最近,安全专家K7实验室恶意软件研究员DineshDevadoss发现了一种名为ThiefQuest(最初以名称EvilQuest标识)的新型勒索软件,旨在加密macOS系统,并能够安装额外的有效载荷,甚至可能采取在受感染的计算机上。幸运的是,网络安全公司SentinelOne发布了一款免费的解密应用程序,可以帮助ThiefQuest勒索软件的受害者恢复他们的加密文件。与其他MacOSx威胁不同,EvilQuest还安装了键盘记录器、反向shell并从受感染主机窃取加密货币钱包。研究专家表示,EvilQuest勒索软件自6月以来一直在野外传播。攻击者开始通过受感染的盗版macOS软件在Torrent门户和在线论坛上分发勒索软件,一旦受感染主机上的文件被加密,就会向受害者显示一个弹出窗口,通知他们他们的文件已被加密。受害者将被指示打开放置在他们桌面上的赎金票据,其中包含支付勒索软件的说明,该勒索软件目前针对以下文件扩展名:.pdf、.doc、.jpg、.txt、.pages、.pem、.cer、.crt、.php、.py、.h、.m、.hpp、.cpp、.cs、.pl、.p、.p3、.html、.webarchive、.zip、.xsl、.docx,.ppt,.pptx,.keynote,.js,.sqlite3,.wallet,.datMalwareBytes研究人员注意到,该恶意软件还试图修改GoogleSoftwareUpdate中的一些特定文件,并试图利用它们来实现目标持续入侵感染宿主。PatrickWardle在流行的DJ软件MixedInKey的盗版版本中发现了一些恶意软件样本,Reed甚至在macOS安全工具LittleSnitch中发现了恶意软件。安全公司SentinelOne的研究人员分析了勒索软件的源代码,并能够对加密机制进行逆向工程。他们还发布了免费的解密软件,允许TiefQuest勒索软件的受害者恢复他们的加密文件。“自定义加密器是一件特别有趣的事情,虽然ThiefQuest会在感染macOS系统后加密文件,但该恶意软件没有机制来跟踪支付赎金要求的用户,也没有提供链接,”研究人员说。这样用户就可以联系ThiefQuest团队并提供他们的付款详细信息,并获得有关如何解锁文件的说明。GitHub上有加密文件的解密器。它是一个命令行工具,所以如果你已经加密了你的文件,那么你需要从终端运行解密器。SentinelOne安全公司发布了ThiefQuest解密器二进制文件,并计划将其代码开源。该公司还上传了视频演示教程,可以帮助人们更好地使用解密器。
