Thiefquest Mac Ransomware And Decryption

Thiefquest er navnet på en stamme av ransomware som kom rundt i 2020. Malware ble opprinnelig antatt å være ransomware, da det ville vise en advarsel og slippe en løsepengernotat. En nærmere analyse avslørte imidlertid at skadelig programvare ikke akkurat er en ransomware, men heller en visker.

Selv om Thiefquest ville vise en advarsel på både Windows- og Mac-systemer, og slippe en løsepenger som heter READ_ME_NOW.txt på skrivebordet, og det ville være en bitcoin lommebokstreng i løsepenger, avslørte sikkerhetsforskere at disse pengene var mer som en donasjon til de dårlige skuespillerne som driver skadelig programvare.

Analyser viste at Thiefquest ikke hadde noen skikkelig infrastruktur og solide identifikatorer, som den kunne bruke til å identifisere hvilket offer som betalte.

Forskere mener at løsepenger noterer seg mer som en røykskjerm for å skjule det virkelige formålet med skadelig programvare - dataeksfiltrering og tyveri.

For MacOS-systemer distribueres Thiefquest i falske programvare-lastede appinstallatører, og later som om de er populære apper som Ableton Live og Mixed In Key - merkelig nok begge applikasjonene rettet mot folk som jobber med musikkproduksjon.

Når Thiefquest ble distribuert på offerets datamaskin, begynte hun å kryptere filer og til slutt vise et popup-vindu med meldingen og navnet på løsepenger, samt kravet om betaling på $ 50 dollar.

I det nåværende malware-landskapet, der trusselaktører retter seg mot selskaper og enheter på flere millioner dollar, virker løsepenger på $ 50 latterlige, men løsepenger som Thiefquest er ikke et målrettet angrepsverktøy. Mens de fleste moderne ransomware-operatører nøye undersøker målene sine og utfører presisjonsangrep, distribueres ransomware som Thiefquest gjennom ondsinnede spam-kampanjer eller ondsinnede nedlastinger som er vert online.

Ytterligere undersøkelser viste at Thiefquests kode ikke inneholder noen anrop til dekrypteringsrutinen, så det er praktisk talt ingen måte å gjenopprette krypterte filer ved å sende penger til ransomware-operatørene.

Et nysgjerrig trekk ved Thiefquest er at det faktisk vil oppsøke kjørbare filer og legge til skadelig kode til dem, noe som gir den en viruslignende oppførsel og gjør den til en av de svært få viruslignende skadelige stammene som påvirker MacOS-systemer.

For Mac-brukere er det et gratis dekrypteringsverktøy for Thiefquest publisert online. Verktøyet ble utviklet av cybersecurity-selskapet SentinelOne og var basert på å finne en dekrypteringsfunksjon i malware-koden. Du kan laste ned verktøyet gratis online og bruke det til å dekryptere et system som har blitt berørt av Thiefquest-skadelig programvare.