Thiefquest Mac Ransomware i deszyfrowanie

Thiefquest to nazwa odmiany oprogramowania ransomware, które pojawiło się w 2020 roku. Początkowo uważano, że złośliwe oprogramowanie było oprogramowaniem ransomware, ponieważ wyświetlało ostrzeżenie i upuszczało żądanie okupu. Jednak dokładniejsza analiza ujawniła, że złośliwe oprogramowanie nie jest dokładnie oprogramowaniem ransomware, ale raczej wycieraczką.

Mimo że Thiefquest wyświetli komunikat ostrzegawczy zarówno w systemie Windows, jak i Mac i upuści na pulpicie żądanie okupu o nazwie READ_ME_NOW.txt, a w żądaniu okupu pojawi się ciąg portfela bitcoin, badacze bezpieczeństwa ujawnili, że te pieniądze były bardziej podobne do darowizna dla złych aktorów obsługujących złośliwe oprogramowanie.

Analiza wykazała, że Thiefquest nie miał odpowiedniej infrastruktury i solidnych identyfikatorów, których mógł użyć, aby kiedykolwiek zidentyfikować, która ofiara dokonała płatności.

Naukowcy uważają, że żądanie okupu działa bardziej jak zasłona dymna, maskując prawdziwy cel złośliwego oprogramowania - eksfiltrację danych i kradzież.

W przypadku systemów MacOS Thiefquest jest rozpowszechniany w fałszywych instalatorach aplikacji obciążonych złośliwym oprogramowaniem, udających popularne aplikacje, takie jak Ableton Live i Mixed In Key - co ciekawe, obie aplikacje są przeznaczone dla osób pracujących przy produkcji muzycznej.

Po wdrożeniu na komputerze ofiary, Thiefquest zaczynał szyfrować pliki i na koniec wyświetlał wyskakujące okienko z komunikatem i nazwą okupu, a także żądaniem zapłaty 50 dolarów.

W obecnym krajobrazie złośliwego oprogramowania, w którym cyberprzestępcy atakują wielomilionowe korporacje i podmioty, żądania okupu w wysokości 50 dolarów wydają się śmieszne, ale oprogramowanie ransomware, takie jak Thiefquest, nie jest narzędziem do ataków ukierunkowanych. Podczas gdy większość współczesnych operatorów ransomware dokładnie bada swoje cele i przeprowadza precyzyjne ataki, oprogramowanie ransomware, takie jak Thiefquest, jest rozpowszechniane za pośrednictwem złośliwych kampanii spamowych lub złośliwych plików do pobrania hostowanych online.

Dodatkowe badania wykazały, że kod Thiefquest nie zawiera żadnych odwołań do procedury deszyfrowania, więc praktycznie nie ma sposobu, aby przywrócić zaszyfrowane pliki, wysyłając pieniądze do operatorów oprogramowania ransomware.

Ciekawą cechą Thiefquest jest to, że w rzeczywistości wyszukuje pliki wykonywalne i dołącza do nich złośliwy kod, nadając mu zachowanie podobne do wirusa i czyniąc go jednym z nielicznych szczepów złośliwego oprogramowania podobnego do wirusów, które mają wpływ na systemy MacOS.

Dla użytkowników komputerów Mac dostępne jest bezpłatne narzędzie do odszyfrowywania Thiefquest opublikowane online. Narzędzie zostało opracowane przez firmę zajmującą się cyberbezpieczeństwem SentinelOne i polegało na znalezieniu funkcji deszyfrującej w kodzie złośliwego oprogramowania. Możesz pobrać to narzędzie bezpłatnie online i użyć go do odszyfrowania systemu, na który wpłynęło złośliwe oprogramowanie Thiefquest.