法。

“我们看到新的专门针对Mac OS平台的ransomware并不是每一天。即使它远远低于目前Windows的大多数目前的ransomware，它不会加密受害者的文件或阻止访问重要的文件，从而造成真正的损害。“Fortinet总结道。

“最后但并非最不重要的是，这个MacRansom变种可能被模仿者酿造，因为我们看到很多类似的代码和想法从以前的OSX ransomware中获取。尽管它采用与以前的OSX ransomware不同的反分析技巧，但这些技巧是许多恶意软件作者广泛部署的众所周知的技术。MacRansom是ransomware威胁盛行的另一个例子，无论操作系统平台正在运行。“