近日，安全專家K7 Lab惡意軟件研究員Dinesh Devadoss發(fā)現(xiàn)了一種名為ThiefQuest(最初以EvilQuest的名稱標識)的新勒索軟件，旨在對macOS系統(tǒng)進行加密，并能夠安裝其他有效負載，甚至可能接管被感染的計算機。

好在網(wǎng)絡安全公司SentinelOne發(fā)布了一個免費的解密器應用程序，可以幫助ThiefQuest勒索軟件的受害者恢復其加密文件。

與其他MacOSx威脅不同，EvilQuest還安裝了鍵盤記錄程序，反向外殼并從受感染的主機上竊取了加密貨幣錢包。

研究專家表示，自6月以來，EvilQuest勒索軟件已經(jīng)在野外分發(fā)。

攻擊者們開始通過torrent門戶網(wǎng)站和在線論壇上被污染的盜版macOS軟件分發(fā)勒索軟件，一旦對受感染主機上的文件進行加密后，將會向受害者顯示一個彈出窗口，告知其文件已被加密。

受害者將被指示打開放置在其桌面上的贖金票據(jù)，其中包含有關支付勒索軟件的說明，勒索軟件當前針對以下文件擴展名：

MalwareBytes的研究人員注意到，惡意軟件還會試圖修改GoogleSoftwareUpdate中的一些特定文件，并試圖利用它們來實現(xiàn)對受感染主機的持久入侵。

帕特里克·沃德(Patrick Wardle)發(fā)現(xiàn)了一些惡意軟件樣本被隱藏在流行的DJ軟件Mixed In Key的盜版中，里德(Reed)甚至在macOS安全工具Little Snitch中也發(fā)現(xiàn)了該惡意軟件。

于是，安全公司SentinelOne的研究人員分析了勒索軟件的源代碼，并能夠對加密機制進行逆向工程，他們還發(fā)布了免費的解密器軟件，可使TiefQuest勒索軟件的受害者恢復其加密文件。

研究人員說“自定義加密程序是一件特別有趣的事情，雖然ThiefQuest一旦感染macOS系統(tǒng)就會對文件進行加密，但該惡意軟件沒有跟蹤支付贖金要求的用戶的機制，它也沒有提供一種聯(lián)系方式，這樣用戶就可以聯(lián)系ThiefQuest團隊，了解他們的支付細節(jié)，并獲得如何解鎖文件的指示。

GitHub上有一個加密文件的解密程序。它是一個命令行工具，所以如果您已經(jīng)對文件進行了加密，那么您需要從終端運行解密程序。SentinelOne安全公司已經(jīng)發(fā)布了ThiefQuest解密器二進制文件，并計劃將其代碼作為開源發(fā)布，該公司還上傳了一個視頻演示教程，可以幫助人們更好的使用解密器。