近日，安全專家K7 Lab惡意軟件研究員Dinesh Devadoss發(fā)現(xiàn)了一種名為ThiefQuest(最初以EvilQuest的名稱標(biāo)識(shí))的新勒索軟件，旨在對(duì)macOS系統(tǒng)進(jìn)行加密，并能夠安裝其他有效負(fù)載，甚至可能接管被感染的計(jì)算機(jī)。

好在網(wǎng)絡(luò)安全公司SentinelOne發(fā)布了一個(gè)免費(fèi)的解密器應(yīng)用程序，可以幫助ThiefQuest勒索軟件的受害者恢復(fù)其加密文件。

與其他MacOSx威脅不同，EvilQuest還安裝了鍵盤記錄程序，反向外殼并從受感染的主機(jī)上竊取了加密貨幣錢包。

研究專家表示，自6月以來(lái)，EvilQuest勒索軟件已經(jīng)在野外分發(fā)。

攻擊者們開始通過(guò)torrent門戶網(wǎng)站和在線論壇上被污染的盜版macOS軟件分發(fā)勒索軟件，一旦對(duì)受感染主機(jī)上的文件進(jìn)行加密后，將會(huì)向受害者顯示一個(gè)彈出窗口，告知其文件已被加密。

受害者將被指示打開放置在其桌面上的贖金票據(jù)，其中包含有關(guān)支付勒索軟件的說(shuō)明，勒索軟件當(dāng)前針對(duì)以下文件擴(kuò)展名：

MalwareBytes的研究人員注意到，惡意軟件還會(huì)試圖修改GoogleSoftwareUpdate中的一些特定文件，并試圖利用它們來(lái)實(shí)現(xiàn)對(duì)受感染主機(jī)的持久入侵。

帕特里克·沃德(Patrick Wardle)發(fā)現(xiàn)了一些惡意軟件樣本被隱藏在流行的DJ軟件Mixed In Key的盜版中，里德(Reed)甚至在macOS安全工具Little Snitch中也發(fā)現(xiàn)了該惡意軟件。

于是，安全公司SentinelOne的研究人員分析了勒索軟件的源代碼，并能夠?qū)用軝C(jī)制進(jìn)行逆向工程，他們還發(fā)布了免費(fèi)的解密器軟件，可使TiefQuest勒索軟件的受害者恢復(fù)其加密文件。

研究人員說(shuō)“自定義加密程序是一件特別有趣的事情，雖然ThiefQuest一旦感染macOS系統(tǒng)就會(huì)對(duì)文件進(jìn)行加密，但該惡意軟件沒有跟蹤支付贖金要求的用戶的機(jī)制，它也沒有提供一種聯(lián)系方式，這樣用戶就可以聯(lián)系ThiefQuest團(tuán)隊(duì)，了解他們的支付細(xì)節(jié)，并獲得如何解鎖文件的指示。

GitHub上有一個(gè)加密文件的解密程序。它是一個(gè)命令行工具，所以如果您已經(jīng)對(duì)文件進(jìn)行了加密，那么您需要從終端運(yùn)行解密程序。SentinelOne安全公司已經(jīng)發(fā)布了ThiefQuest解密器二進(jìn)制文件，并計(jì)劃將其代碼作為開源發(fā)布，該公司還上傳了一個(gè)視頻演示教程，可以幫助人們更好的使用解密器。