最近发现的恶意软件程序 EvilQuest，也称为 ThiefQuest，会对您的文件进行加密，并试图诱骗您向传播该文件的欺诈者发送比特币赎金。

唯一的问题是，没有任何功能可以在向恶棍支付费用后真正解锁文件。少数受影响的付费用户还没有恢复他们的文件，调查该程序的安全研究人员也没有发现任何内置的解密方法。

但 SentinelOne 的研究人员检查了加密文件，发现文件本身包含加密密钥，因此可以轻松解密。该公司已经发布了一个小型的 可恢复的免费软件程序所有由 EvilQuest 加密的文件。

Malwarebytes 对该程序进行了更深入的研究并报告称，整个勒索功能实际上可能会分散人们的注意力，从而转移人们对真正目标的注意力：窃取数据。

恶意软件有时会下载Python 遍历整个主文件夹并将一长串文件上传到控制服务器的脚本，完全未加密。

帕特里克·沃德尔的对该恶意软件的持续调查表明，它似乎也是第一个正版的自 Mac OS X 近 20 年前发布以来，Mac 病毒就一直存在。

一旦该程序在 Mac 上安装完毕，它就会运行一个进程，查找受影响的主文件夹中的所有可执行文件，并在文件的开头添加一些新的恶意代码，然后每次该文件都会运行该代码正在运行。然后，代码可以将恶意软件传播到新文件并继续感染。

的定义病毒是通过感染现有文件进行传播的恶意代码，这正是EvilQuest/ThiefQuest的作用。

该程序有许多损坏的元素和功能，似乎并不完全按照预期工作，因此 Malwarebytes 推测它的一个版本在完全开发之前就开始使用。

帕特里克·沃德尔 (Patrick Wardle) 表示，最好建议那些遭受苦难的人完全重新安装 macOS – 例如，通过从计算机被感染之前完成的克隆备份进行恢复。在有人开发出可以从所有受感染文件中查找并删除恶意代码的程序之前，仅仅删除恶意程序本身是不够的。

如需更广泛的建议，请阅读我们的 Mac 安全提示。

本文最初发表于 Macworld 瑞典。大卫·普莱斯翻译。