Les utilisateurs de MacOS sont avertis de surveiller la sécurité de leur appareil après la découverte d'une nouvelle forme de ransomware potentiellement extrêmement dommageable.
Connu sous le nom de ThiefQuest, le malware cible les appareils macOS tels que les MacBook, chiffrant l'ensemble du système et volant des données précieuses sur l'appareil.
Si une rançon n'est pas payée pour libérer les fichiers, ThiefQuest est programmé pour effacer complètement l'appareil de la victime, en supprimant tous les éléments qu'il contient – cependant il peut y avoir un moyen de l'arrêter définitivement.
Sommaire
Logiciel malveillant MacOS
ThiefQuest a été détecté pour la première fois par des chercheurs d'une entreprise de sécurité SentinelOne, qui a pu mener une enquête complète sur le malware.
La société a d'abord cru que le malware manquait d'une certaine finesse lors de l'enquête sur le message de rançon alertant les victimes de ThiefQuest de leur sort.
Comme d'habitude avec de telles alertes, il ordonne aux victimes de payer 50 $ dans les 72 heures si elles souhaitent que leurs fichiers soient retournés – cependant, il a négligé de fournir un e-mail de contact pour obtenir des informations sur le décryptage une fois celui-ci payé, seul un lien vers un fichier Lisez-moi contenant des détails sur un portefeuille Bitcoin pour envoyer les fonds de la rançon.
Les recherches de SentinelOne ont révélé que ThiefQuest (initialement connu sous le nom d'EvilQuest) utilisait une routine de cryptage personnalisée, et que son code suggérait qu'elle n'était pas liée aux méthodes de cryptage à clé publique couramment utilisées pour de telles attaques.
Les chercheurs ont découvert que ThiefQuest cherchait plutôt dans le dossier / Users du système pour essayer de voler des fichiers, avec des éléments .doc, .pdf et .jpg tous ciblés entre autres. Cependant, une fois trouvés, ces fichiers ont été chiffrés par une fonction qui utilisait un simple outil d'encodage qui, lors de la création d'un fichier chiffré, ajoutait simplement un bloc de données supplémentaire contenant la clé de chiffrement / déchiffrement et la clé qui l'encode.
Les attaquants ont également échoué à supprimer la fonction responsable du travail de décryptage, ce qui signifie que récupérer le fichier d'origine était incroyablement simple, et permettre à SentinelOne de créer et de publier un décrypteur, qui peut être téléchargé gratuitement maintenant.
Via BleepingComputer