Actualización: Apple ha actualizado las definiciones de Xprotect para impedir la ejecución de esta aplicación en sus variantes conocidas. Adicionalmente, se ha encontrado la forma de desencriptar los archivos.
Con una muy deficiente programación, este ransomware llamado “Patcher” se esconde en una serie de cracks que prometen sobrepasar los sistemas de licencia de aplicaciones conocidas, como Office 2016 para Mac o Adobe Premiere Pro CC 2017, aunque se cree que hay más cracks de este tipo circulando por BitTorrent que apuntan a otras aplicaciones populares.
El ransmonware, una vez ejecutado, crea una ventana para romper el sistema de licencia de la aplicación, pero lo que ocurre es que coloca un documento Readme en diferentes carpetas del directorio de usuario mientras cifra el resto de archivos con una clave de 25 caracteres generada al azar y a continuación borra los archivos originales.
El archivo readme explica que los archivos están cifrados y que el usuario debe pagar 0,25 bitcoin a un monedero específico para recibir una clave en 7 días, o 0,45 bitcoin para recibir la clave en 10 minutos en la trading app. Sin embargo, a pesar de realizar el pago, simplemente esta clave no se recibe y el usuario ya puede dar por perdidos los archivos.
El investigador que ha descubierto este malware, Marc-Etienne M.Léveillé, ha explicado que ha sido desarrollado con Swift y que el código es muy deficiente, pero aún así, puede cifrar los archivos de los usuarios.
Para evitar este tipo de malware, un consejo más que evidente, no utilizar software pirata o aplicaciones que prometen eliminar los requisitos de licencia de las aplicaciones.
