Thiefquest Mac Ransomware And Decryption

Thiefquest é o nome de uma variedade de ransomware que circulou por volta de 2020. O malware foi inicialmente pensado para ser ransomware, pois exibia uma mensagem de aviso e deixava uma nota de resgate. No entanto, uma análise mais detalhada revelou que o malware não é exatamente um ransomware, mas sim um limpador.

Mesmo que o Thiefquest exibisse uma mensagem de aviso nos sistemas Windows e Mac, e deixasse uma nota de resgate chamada READ_ME_NOW.txt na área de trabalho e houvesse uma string de carteira de bitcoin na nota de resgate, os pesquisadores de segurança revelaram que esse dinheiro era mais parecido com uma doação para os malfeitores que operam o malware.

A análise mostrou que o Thiefquest não tinha infraestrutura adequada e identificadores sólidos, que pudesse usar para identificar qual vítima fez o pagamento.

Os pesquisadores acreditam que a nota de resgate atua mais como uma cortina de fumaça, para mascarar o real propósito do malware - exfiltração e roubo de dados.

Para sistemas MacOS, o Thiefquest é distribuído em falsos instaladores de aplicativos carregados de malware, fingindo ser aplicativos populares como Ableton Live e Mixed In Key - curiosamente, ambos aplicativos voltados para pessoas que trabalham na produção musical.

Uma vez implantado no computador da vítima, o Thiefquest começava a criptografar arquivos e, finalmente, exibia uma janela pop-up com sua mensagem e o nome de sua nota de resgate, bem como a solicitação de pagamento de $ 50 dólares.

No cenário atual de malware, onde os agentes de ameaças visam corporações e entidades multimilionárias, pedidos de resgate de US $ 50 parecem risíveis, mas ransomware como o Thiefquest não é uma ferramenta de ataque direcionado. Enquanto a maioria dos operadores de ransomware modernos pesquisam cuidadosamente seus alvos e executam ataques de precisão, ransomware como o Thiefquest é distribuído através de campanhas de spam maliciosas ou downloads maliciosos hospedados online.

Pesquisas adicionais mostraram que o código do Thiefquest não contém nenhuma chamada para sua rotina de descriptografia, portanto, não há virtualmente nenhuma maneira de restaurar arquivos criptografados enviando dinheiro para os operadores de ransomware.

Uma característica curiosa do Thiefquest é que ele irá realmente procurar arquivos executáveis e anexar código malicioso a eles, dando a ele um comportamento semelhante ao de um vírus e tornando-o uma das poucas cepas de malware semelhante a vírus que afetam os sistemas MacOS.

Para usuários de Mac, existe uma ferramenta de descriptografia gratuita para Thiefquest publicada online. A ferramenta foi desenvolvida pela empresa de segurança cibernética SentinelOne e foi baseada na descoberta de uma função de descriptografia dentro do código do malware. Você pode baixar a ferramenta gratuitamente online e usá-la para descriptografar um sistema que foi afetado pelo malware Thiefquest.