MacOS Ransomware con EFI Lock

Question

MacOS Ransomware con EFI Lock

#1 de cansik (4 votos)
#2 de whoami (2 votos)
#3 de James (1 votos)
#4 de David (1 votos)
#5 de bobby (1 votos)
#6 de DirtyOrange (1 votos)
#7 de DirtyOrange (0 votos)
#8 de Mirvine (0 votos)

7

Descripción del problema

Ayer mi madre me llamó diciendo que recibió un mensaje en su iPhone, que fue robado ( iCloud Find My Phone ). Luego tuvo que ingresar códigos de seguridad ( autenticación de dos factores ) en un campo de texto en su MacBook. No estaba allí en este momento, así que no puedo demostrarlo realmente. Creo que esto ya era una ventana de phishing del ransomware.

Ella está usando mi viejo MacBook, a principios de 2011, 13 "con SSD actualizado y 16 GB de RAM, con 10.10 instalado.

Cuando llegué, el MacBook ya estaba comprometido y mostraba el siguiente mensaje, después del arranque:

Elmensajeestáenalemánydice:

IhrComputeristdeaktiviert.VersuchenSieesin59Minutenerneut.(Translation:Yourcomputerisdeactivated.Tryitagainin59minutes.)writetoemail:[email protected]

[email protected]óndecorreodeAppleválida.

BusquéenGoogleexactamenteelmismomensajeynoobtuveningúnbuenresultado.Losúnicosresultadosqueencontréfueronestos:

Je crois avoir été infecté par un ransomware
Teléfono bloqueado en modo perdido

¿Cómo solucionarlo?

Mi pensamiento fue que solo se trataba de una superposición de pantalla y debería poder iniciarse en otro sistema operativo (Ubuntu en vivo) para acceder a los datos. Quería encontrar un rastro del ransomware. Tal vez podría averiguar cómo se llama o qué estaba haciendo con los datos.

Cuando intenté arrancar desde otro dispositivo, la Mac estaba bloqueada con una contraseña de protección del firmware EFI (estaba apareciendo la misma pantalla con el pequeño candado). Nunca puse esto y realmente dudo que mi madre lo haya hecho. Por lo tanto, podría ser sólo el ransomware.

Así que primero tuve que restablecer la contraseña del firmware. Afortunadamente, encontré una entrada de blog que describe una forma en la que tienes que cambiar la cantidad de RAM en tu sistema y luego restablecer la PRAM / NVRAM . Pensé que suena un poco a magia, pero por otro lado, el sistema no podría empeorar.

Quité una memoria RAM, arranqué con CTRL + ALT + P + R y esperé a tres reinicios .

Después de eso, el bloqueo del firmware desapareció y fue posible arrancar desde una memoria USB. Busqué cambios de archivos recientes en la partición de mac, pero no pude encontrar nada. Los datos de la carpeta de inicio no estaban encriptados (por lo que tal vez era un engaño).

Así que hice una copia de seguridad de sus datos y luego traté de hacer un arranque normal nuevamente. Sorprendentemente, el mensaje de ransomware se fue! Podría simplemente arrancar en el sistema como de costumbre.

Ejecuto un escaneo de Bitdefender, pero no se encontró nada. Es realmente misterioso y no tengo idea de lo que realmente sucedió.

Pregunta

Entonces, mi pregunta ahora es: ¿Alguien conoce este problema o este tipo de ataque? No tengo ni idea de cómo los atacantes podrían establecer la contraseña del firmware y dónde se estaba ejecutando el software del ransomware.

Tal vez estaba en una partición propia pero no pude encontrarla. El MacOS parece no estar dañado.

Update

Le pregunté a un empleado de Apple Store hoy y él no sabía nada acerca de un hack como este. Pero me dijo que no debería ser posible restablecer la contraseña del firmware. Solo Apple es capaz de hacer eso.

ransomware macosx uefi

pregunta cansik 31.07.2017 - 15:14

fuente

8 respuestas

2

Como mencionaste, esto no parece ser un verdadero ataque de ransomware. La mayoría de los ransomware disponibles, incluidos los últimos WannaCry y NotPetya, tienen al menos buenos mecanismos de cifrado de archivos. Pero mencionó que los archivos no estaban realmente encriptados, así que no los clasificaría como ransomware.

