Фахівець комп’ютерної безпеки Патрік Вардл (Patrick Wardle) написав доступний безкоштовний інструмент для виявлення спроб програм-вимагачів зашифрувати файли на ноутбуках і комп’ютерах Apple Mac і блокувати їх. Він отримав назву RansomWhere?, а його автор займає посаду директора по розробкам і дослідженням в компанії Synack. Програма шукає підозрілі процеси в системі і блокує шифрування ними файлів.

Інструмент спостерігає за домашніми папками OS X і помічає, коли в них створюються зашифровані файли. Це слугує вірною ознакою того, що на комп’ютері працює програма-вимагач. Далі RansomWhere? шукає відповідальний за процес шифрування і примусово завершує його. Щоб боротися з хибними випадками спрацювання, коли працюють довірені програми для шифрування даних, RansomWhere? заносить всі підписані Apple додатки в білий список, як і більшості з встановлених до моменту своєї появи на комп’ютері програм.

Таким чином, для правильної роботи програма повинна опинитися на комп’ютерах до того, як вони стануть жертвами здирників. Також вона не спрацює, якщо вимагач зламав і впровадив код в підписана Apple додаток і шифрує файли через нього.

Якщо RansomWhere? підозрює наявність процесу шифрування, виводиться вікно, в якому власник комп’ютера вирішує, чи дозволити цього процесу працювати або перервати його. Це дозволяє внести у білий список довірені програми.

Пропонуючи захист від здирників, RansomWhere? не гарантує стовідсоткової безпеки від них і ідеального рівня виявлення. RansomWhere? вступає в справу після того, як перші файли вже були зашифровані, хоча їх і повинно бути небагато.

«RansomWhere? потрібна для протистояння поширеним додатками-здирникам в системі OS X», пише Вардл в блозі. «Однак, довелося піти на компроміси для забезпечення надійності, простоти і швидкості, які можуть знизити ступінь захисту. При цілеспрямованої атаки будь-який інструмент безпеки можливо обійти. Якщо хакери поставлять перед собою завдання обдурити саме RansomWhere?, вони напевно зуміють це зробити».

До недавніх пір додатки-вимагачі націлювалися лише на користувачів Windows, але зараз це вже не так. Вже були вимагачі, націлені на веб-сервери на Linux, а фахівці створили в якості доказу концепції вимагачі для OS X.

У лютому була виявлена нова програма-вимагач, версії якої є на Windows і Mac OS X. В березні користувачі Mac постраждали від KeRanger, першої програми-здирника виключно для OS X.

Конкуренція між розробниками таких додатків посилюється, тому в пошуках жертв вони розширюють свою присутність на різних платформах, і користувачі дорогих комп’ютерів Mac є привабливою мішенню.

Скачати RansomWhere? можна з офіційного сайту автора звідси.