БезопасностьНовости

Программа-вымогатель Mac EvilQuest может украсть ваши данные — что делать [обновлено]

Обновлено 8 июля: доступен расшифровщик программ-вымогателей, а также новые доказательства истинных намерений программ-вымогателей. Эта история была первоначально опубликована 1 июля 2020 года.

Несколько исследователей безопасности предупреждают о новом типе программ-вымогателей для Mac, которые не требуют больших затрат, но также могут тайно воровать файлы у ничего не подозревающих пользователей.

Программа-вымогатель EvilQuest, обнаруженная Динешем Девадоссом из K7 Lab в понедельник (29 июля) и впоследствии изученная фирмой по кибербезопасности Malwarebytes, среди прочего, похоже, циркулирует на торрент-форумах, где часто встречается пиратское программное обеспечение. (Неясно, кто придумал название EvilQuest.)

«В сообщении предлагалась загрузка Little Snitch через торрент, и вскоре последовал ряд комментариев о том, что загрузка включала вредоносное ПО», — объяснил Томас Рид из Malwarebytes в своем блоге вчера (30 июня). «На самом деле мы обнаружили, что это было не только вредоносное ПО, но и новый вариант программы-вымогателя для Mac, распространяющийся с помощью пиратства».

Обман жертв

Версия EvilQuest, которую видел Рид, маскировалась под законный установщик торрентов для Little Snitch, приложения, которое предоставляет возможности мониторинга сети для MacOS. 

Рид сказал, что, хотя LittleSnitch обычно был «красиво и профессионально упакован», эта версия вместо этого была «простым установочным пакетом Apple с общим значком».

Однако он содержал работающую установку LittleSnitch, упакованную вместе со сценарием оболочки, который загружает и запускает вредоносное ПО EvilQuest.

EvilQuest также был обнаружен в установщиках других приложений. Devadoss обнаружил, что он маскируется под Google Software Update, а исследователь безопасности Mac Патрик Уордл обнаружил его в DJ-приложении Mixed in Key. Сам Рид заметил одну версию, имитирующую программу для создания музыки Ableton Live.

  • Подробнее: Уверены, что ваше устройство Apple безопасно? Узнайте, что предлагает Mac VPN

Возможности отладки 

Как только установщик загружен и запущен, вредоносное ПО начинает заражать устройство жертвы. Как и многие недавние штаммы вредоносных программ, EvilQuest даже может узнать, запущено ли оно на виртуальном устройстве или запущены ли инструменты отладки. 

Согласно отчету Bleeping Computer , вредоносное ПО также может определять, использует ли зараженное устройство антивирусные приложения от таких компаний, как Касперский 2021 обзор , и приложения для обеспечения безопасности, такие как Little Snitch .

Рид предупредил: «Как только заражение было запущено установщиком, вредоносное ПО начало довольно свободно распространяться по жесткому диску».

Далее вредоносное ПО через http://andrewka6.pythonanywhere[.]com/ret.txt узнает подробности об управляющем сервере, чтобы загрузить и затем зашифровать файлы с зараженного устройства. 

Плата за выкуп в биткойнах

Чтобы восстановить доступ к зашифрованным файлам, жертв просят заплатить выкуп в размере 50 долларов в биткойнах — ничто по сравнению с большими суммами, которые часто требуют мошенники-вымогатели, — и имеют временные рамки в 72 часа. К сожалению, нет возможности связаться с мошенниками после выплаты выкупа, чтобы ваши файлы были освобождены.

Лоуренс Абрамс из Bleeping Computer считает, что программа-вымогатель, которая, по словам Рида из Malwarebytes, «не сработала», может быть просто уловкой. 

Абрамс погрузился в код и обнаружил, что EvilQuest грабит папку «Пользователи» на Mac в поисках изображений, PDF-файлов, файлов резервных копий, баз данных, криптовалютных кошельков и файлов Word, Excel и PowerPoint. Затем вредоносное ПО экспортирует копии этих файлов, если их размер не превышает 800 КБ, на свой управляющий сервер.

Чтобы избежать заражения EvilQuest или любой другой вредоносной программой для Mac, обязательно запустите одну из лучших антивирусных программ для Mac. Вероятно, не помешает также установить утилиту Wardle RansomWhere , которая бесплатна (хотя Wardle принимает пожертвования). 

Рид рекомендовал сделать резервную копию ваших файлов, чтобы иметь под рукой запасные на случай атаки программ-вымогателей.

«Лучший способ избежать последствий программ-вымогателей — поддерживать хороший набор резервных копий, — написал он в блоге Malwarebytes. — Храните как минимум две резервные копии всех важных данных, и по крайней мере одну не следует ваш Mac всегда. (Программы-вымогатели могут попытаться зашифровать или повредить резервные копии на подключенных дисках.)»

«Лично у меня есть несколько жестких дисков для резервного копирования. Я использую Time Machine, чтобы поддерживать пару, и Carbon Copy Cloner, чтобы поддерживать еще пару. Одна из резервных копий всегда находится в сейфе в банке, и я периодически меняю их, так что в худшем случае у меня всегда будут достаточно свежие данные, хранящиеся в безопасном месте».

Обновление: инструмент расшифровки EvilQuest/ThiefQuest

Компания по обеспечению безопасности SentinelOne создала инструмент дешифрования для компьютеров Mac, атакованных программой-вымогателем EvilQuest, которую многие исследователи и организации переименовали в ThiefQuest, поскольку уже существовала онлайн-игра под названием EvilQuest (выглядящая довольно забавно).

Между тем, Томас Рид из Malwarebytes теперь согласен с оценкой Bleeping Computer о том, что EvilQuest/ThiefQuest на самом деле является похитителем информации, маскирующимся под программу-вымогатель, чтобы скрыть свои истинные намерения. 

Рид заметил, что вредоносное ПО похоже на «очиститель», который стирает части или весь жесткий диск, чтобы замести следы. Он также процитировал коллегу-исследователя Патрика Уордла , отметив, что EvilQuest/ThiefQuest также напоминает настоящий вирус тем, что изменяет код законных приложений для своего распространения.

Настоящий вирус — это «то, чего не видели на компьютерах Mac с момента перехода с System 9 на Mac OS X 10.0», — написал Рид в своем блоге 7 июля.

Похожие посты
НовостиСмартфоны

iPhone SE Plus — все, что мы знаем на данный момент

НовостиПотоковое

Как смотреть Отряд самоубийц онлайн сегодня

ИгрыНовости

Resident Evil Village — это не просто продолжение, это вторая глава трилогии.

НовостиУмный Дом

Стоит ли покупать робот-пылесос Shark IQ R101?

Sign up for our Newsletter and
stay informed
[mc4wp_form id="14"]

Добавить комментарий

Ваш адрес email не будет опубликован.