MacOS Ransomware con EFI Lock

Naviga le tue risposte
7

Descrizione del problema

Ieri mia madre mi ha chiamato per avere un messaggio sul suo iPhone, che è stato rubato ( iCloud Trova il mio telefono ). Ha quindi dovuto inserire i codici di sicurezza ( autenticazione a due fattori ) in un campo di testo sul suo MacBook. Non ero lì in questo momento, quindi non posso davvero dimostrarlo. Penso che questa fosse già una finestra di phishing del ransomware.

Sta usando il mio vecchio MacBook, un inizio del 2011, 13 "con SSD aggiornato e 16 GB di RAM, con 10.10 installato.

Quando sono arrivato, il MacBook era già compromesso e ha mostrato il seguente messaggio, dopo l'avvio:

Ilmessaggioèintedescoedice:

IhrComputeristdeaktiviert.VersuchenSieesin59Minutenerneut.(Translation:Yourcomputerisdeactivated.Tryitagainin59minutes.)writetoemail:[email protected]

[email protected]nonèsicuramenteunindirizzodipostaelettronicavalido.

Hocercatosugooglelostessoidenticomessaggioenonhoottenutorisultatisoddisfacenti.Gliunicirisultatichehotrovatoeranoquesti:

Come risolverlo?

Il mio pensiero era che si trattava solo di un schermo sovrapposto e dovrebbe essere possibile avviare in un altro sistema operativo (live Ubuntu) per ottenere l'accesso ai dati. Volevo trovare una traccia del ransomware. Forse potrei scoprire come viene chiamato o cosa stava facendo con i dati.

Quando ho provato ad avviare un altro dispositivo, il Mac era bloccato con una password di protezione del firmware EFI (la stessa schermata con il lucchetto appariva). Non l'ho mai impostato e dubito davvero che mia madre l'abbia fatto. Quindi potrebbe essere solo il ransomware.

Quindi ho dovuto prima resettare la password del firmware. Fortunatamente ho trovato un post di blog che descrive un modo in cui è necessario modificare la quantità di ram RAM nel sistema e quindi ripristinare la PRAM / NVRAM . Ho pensato che suonasse un po 'come per magia, ma dall'altra parte, il sistema non poteva peggiorare.

Ho rimosso una RAM, avviato con CTRL + ALT + P + R e ho aspettato tre riavvii .

Dopo che il blocco del firmware era sparito, era possibile avviarsi su una chiavetta USB. Ho controllato le modifiche ai file recenti sulla partizione Mac, ma non ho trovato nulla. I dati della cartella home non erano crittografati (quindi forse era una bufala).

Quindi ho fatto un backup dei suoi dati e poi ho provato a fare di nuovo un avvio normale. Sorprendentemente, il messaggio ransomware era sparito! Potrei semplicemente avviare il sistema come al solito.

Eseguo una scansione di Bitdefender, ma non è stato trovato nulla. È davvero misterioso e non ho idea di cosa sia realmente successo.

Domanda

Quindi la mia domanda ora è, qualcuno conosce questo problema o questo tipo di attacco? Non ho idea di come gli hacker potrebbero impostare la password del firmware e dove era in esecuzione il software del ransomware.

Forse era su una partizione ma non riuscivo a trovarlo. Il MacOS sembra non essere danneggiato.

Aggiorna

Oggi ho chiesto ad un lavoratore dell'Apple Store e lui non sapeva nulla di un hack come questo. Ma mi ha detto che non dovrebbe essere possibile ripristinare la password del firmware. Solo Apple è in grado di farlo.

    
posta cansik 31.07.2017 - 15:14
fonte

8 risposte

4

Spiegazione

Sembra che non sia un virus o un hack sul tuo computer. Il messaggio mostrato può essere impostato quando blocchi il dispositivo da iCloud (Trova il mio telefono).

Quindi sembra che Apple abbia una backdoor iCloud o qualcosa del genere. Solo con la password non sarebbe possibile accedere ad iCloud, a causa dell'autenticazione a due fattori attivata. Quindi gli hacker hanno davvero accesso al tuo iCloud, ma non direttamente al tuo computer locale.