Dado que el objetivo principal de un ransomware es ganar dinero (se discute que algunas de las variantes recientes existen más como herramientas de ataque DoS que para la recolección de rescate, pero no entraré en eso) por lo general dejarán una dirección de bitcoin donde podría hacerles un pago para obtener una clave de descifrado única.

El modus operandi de esta infección no coincide realmente con el de un ransomware. Esto parece más un engaño para molestar a los usuarios al bloquearlos de sus máquinas.

Aside

Tal vez, intentaré escribir un correo electrónico a la dirección que mencionaste y veré si piden una cantidad de rescate para "arreglar" mi computadora. Ya que pretenden ser "Apple" (también están haciendo un mal trabajo, ya que el dominio es gmx.com, un servicio alemán ofreciendo cuentas de correo electrónico gratuitas ), es más probable que intenten engañar a los usuarios confiados con algo de dinero. Por ejemplo piense en las llamadas falsas de "Soporte de servicio de Microsoft" que reciben (las personas de edad avanzada) que solicitan una conexión remota a su máquina, muestre "infecciones" falsas codificando por colores algunos comandos de DOS y solicite ~ $ 300 para solucionarlo. Es un intento poco sofisticado de ingeniería social, pero funciona en personas que no están muy familiarizadas con sus computadoras.

respondido por el whoami 31.07.2017 - 18:55

fuente

1

Esto me pasó ayer, eliminé mi Macbook pro (último modelo) y iPad pro. Desafortunadamente, no puedes hacer lo anterior con los nuevos modelos, así que debes ir a la tienda.

respondido por el James 31.07.2017 - 18:11

fuente

1

Mi MacBook Pro a finales de 2013 tiene el mismo problema desde hoy. Tras el arranque se mostró la pantalla bloqueada con el mismo masaje. Correo electrónico a [email protected] fue el contacto aquí. Alguien hackeó mi cuenta de iCloud y la usó para bloquear mi MacBook. Decido probarlo y mientras el inicio de sesión en mi cuenta Apple dice que está "bloqueado por razones de seguridad". Después de restablecer mi contraseña de ID de Apple y muchas preguntas y procedimientos, veo claramente en "Buscar mi ..." que mi Mac Book estaba bloqueado y, después de muchas llamadas, solo el Soporte de Apple puede solucionarlo.

También leí en la web acerca de la modificación de RAM para solucionarlo, pero también que no funciona en una MacBook más nueva que en 2012. Mi otro MacBook Pro a fines de 2014 que se ejecuta en el mismo ID de Apple no estaba bloqueado. Tal vez porque no lo apago o reinicio en el fin de semana. No intentaré esto hasta que no se esté ejecutando el primer MacBook.

Después de enviar por correo a la manzana [email protected] recibo un masaje para pagar 50 $ en bitcoins y envíelo a 1LtEdJmSApVYMYFXzLeaYtuvXFVPv9kzo3

Me sorprendió, pero 50 $ no es mucho dinero y quizás no se detenga aquí, más de 100 $ que 300 $ y así sucesivamente. Y después de volver a enviar por correo, era verdad que querían 100 $. De ninguna manera ...

Mi consejo: no envíe por correo, no responda y definitivamente no pague.

Apple Store Repárelo y cambie su contraseña a su ID de Apple y autenticación de 2 vías ...

respondido por el David 31.07.2017 - 22:29

fuente

1

También he sido víctima de esto, exactamente el mismo mensaje de error. Lo que es extraño es que, incluso con mi Mac apagado, cuando se inicia la pantalla de bloqueo se desactiva durante 60 minutos. Esto a pesar de que ni siquiera intento descifrar la contraseña.

Estoy ingresando a cmd + r para entrar en modo de recuperación, que se parece más a la pantalla de bloqueo del firmware. Estoy esperando a ser visto por Apple, tratar de conseguir una cita genial es difícil. Primero fui al distribuidor autorizado de Apple y no pudieron ayudarme, ya que dijeron que el proceso requiere que hablen con Apple de todos modos, por lo que dijeron que solo deben ir directamente a Apple.

