Программа-вымогатель и расшифровка Thiefquest Mac

Thiefquest - это разновидность программ-вымогателей, которые стали популярны еще в 2020 году. Изначально предполагалось, что вредоносное ПО является вымогателем, так как оно отображало предупреждающее сообщение и оставляло записку о выкупе. Однако более тщательный анализ показал, что вредоносная программа - это не совсем программа-вымогатель, а скорее средство защиты.

Несмотря на то, что Thiefquest отображал предупреждающее сообщение как в Windows, так и в Mac, и оставлял записку о выкупе под названием READ_ME_NOW.txt на рабочем столе, а в записке о выкупе была строка биткойн-кошелька, исследователи безопасности обнаружили, что эти деньги были больше похожи на пожертвование злоумышленникам, эксплуатирующим вредоносное ПО.

Анализ показал, что у Thiefquest не было надлежащей инфраструктуры и надежных идентификаторов, по которым он мог бы когда-либо определить, какая жертва произвела платеж.

Исследователи полагают, что записка с требованием выкупа больше похожа на дымовую завесу, чтобы замаскировать настоящую цель вредоносного ПО - кражу и кражу данных.

Для систем MacOS Thiefquest распространяется в поддельных установщиках приложений, загруженных вредоносными программами, которые притворяются популярными приложениями, такими как Ableton Live и Mixed In Key - любопытно, что оба приложения предназначены для людей, работающих в производстве музыки.

После развертывания на компьютере жертвы Thiefquest начинал шифрование файлов и, наконец, отображал всплывающее окно со своим сообщением и названием своей записки с требованием выкупа, а также требованием оплаты в размере 50 долларов.

В нынешнем ландшафте вредоносных программ, где злоумышленники нацелены на многомиллионные корпорации и организации, требования выкупа в размере 50 долларов кажутся смешными, но такие программы-вымогатели, как Thiefquest, не являются инструментом целевой атаки. В то время как большинство современных операторов программ-вымогателей тщательно исследуют свои цели и выполняют высокоточные атаки, такие программы-вымогатели, как Thiefquest, распространяются через вредоносные спам-кампании или вредоносные загрузки, размещенные в Интернете.

Дополнительное исследование показало, что код Thiefquest не содержит вызовов процедуры дешифрования, поэтому практически невозможно восстановить зашифрованные файлы, отправив деньги операторам программ-вымогателей.

Любопытной особенностью Thiefquest является то, что он фактически ищет исполняемые файлы и добавляет к ним вредоносный код, придавая ему поведение, подобное вирусу, и делая его одним из очень немногих штаммов вредоносных программ, подобных вирусам, которые влияют на системы MacOS.

Для пользователей Mac существует бесплатный инструмент дешифрования Thiefquest, опубликованный в Интернете. Инструмент был разработан компанией SentinelOne, занимающейся кибербезопасностью, и основывался на обнаружении функции дешифрования внутри кода вредоносной программы. Вы можете бесплатно загрузить инструмент в Интернете и использовать его для расшифровки системы, пораженной вредоносным ПО Thiefquest.