Mac 勒索软件 ThiefQuest / EvilQuest 可以加密您的 Mac(已更新)
6 月 28 日星期日,K7 实验室的恶意软件研究员 Dinesh Devadoss 在 Twitter 上写道,任何防病毒引擎尚未检测到一种新的恶意软件程序。该恶意软件最初被命名为 EvilQuest,但后来更名为 ThiefQuest,以避免与游戏 EvilQuest 混淆。
#macOS #ransomware 冒充 Google 软件更新程序,检测为零。 MD5:522962021E383C44AFBD0BC788CF6DA3 6D1A07F57DA74F474B050228C6422790 98638D7CD7FE750B6EAB5B46FF102ABD@philofishal @patrickwardle @thomasareed pic.twitter.com/r5tkmfzmFT
— Dinesh_Devadoss (@dineshdina04) 2020 年 6 月 29 日
托马斯·里德 (Thomas Reed) Malwarebytes发现恶意代码已在盗版Mac程序中传播俄罗斯洪流论坛 Rutracker。最值得注意的是,它是在 Little Snitch 的受感染副本中发现的,讽刺的是,该程序通常用于保护用户免受恶意活动的侵害。 Evilquest 也出现在 DJ 软件 Mixed In Key 8 和 Google 软件更新中。
该程序将自身安装在系统中的多个位置,并尝试隐藏在”com.apple.questd”和”CrashReporter”等名称后面。如果您将其安装在计算机上,它将开始加密文件。一段时间后,您会看到一条勒索消息,要求支付 50 美元比特币来解密您的文件。
根据 Reed 的研究,该软件会安装合法版本的 Little Snitch,同时加载一个可执行文件”补丁”来安装实际的恶意软件。安装后会有三天的延迟,以便用户不会将任何问题与刚刚安装的程序联系起来。三天后,恶意软件开始加密文件,之后它将要求赎金。里德还发现了记录所有击键的键盘记录器的痕迹。
但是,该恶意软件似乎实际上并没有那么好用。安全研究人员报告说,安装过程中出现了问题。他还表示,该恶意软件的作者对 Mac 文件结构不是很熟悉,因为钥匙串数据和设置数据也被加密,这导致了明显的错误消息。论坛用户报告说他们收到了勒索信,但里德实际上未能运行他的恶意软件变体。
Reed 无法让恶意软件运行的原因可能是,如果它检测到它正在安全测试环境中运行(例如安装在虚拟机上),它就不会运行。如果它检测到计算机上正在运行安全工具或防病毒程序,它也不会运行。然而,该代码似乎也被设计为隐藏某些功能,同时使其他功能可见。
关于为什么会出现这种情况有几种理论。一种理论,由 计算机发出蜂鸣声,该恶意软件的勒索软件元素实际上是其真正目的的诱饵。 Bleeping Computer 的安全专家表示,”我们认为勒索软件只是达到该恶意软件真正目的的诱饵”。
据认为,恶意软件首先会从您的计算机中窃取文件,然后再开始加密您的系统。勒索软件的需求似乎更多是事后才想到的。事实上,要求用户支付 50 美元的比特币意味着无法证明您支付的比特币是匿名的。也没有与勒索者联络的电子邮件地址。
显然,恶意软件中隐藏的一些Python脚本会搜索Word、Pages、SSL证书等文件,然后将它们复制到远程服务器。搜索到的数据扩展列表包括文本文件、图像、Word 文档、SSL 证书、代码签名证书、源代码、项目、备份、电子表格、演示文稿、数据库和加密货币钱包,包括:
.pdf、.doc、.jpg、.txt、.pages、.pem、.cer、.crt、.php、.py、.h、.m、.hpp、.cpp、.cs、.pl 、.p、.p3、.html、.webarchive、.zip、.xsl、.xslx、.docx、.ppt、.pptx、.keynote、.js、.sqlite3、.wallet、.dat
做什么
显然,保护自己免受此恶意软件和其他恶意软件侵害的最佳方法是仅从合法来源下载软件。最好只从 Mac App Store 下载。如果失败,请验证该网站是否是开发商的网站。幸运的是,苹果公司内置了许多措施,使安装非认可开发人员的软件变得困难,但绕过这些措施是可能的(已知恶意软件会引导人们采取必要的步骤)。
Bleeping Computer 建议您安装 Wardle 的免费版 RansomWhere 实用程序,用于检测 ThiefQuest。
我们提供了如果您在此处遇到勒索软件攻击该怎么办。
如果您正在寻找 AV 购买建议,请阅读我们的最佳 Mac 防病毒软件综述 和 Mac 会感染病毒吗?;一般建议可以在我们的 Mac 安全提示;那些认为自己受到病毒攻击的人应该尝试 如何删除 Mac 病毒。我们还有一个完整的Mac 病毒列表.
本文的部分内容翻译自Macworld 瑞典 和 Macwelt 作者:Karen Haslam。