賽門鐵克分析已證實,名為 Mabouia 的概念驗證 (proof-of-concept,簡稱 PoC) 威脅若落入壞人手中,可能可用於建立功能性的 OS X 加密勒索軟體。
Mabouia (亦即賽門鐵克偵測到的 OSX.Ransomcrypt) 是由 巴西的網路安全研究人員 Rafael Salema Marques 所開發,他撰寫這支概念驗證惡意程式的目的在於強調 Mac 電腦在面對勒索軟體的威脅時,也無法倖免於難的事實。
Marques 與賽門鐵克及 Apple 分享了該勒索軟體的樣本。賽門鐵克的分析也已證實這個概念驗證確實能達到效果。Marque 表示,他並不打算公佈該惡意程式。
Mabouia 依循許多勒索軟體變種在受感染電腦上加密檔案所使用的嘗試與測試 (tried-and-tested) 模式,並且將加密金鑰傳送至指令與控制 (C&C) 伺服器。該惡意程式會在受感染電腦上顯示付款指示,包括一組受害者用來擷取解密金鑰所需的獨特 ID。該金鑰可能會在受害者付出贖金時傳送給受者者。
不過在 Mabouia 的情況中,由於它只是概念驗證,因此它只會加密儲存在一個叫做「贖金」的目錄下的檔案。大多數的 Mac 使用者不會在電腦上擁有一個這樣名稱的目錄。
Mabouia 是第一個以檔案為主的 OS X 加密勒索軟體,雖然它只是概念驗證。不過,Mac 電腦已經是以瀏覽器為主的威脅鎖定的對象。舉例來說,在 2013 年時,Malwarebytes 的研究人員發現了一種透過惡意網站針對 Mac 使用者來鎖定 Safari 的瀏覽器型勒索軟體。該網站會將 Windows 使用者導向順道下載 (drive-by download),而對於 Mac 使用者則會執行一個導致 Safari 持續顯示彈出畫面的 Javascript,通知使用者他們的瀏覽器因檢視了非法內容已經被 FBI 「鎖住」。
防護方法 諾頓網路安全、Symantec Endpoint Protection 及其他賽門鐵克安全產品均可偵測到像是 OSX.Ransomcrypt 的威脅。