La semaine dernière, des chercheurs en sécurité de ESET ont passé au crible un rare ransomware ayant pour cible les utilisateurs d'ordinateurs Mac. Baptisé Filecoder ou encore Findzip, il tente de piéger ceux qui croient mettre la main sur un crack pour des logiciels comme Office 2016 pour Mac, Adobe Premiere Pro CC.

macOS-ransomware-patcher Exploitant des archives ZIP chiffrées pour prendre en otage des fichiers, ce ransomware s'avère toutefois mal codé. La clé utilisée pour chiffrer les fichiers n'est pas envoyée à l'attaquant qui n'a ainsi pas la possibilité de les débloquer si une rançon est éventuellement payée.

ESET avait alerté au sujet de la difficulté de casser la clé de chiffrement aléatoire qui est générée. Les chercheurs de Malwarebytes ont cependant trouvé une méthode pour déchiffrer les fichiers après infection par Filecoder.

Relativement technique, cette méthode à suivre est exposée dans un billet de blog. Afin de réunir les informations nécessaires, il y a plusieurs prérequis dont un autre ordinateur fonctionnel, l'environnement de développement Xcode ou un éditeur de texte comme TextWrangler, l'installation des outils en ligne de commande Xcode, la compilation de l'outil PkCrack (récupération de mot de passe zip), une version non chiffrée d'un fichier infecté.

Ce n'est pas une mince affaire, d'autant que l'on peut vraiment se demander si Filecoder - ou Findzip - est réellement une menace répandue. C'est peu probable compte tenu du manque de retours à ce sujet. On remarquera en outre qu'il n'y a toujours aucune transaction à l'adresse Bitcoin mise en place par le responsable de ce ransomware.