L'account iCloud di mia madre è dell'aprile 2017, quindi non è solo un vecchio hack di iCloud.

Molto probabilmente è a causa del seguente trucco di iCloud:

Hacker: We'll Remotely Pulisci iPhone a meno che Apple non paghi Ransom (Vice, 21 mar 2017)

Soluzione

Se lo stesso è successo a te, devi portare il tuo dispositivo Apple sul prossimo Apple Store insieme alla ricevuta. La ricevuta prova che sei il proprietario del dispositivo, quindi l'Apple Store è in grado di sbloccarlo.

Per motivi di sicurezza, ti consiglio di reimpostare la password e attivare l'autenticazione a due fattori.

Se hai un Macbook 2011, la pulitura PRAM / NVRAM potrebbe funzionare anche per te, ma devi farlo a tuo rischio.

    
risposta data 31.07.2017 - 20:28
fonte
2

Come hai detto, questo non sembra un vero attacco ransomware. La maggior parte dei ransomware là fuori, inclusi gli ultimi WannaCry e NotPetya, hanno almeno buoni meccanismi di crittografia dei file. Ma hai detto che i file non erano realmente crittografati, quindi non lo classificherei come ransomware.

Dato che il primo obiettivo di un ransomware è fare soldi (si discute sul fatto che alcune delle recenti varianti esistano più come strumenti di attacco DoS che per la raccolta di riscatti - ma non lo farò) di solito lasceranno un indirizzo bitcoin dove potresti effettuare un pagamento per ottenere una chiave di decrittazione univoca.

Il modus operandi di questa infezione non coincide in realtà con quello di un ransomware. Questo sembra più una burla per infastidire gli utenti bloccandoli dalle loro macchine.

Oltre

Forse, proverò a scrivere un'email all'indirizzo che hai menzionato e a vedere se chiedono una somma di riscatto per "aggiustare" il mio computer. Dal momento che stanno fingendo di essere "Apple" (stanno facendo un brutto lavoro anche perché il dominio è gmx.com, un servizio tedesco offrendo account email gratuiti ), è più probabile che cerchino di ingannare gli utenti ignari con qualche soldo. Ad es. pensate al falso "Microsoft Service Support" che le persone (di solito anziane) ricevono che chiedono la connessione remota alla loro macchina, mostrano "infezioni" false codificando per colore alcuni comandi DOS e chiedendo ~ $ 300 per risolverlo. È un tentativo di ingegneria sociale poco sofisticato, ma funziona su persone che non hanno familiarità con i loro computer.

    
risposta data 31.07.2017 - 18:55
fonte
1

Questo mi è successo ieri, ho rimosso il mio Macbook Pro (ultimo modello) e l'iPad pro. Sfortunatamente non puoi fare quanto sopra ai nuovi modelli, quindi devi andare in negozio.

    
risposta data 31.07.2017 - 18:11
fonte
1

My MacBook Pro Late 2013 ha lo stesso problema da oggi. Dopo l'avvio è stato mostrato lo schermo bloccato con lo stesso massaggio. Email a [email protected] era il contatto qui. Qualcuno ha hackerato il mio account iCloud e lo ha usato per bloccare il mio MacBook. Decido di provarlo e mentre l'accesso al mio account Apple dice che è "bloccato per motivi di sicurezza". Dopo aver resettato il mio ID Apple Passwort e molte domande e procedure, lo vedo chiaramente in "Trova il mio ..." che il mio Mac Book è stato bloccato e dopo molte chiamate solo il supporto Apple può ripararlo.

Ho anche letto sul web la modifica della RAM per correggerla, ma anche che non funziona su MacBook più recente del 2012. L'altro mio MacBook Pro alla fine del 2014 in esecuzione sullo stesso ID Apple non era bloccato. Forse perché non lo chiudo o riavvio nel weekend. Non ci provo fino a quando il primo MacBook non è in esecuzione.

