Thiefquest Mac Ransomware And Decryption
Thiefquest är namnet på en stam av ransomware som gjorde omgångarna tillbaka 2020. Malware trodde sig ursprungligen vara ransomware, eftersom det skulle visa ett varningsmeddelande och släppa en lösensedel. En närmare analys visade dock att skadlig programvara inte exakt är en ransomware utan snarare en torkare.
Även om Thiefquest skulle visa ett varningsmeddelande på både Windows- och Mac-system och släppa en lösensedel som heter READ_ME_NOW.txt på skrivbordet, och det skulle finnas en bitcoin-plånboksträng i lösensedeln, avslöjade säkerhetsforskare att dessa pengar var mer som en donation till de dåliga aktörerna som driver skadlig programvara.
Analys visade att Thiefquest inte hade någon korrekt infrastruktur och solida identifierare, som de kunde använda för att någonsin identifiera vilket offer som gjorde betalningen.
Forskare tror att lösensedeln fungerar mer som en rökskärm för att maskera det verkliga syftet med skadlig programvara - dataexfiltrering och stöld.
För MacOS-system distribueras Thiefquest i falska malware-laddade appinstallatörer, som låtsas vara populära appar som Ableton Live och Mixed In Key - märkligt nog båda applikationerna inriktade på människor som arbetar med musikproduktion.
När Thiefquest väl hade distribuerats på offrets dator, började Thiefquest att kryptera filer och slutligen visa ett popup-fönster med sitt meddelande och namnet på dess lösenbrev, samt kravet på betalning på $ 50 dollar.
I det nuvarande malware-landskapet, där hotaktörer riktar sig till företag och enheter med flera miljoner dollar, verkar lösenkrav på $ 50 skrattretande, men ransomware som Thiefquest är inte ett riktat attackverktyg. Medan de flesta moderna ransomware-operatörer noggrant undersöker sina mål och utför precisionsattacker, distribueras ransomware som Thiefquest via skadliga skräppostkampanjer eller skadliga nedladdningar värd online.
Ytterligare forskning visade att Thiefquests kod inte innehåller några samtal till dekrypteringsrutinen, så det finns praktiskt taget inget sätt att återställa krypterade filer genom att skicka pengar till ransomware-operatörerna.
En nyfiken egenskap hos Thiefquest är att den faktiskt kommer att söka efter körbara filer och lägga till skadlig kod till dem, vilket ger den ett virusliknande beteende och gör den till en av de få virusliknande skadestammarna som påverkar MacOS-system.
För Mac-användare finns det ett gratis dekrypteringsverktyg för Thiefquest publicerat online. Verktyget utvecklades av cybersäkerhetsföretaget SentinelOne och baserades på att hitta en dekrypteringsfunktion inuti skadlig kod. Du kan ladda ner verktyget gratis online och använda det för att dekryptera ett system som har påverkats av Thiefquest-skadlig programvara.
