Thiefquest Mac Ransomware og dekryptering

Thiefquest er navnet på en stamme af ransomware, der gjorde runder tilbage i 2020. Malware blev oprindeligt anset for at være ransomware, da det ville vise en advarselsmeddelelse og slippe en løsesumnote. En nærmere analyse afslørede imidlertid, at malware ikke ligefrem er en ransomware, men snarere en visker.

Selvom Thiefquest ville vise en advarselsmeddelelse på både Windows- og Mac-systemer og slippe en løsesumnote kaldet READ_ME_NOW.txt på skrivebordet, og der ville være en bitcoin-tegnebogstreng i løsesumnoten, afslørede sikkerhedsforskere, at disse penge var mere som en donation til de dårlige skuespillere, der driver malware.

Analyse viste, at Thiefquest ikke havde nogen ordentlig infrastruktur og solide identifikatorer, som den kunne bruge til nogensinde at identificere, hvilket offer der betalte.

Forskere mener, at løsepenge noten fungerer mere som en røgskærm for at skjule det virkelige formål med malware - dataeksfiltrering og tyveri.

For MacOS-systemer distribueres Thiefquest i falske malware-ladede appinstallatører, der foregiver at være populære apps som Ableton Live og Mixed In Key - underligt nok begge applikationer rettet mod folk, der arbejder med musikproduktion.

Når Thiefquest blev distribueret på offerets computer, begyndte hun at kryptere filer og endelig vise et pop op-vindue med sin besked og navnet på dens løsesum, samt kravet om betaling på $ 50 dollars.

I det nuværende malware-landskab, hvor trusselaktører er rettet mod virksomheder og enheder med flere millioner dollars, synes løsesumskrav på $ 50 latterligt, men ransomware som Thiefquest er ikke et målrettet angrebsværktøj. Mens de fleste moderne ransomware-operatører omhyggeligt undersøger deres mål og udfører præcisionsangreb, distribueres ransomware såsom Thiefquest gennem ondsindede spam-kampagner eller ondsindede downloads hostet online.

Yderligere undersøgelser viste, at Thiefquests kode ikke indeholder nogen opkald til dens dekrypteringsrutine, så der er næsten ingen måde at gendanne krypterede filer ved at sende penge til ransomware-operatørerne.

Et nysgerrigt træk ved Thiefquest er, at det rent faktisk søger eksekverbare filer og tilføjer ondsindet kode til dem, hvilket giver det en viruslignende adfærd og gør det til en af de meget få viruslignende malware-stammer, der påvirker MacOS-systemer.

For Mac-brugere er der et gratis dekrypteringsværktøj til Thiefquest offentliggjort online. Værktøjet blev udviklet af cybersikkerhedsfirmaet SentinelOne og var baseret på at finde en dekrypteringsfunktion inde i malware-koden. Du kan downloade værktøjet gratis online og bruge det til at dekryptere et system, der er blevet påvirket af Thiefquest-malware.