Dopo aver inviato per email al falso [email protected], ricevo un massaggio da pagare 50 $ in Bitcoin e inviarlo a 1LtEdJmSApVYMYFXzLeaYtuvXFVPv9kzo3

Sono rimasto sorpreso ma 50 $ non sono molti soldi e forse non si fermeranno qui, a 100 $ di 300 $ e così via. E dopo aver spedito di nuovo era vero che vogliono 100 $. Assolutamente no ...

Il mio consiglio: non inviare la mail non rispondere e sicuramente non pagare.

Apple Store Risolvilo e cambia Passwort con l'ID Apple e l'autenticazione 2way ...

    
risposta data 31.07.2017 - 22:29
fonte
1

Sono caduto vittima anche di questo, esattamente lo stesso messaggio di errore. Che cosa è strano che anche con il mio Mac spento, quando si avvia la schermata di blocco afferma che è disabilitato per 60 minuti. Questo nonostante io non abbia nemmeno tentato di decifrare il passcode.

Sto inserendo cmd + r per entrare in modalità di recupero, che assomiglia più alla schermata di blocco del firmware. Sto aspettando di essere visto da Apple, cercando di ottenere un appuntamento geniale è difficile. Per prima cosa sono andato al rivenditore autorizzato Apple e loro non potevano aiutarmi, perché hanno detto che il processo richiede loro di parlare comunque con Apple, quindi hanno detto di andare direttamente a Apple.

Per curiosità, qual è la schermata di blocco come raffigurata nell'immagine pubblicata? Il passcode di 6 cifre potrebbe essere qualsiasi cosa di Apple o è qualcosa di puramente per chi ha hackerato il mio account icloud?

Sono passati 5 giorni e non ho ancora un laptop funzionante, cercare di organizzare il lavoro è difficile ...

    
risposta data 04.08.2017 - 15:19
fonte
1

Lo schermo che mostra il lucchetto dopo la suoneria / post è il blocco del firmware. Tenendo premuto cmd + opt + crtl + shift + S verrà visualizzato l'hashcode, utilizzato da Apple per reimpostare i blocchi del firmware. Dopo l'avvio del computer, verrà visualizzata la schermata della modalità persa iCloud con le 4 cifre. Sfortunatamente non ho una risposta su come questi attaccanti vengono superati di 2 punti. In bocca al lupo.

    
risposta data 06.08.2017 - 00:25
fonte
0

Sono stato un Apple Technition da oltre 8 anni. Lo vedo sempre al Genius Bar. Pianifica e semplifica la tua password iCloud. L'autore dell'attacco ha appena attivato la modalità persa sui dispositivi collegati al tuo account iCloud. Quando un computer entra in "modalità persa" viene aggiunto un blocco del firmware. L'unico modo per risolvere questo problema è creare un appuntamento con Genius Bar e portare il computer con la prova di acquisto. Saranno in grado di rimuovere il blocco del firmware con il codice Hash del computer, quindi potranno eseguire la ripartizione e l'amp; reinstallare il sistema operativo. Spero tu abbia un backup.

    
risposta data 05.08.2017 - 10:29
fonte
0

Sono stato recentemente attaccato da questo. Nel mio caso il riavvio NVRAM della PRAM non funziona. Ricevo una schermata di blocco diversa, solo un'immagine di una serratura e una scheda per inserire il testo, nient'altro. La schermata di blocco quando si tenta di avviare normalmente richiede un PIN di quattro cifre e dice di inviare un'email a [email protected]

Ho anche ricevuto il messaggio di Apple su Kalunga. Quando ho effettuato l'accesso al mio account iCloud, anche il mio desktop era stato bloccato. La schermata di blocco sul desktop chiedeva un PIN di sei cifre.

Il mio iPhone e il mio secondo desktop, che si trovava in una posizione diversa su un router diverso, non erano interessati.

.

    
risposta data 05.08.2017 - 16:42
fonte

Leggi altre domande sui tag

Quali sono i buoni metodi di sicurezza visiva? Perché non vi è adozione di RFC 7616 (HTTP Digest Auth)