Ažurirano 8. srpnja dostupnošću ransomware dekriptora, plus novi dokazi o stvarnim namjerama ransomware-a. Ova je priča prvotno objavljena 1. srpnja 2020.

Nekoliko istraživača sigurnosti upozorava na novu vrstu Mac ransomwarea koji se ne naplaćuje puno, ali također može potajno pljačkati datoteke od nesumnjivih korisnika.

Ransomware EvilQuest, otkrio K7 Lab’s Dinesh Devadoss u ponedjeljak (29. srpnja), a nakon toga ga je, među ostalim, ispitala tvrtka za kibernetsku sigurnost, Malwarebytes, čini se da kruži torrent forumima na kojima se često nalazi piratski softver. (Nije jasno tko je smislio ime EvilQuest.)

  • The najbolji antivirus aplikacije za zaštitu svih vaših uređaja
  • Najbolji VPN: dodajte dodatni nivo sigurnosti s virtualnom privatnom mrežom
  • Upravo u: Lažne poštanske aplikacije pokušavaju vam ukrasti novac

"Post je ponudio preuzimanje bujice za Little Snitch, a ubrzo je uslijedio niz komentara da je preuzimanje uključivalo zlonamjerni softver", objasnio je Thomas Reed iz Malwarebytesa u blogu jučer (30. lipnja). "Zapravo smo otkrili da ne samo da se radi o zlonamjernom softveru, već i o novoj Mac ransomware varijanti koja se širi piratstvom."

Prevara žrtve

Verzija EvilQuesta koju je Reed vidio zamaskirala se kao legitimni program za instaliranje bujica za Little Snitch, aplikaciju koja pruža mogućnosti mrežnog nadzora za MacOS.

Reed je rekao da je, iako je LittleSnitch obično bio "atraktivno i profesionalno upakiran", ova verzija umjesto toga "jednostavni Appleov instalacijski paket s generičkom ikonom".

Međutim, sadržavao je radnu instalaciju LittleSnitch, upakiranu zajedno sa skriptom ljuske koja učitava i izvršava zlonamjerni softver EvilQuest.

EvilQuest je također pronađen u programima za instaliranje drugih aplikacija. Devadoss je to zamaskirao kao Google Software Update, dok je Mac istraživač sigurnosti Patrick Wardle pronašao u DJ aplikaciji Mixed in Key. Reed je i sam primijetio da jedna verzija oponaša softver za stvaranje glazbe Ableton Live.

  • Više: Jeste li sigurni da je vaš Apple uređaj siguran? Pogledajte što Mac VPN ponude

Mogućnosti otklanjanja pogrešaka 

Čim se instalacijski program preuzme i izvrši, zlonamjerni softver počinje zaražavati žrtvin uređaj. Kao i mnogi nedavni sojevi zlonamjernog softvera, EvilQuest čak može otkriti radi li na virtualnom uređaju ili rade li alati za uklanjanje pogrešaka.

Zlonamjerni softver također može otkriti koristi li zaraženi uređaj programe protiv zlonamjernog softvera tvrtki poput Kaspersky i sigurnosne aplikacije poput Little Snitch, prema izvještaj tvrtke Bleeping Computer.

Reed je upozorio: "Jednom kada je instalacijski program pokrenuo infekciju, zlonamjerni softver počeo se prilično široko širiti oko tvrdog diska."

Dalje, zlonamjerni softver saznat će detalje o poslužitelju za naredbe i kontrolu putem http://andrewka6.pythonanywhere[.]com/ret.txt tako da može preuzeti i šifrirati datoteke sa zaraženog uređaja.

Naknada za otkup bitcoina

Da bi povratili pristup šifriranim datotekama, žrtve se moraju platiti otkupninom od 50 dolara u bitcoinima - sitnica u usporedbi s velikim iznosima koje prevaranti često traže - i imaju vremenski okvir od 72 sati. Nažalost, ne postoji način da kontaktirate prevarante nakon što otkupnina bude plaćena kako bi se vaše datoteke oslobodile.

Lawrence Abrams, igrač Bleeping Computer, smatra da je dio ransomwarea - koji "nije dobro funkcionirao", prema navodima Malwarebytes-ovog Reeda - možda samo varka.

Abrams je uronio u kod i otkrio da EvilQuest pljačka mapu Users na Macu tražeći za slike, PDF-ove, sigurnosne kopije datoteka, baza podataka, novčanika kriptovaluta i Word, Excel i PowerPoint datoteke. Zlonamjerni softver zatim izvozi kopije tih datoteka, sve dok su manje od 800 KB, na svoj poslužitelj za upravljanje i upravljanje.

Da biste izbjegli zarazu EvilQuestom ili bilo kojim drugim Mac zlonamjernim softverom, pokrenite jedan od najbolji Mac antivirus programa. Vjerojatno ne bi škodilo instalirati i Wardleov OtkupninaGdje uslužni program, koji je besplatan (iako Wardle prihvaća donacije).

Reed je preporučio sigurnosno kopiranje datoteka kako bi imali pri ruci rezervne dijelove u slučaju da ransomware napadne.

"Najbolji način za izbjegavanje posljedica ransomwarea je održavanje dobrih sigurnosnih kopija", napisao je u postu na blogu Malwarebytes. "Držite najmanje dvije sigurnosne kopije svih važnih podataka, a najmanje jedna ne smije biti stalno pričvršćena na vaš Mac. (Ransomware može pokušati šifrirati ili oštetiti sigurnosne kopije na povezanim pogonima.) "

“Osobno imam više tvrdih diskova za sigurnosne kopije. Koristim Time Machine za održavanje para, a Carbon Copy Cloner za održavanje još par. Jedna od sigurnosnih kopija uvijek je u sefu u banci, a ja je povremeno mijenjam, tako da u najgorem slučaju uvijek imam relativno nedavne podatke pohranjene na sigurnom mjestu.

Zaštitarska firma SentinelOne je stvorio alat za dešifriranje za Mac računare napadnute ransomwareom EvilQuest, koji su mnogi istraživači i organizacije sada preimenovali u "ThiefQuest", jer je već bilo internetska igra pod nazivom EvilQuest (što izgleda prilično zabavno).

U međuvremenu, Thomas Reed iz Malwarebytesa sada se slaže s procjenom Bleeping Computera da je EvilQuest / ThiefQuest zapravo krađa informacija koji se maskira kao ransomware kako bi prikrio svoje istinske namjere.

Reed je primijetio da se čini da zlonamjerni softver ima karakteristike "brisača" koji briše dijelove ili sav tvrdi disk kako bi prikrio tragove. Također je citirao kolegu istraživača Patrick Wardle napominjući da EvilQuest / ThiefQuest također nalikuje pravom virusu jer mijenja kôd legitimnih aplikacija kako bi se širio.

Pravi virus je "nešto što na Macu nije viđeno od promjene sa Sustava 9 na Mac OS X 10.0", napisao je Reed u blogu 7. srpnja.

  • Prodaja od 4. srpnja: Najbolje ponude trenutno

Dobijte trenutni pristup najnovijim vijestima, najzanimljivijim recenzijama, sjajnim ponudama i korisnim savjetima.

Zahvaljujemo što ste se prijavili za Tomov vodič. Uskoro ćete primiti e-poruku za potvrdu.

Došlo je do problema. Osvježite stranicu i pokušajte ponovo.

Bez neželjene pošte, obećavamo. U bilo kojem trenutku možete otkazati pretplatu i nikada nećemo dijeliti vaše podatke bez vašeg dopuštenja.