几天前， ESET公司的安全专家发现了一种新型的MacOS勒索软件，属于非常珍贵的物种。这一勒索软件被命名为OSX/Filecoder.E，主要是通过bittorrent网站攻击MacOS用户。

ESET分析到：

上周，我们发现了一种新型的勒索软件活动，并且是专门针对Mac的勒索软件活动。这一新型的勒索软件使用Swift语言编写的，通过bittorrent网站进行自我传播。从表面上看，它似乎就是一个盗版软件。

OSX/Filecoder.E伪装成办公工具进行传播

更糟糕的信息就是，即使受害者支付了赎金，文件也不会被解密。MacOS勒索软件并不常见，它会将自己伪装成Mac版Adobe Premiere Pro CC 和Microsoft Office的破解工具。一旦用户在自己的Mac上安装了该工具，则意味着它的文件即将被锁定。

OSX/Filecoder.E很难在最新版的OS X和MacOS 上安装，因为该勒索软件的安装包并没有获得苹果开发者授权的证书。

$ codesign -dv "Office 2016 Patcher.app"
Executable=Office 2016 Patcher.app/Contents/MacOS/Office 2016 Patcher
Identifier=NULL.prova
Format=app bundle with Mach-O thin (x86_64)
CodeDirectory v=20100 size=507 flags=0x2(adhoc) hashes=11+3 location=embedded
Signature=adhoc
Info.plist entries=22
TeamIdentifier=not set
Sealed Resources version=2 rules=12 files=14
Internal requirements count=0 size=12

OSX/Filecoder.E的勒索技术比较简单，只能产生一个加密密钥，也就是说所有加密文件都是共用一个加密密钥。并且，该勒索软件的加密密钥是不会发送至C&C服务器，所以用户的文件是不可能被解密的。但它的加密方式很高效，也很难被破解。

样本

通过对这一勒索软件的渗入分析得出一个结论是，它是一个专门针对MacOS的勒索软件，但无可厚非的是，勒索软件作者的技术并不是很高超，可能是一个菜鸟。但即使它的技术很low，仍然还是可以让受害者无法访问其文件，从而造成比较严重的后果。

截至发布本文的时间，接收赎金的比特币钱包还没有收到金钱汇入。