freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

SentinelOne发布ThiefQuest勒索软件的解密器
2020-07-09 17:54:53

近日,安全专家K7 Lab恶意软件研究员Dinesh Devadoss发现了一种名为ThiefQuest(最初以EvilQuest的名称标识)的新勒索软件,旨在对macOS系统进行加密,并能够安装其他有效负载,甚至可能接管被感染的计算机。

好在网络安全公司SentinelOne发布了一个免费的解密器应用程序,可以帮助ThiefQuest勒索软件的受害者恢复其加密文件。

与其他MacOSx威胁不同,EvilQuest还安装了键盘记录程序,反向外壳并从受感染的主机上窃取了加密货币钱包。

研究专家表示,自6月以来,EvilQuest勒索软件已经在野外分发。

攻击者们开始通过torrent门户网站和在线论坛上被污染的盗版macOS软件分发勒索软件,一旦对受感染主机上的文件进行加密后,将会向受害者显示一个弹出窗口,告知其文件已被加密。

受害者将被指示打开放置在其桌面上的赎金票据,其中包含有关支付勒索软件的说明,勒索软件当前针对以下文件扩展名:

.pdf、.doc、.jpg、.txt、.pages、.pem、.cer、.crt、.php、.py、.h、.m、.hpp、.cpp、.cs、.pl、.p、.p3、.html、.webarchive、.zip、.xsl、.docx、.ppt、.pptx、.keynote、.js、.sqlite3、.wallet、.dat

MalwareBytes的研究人员注意到,恶意软件还会试图修改GoogleSoftwareUpdate中的一些特定文件,并试图利用它们来实现对受感染主机的持久入侵。

帕特里克·沃德(Patrick Wardle)发现了一些恶意软件样本被隐藏在流行的DJ软件Mixed In Key的盗版中,里德(Reed)甚至在macOS安全工具Little Snitch中也发现了该恶意软件。

于是,安全公司SentinelOne的研究人员分析了勒索软件的源代码,并能够对加密机制进行逆向工程,他们还发布了免费的解密器软件,可使TiefQuest勒索软件的受害者恢复其加密文件。

研究人员说“自定义加密程序是一件特别有趣的事情,虽然ThiefQuest一旦感染macOS系统就会对文件进行加密,但该恶意软件没有跟踪支付赎金要求的用户的机制,它也没有提供一种联系方式,这样用户就可以联系ThiefQuest团队,了解他们的支付细节,并获得如何解锁文件的指示。

GitHub上有一个加密文件的解密程序。它是一个命令行工具,所以如果您已经对文件进行了加密,那么您需要从终端运行解密程序。SentinelOne安全公司已经发布了ThiefQuest解密器二进制文件,并计划将其代码作为开源发布,该公司还上传了一个视频演示教程,可以帮助人们更好的使用解密器。

参考来源

securityaffairs

# macOS # 解密器 # 加密文件
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者