В конце июня 2020 года ИБ-специалисты обнаружили новое вымогательское ПО ThiefQuest, нацеленное на устройства под управлением macOS. ThiefQuest представляет собой не просто шифровальщик: малварь также устанавливает на зараженные машины кейлоггер и реверс шелл для полного контроля над скомпрометированными хостами.

Изначально угрозе присвоили название EvilQuest, но позже малварь переименовали в ThiefQuest. Это решение было принято, чтобы избежать возможной путаницы, так как уже после публикации отчетов выяснилось, что существует серия игр под названием EvilQuest.

Специалисты писали, что шифровальщик распространяется с пиратским софтом, например, ThiefQuest был найден в программном пакете Google Software Update, в пиратской версии популярного диджейского ПО Mixed In Key и защитном инструменте macOS Little Snitch.

При этом было замечено, что малварь использует один и тот же статический биткоин-адрес для всех жертв, а записка с требованием выкупа не содержит адреса электронной почты или других контактов для связи.

По сути, злоумышленники не могут как-либо идентифицировать жертв, которые заплатили выкуп, и пострадавшие не могут связаться с операторами малвари для расшифровки данных. Из-за этого основатель Bleeping Computer Лоуренс Абрамс предположил, что  ThiefQuest — это не обычный вымогатель, а вайпер (wiper, от английского to wipe — «стирать»), то есть деструктивная малварь, которая попросту уничтожает файлы. Абрамс убежден, что вымогатель — лишь прикрытие для истинных целей преступников, а именно поиска и кражи файлов определенных типов.

Другая теория гласит, что пока малварь находится на ранней стадии разработки, и не все ее функции пока работают должным образом.

ThiefQuest – всего третий известный ИБ-экспертам работающий вымогатель для macOS. До него, в 2016-2017 годах,­ специалисты обнаруживали лишь две угрозы такого рода — KeRanger и Patcher. Также в далеком 2014 году специалисты «Лаборатории Касперского» сообщали о вредоносе FileCoder, однако тот не функционировал должным образом. Похожий случай был и в 2015 году, когда бразильский исследователь создал proof-of-concept малвари для macOS под названием Mabouia, которая работала, однако так и не стала достоянием широкой публики.

Из-за описанных выше особенностей ThiefQuest пострадавшие, по сути, лишались доступа к своим данным окончательно, и ИБ-специалисты активно работали над взломом вредоноса, обещая попытаться создать бесплатный инструмент для расшифровки файлов.

На этой неделе эксперты SentinelOne сообщили, что анализ исходного кода вымогателя, а также изучение различий между зашифрованными файлами и их оригинальными версиями, помогло разобраться в механизме шифрования ThiefQuest. Исследователи установили, что ThiefQuest использует простую систему шифрования с симметричным ключом на основе алгоритма RC2 и ­ хранит ключ шифрования/дешифрования внутри каждого заблокированного файла.­

В итоге инженеры SentinelOne смогли создать бесплатный расшифровщик, который извлекает вышеупомянутый ключ и разблокирует файлы жертв. В настоящее время дешифровщик представлен в виде бинарника, но компания заявила, что в будущем планирует открыть его код.

Скачать бесплатный дешифровщик для ThiefQuest можно здесь. Видео-инструкция о том, как использовать инструмент, доступна здесь.

Стоит отметить, что новый отчет компании Malwarebytes, также опубликованный на этой неделе, гласит, что помимо шифрования файлов, ThiefQuest заражает локальные файлы и демонстрирует вирусоподобное поведение. Поэтому помимо расшифровки файлов может потребоваться дополнительная очистка системы для предотвращения повторного заражения.

Оставить мнение