Por curiosidad, ¿qué es la pantalla de bloqueo como se muestra en la imagen publicada? ¿El código de acceso de 6 dígitos sería algo de Apple o es algo puramente para quien haya pirateado mi cuenta de icloud?

Han pasado 5 días y todavía no tengo una computadora portátil que funcione, tratar de organizar el trabajo es difícil ...

respondido por el bobby 04.08.2017 - 15:19

fuente

1

La pantalla que muestra el bloqueo después del timbre / publicación es el bloqueo del firmware. Al mantener presionado cmd + opt + crtl + shift + S se mostrará el código hash, que Apple utiliza para restablecer los bloqueos de firmware. Después de que la computadora arranque, verás la pantalla de modo perdido de iCloud con los 4 dígitos. Desafortunadamente no tengo una respuesta de cómo estos atacantes se están superando en 2 pasos. Buena suerte.

respondido por el DirtyOrange 06.08.2017 - 00:25

fuente

0

He sido Apple Technition durante más de 8 años. Veo esto todo el tiempo en el Bar Genius. Planificar y simple su contraseña de iCloud fue comprometida. El atacante acaba de activar el modo perdido en sus dispositivos que están vinculados a su cuenta de iCloud. Cuando una computadora entra en “modo perdido”, se agrega un bloqueo de firmware. La única manera de solucionar este problema es hacer una cita con Genius Bar y traer su computadora con el comprobante de compra. Podrán eliminar el bloqueo de firmware con el código hash de las computadoras, luego podrán reparticionar & reinstalar el sistema operativo. Espero que tengas una copia de seguridad.

respondido por el DirtyOrange 05.08.2017 - 10:29

fuente

0

Recientemente he sido atacado por esto. En mi caso, el reinicio de NVRAM PRAM no funciona. Obtengo una pantalla de bloqueo diferente, solo un gráfico de un bloqueo y un archivo para ingresar texto, nada más. La pantalla de bloqueo cuando intenta iniciar normalmente solicita un PIN de cuatro dígitos y le dice que envíe un correo electrónico a [email protected]

También recibí el mensaje de Apple sobre Kalunga. Cuando accedí a mi cuenta de iCloud, mi escritorio también se había bloqueado. La pantalla de bloqueo en mi escritorio pidió un PIN de seis dígitos.

Mi iPhone y el segundo escritorio, que estaban en una ubicación diferente en un enrutador diferente, no se vieron afectados.

.

respondido por el Mirvine 05.08.2017 - 16:42

fuente

Lea otras preguntas en las etiquetas ransomware macosx uefi

Cómo implementar la contraseña de restablecimiento para un administrador de contraseñas ¿Cómo olvidar las teclas LUKS durante una emergencia?

score 4 · Accepted Answer

Explicación

Parece que no es un virus o un hack en su computadora. El mensaje que se muestra se puede configurar cuando bloquea su dispositivo de iCloud (Find My Phone).

Parece que Apple tiene una puerta trasera de iCloud o algo así. Solo con la contraseña no sería posible iniciar sesión en iCloud, debido a la autenticación de dos factores activada. Así que los atacantes realmente tienen acceso a su iCloud, pero no directamente a su computadora local.

La cuenta de iCloud de mi madre es de abril de 2017, por lo que no es solo un antiguo hack de iCloud.

Lo más probable es que sea debido al siguiente hackeo de iCloud:

Hackers: Lo haremos de forma remota Limpie los iPhones a menos que Apple pague un rescate (Vice, Mar 21 2017)

Solución

Si le sucedió lo mismo, debe llevar su dispositivo Apple a la siguiente tienda Apple junto con su recibo. El recibo prueba que usted es el propietario del dispositivo, por lo que Apple Store puede desbloquearlo.

Por razones de seguridad, recomiendo restablecer su contraseña y activar la autenticación de dos factores.

Si tiene una Macbook 2011, la limpieza de PRAM / NVRAM también podría funcionar para usted, pero debe hacerlo bajo su propio riesgo.