ThiefQuest ransomware para Mac obtiene descifrador gratuito

El algoritmo de cifrado débil e incompetente utilizado por ThiefQuest ransomware para bloquear a los usuarios de Mac archivos cruciales almacenados dentro de sus sistemas está disfrazado. Esto permite a las personas afectadas recuperar sus datos cifrados que no serían posibles sin una copia de seguridad adecuada. Tan pronto como este virus de codificación de archivos se infiltra con éxito en una computadora Mac, realiza el cifrado de los archivos de destino. Sin embargo, no proporciona ninguna dirección de correo electrónico para contactar a los atacantes y, por lo tanto, pagar el rescate no es una alternativa.

La nota de rescate que muestra ThiefQuest ransomware informa a las víctimas sobre el ataque y también proporciona la instrucción de recuperación de archivos. Establece que para recuperar el acceso a los archivos bloqueados, debe pagar a los delincuentes una cantidad de rescate de $ 50 en criptomonedas de BitCoins y debe transferir la cantidad en la dirección de BTC wall. Sin embargo, no hay una dirección de correo electrónico incluida en la nota de rescate.

Según la investigación profunda, el motivo real de ThiefQuest ransomware es encontrar y robar archivos de los dispositivos comprometidos. Parece que esta amenaza peligrosa roba archivos de las siguientes extensiones:

.html, .cpp, .cs, .pl, .p, .p3, .pdf, .doc, .jpg, .txt, .pages, .xsl, .xslx, .docx, .ppt, .pptx, .js , .sqlite3, .wallet, .dat, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .webarchive, .zip, .keynote

Los expertos en seguridad notaron que este peligroso malware criptográfico utiliza una rutina de cifrado simétrico personalizado para bloquear los archivos importat de los usuarios en el algoritmo RC2. Juzgando el código cuidadosamente, los investigadores encontraron la función a cargo del cifrado y aprendieron que la clave simétrica (128 bytes) está codificada de una manera fácil.

Al comparar los datos bloqueados con los originales, los investigadores notaron que el primero viene con un bloque de datos adicional que incluye la clave de cifrado / descifrado y la clave que lo codifica. “Esto significa que la clave de texto sin cifrar utilizada para codificar la clave de cifrado de archivo termina siendo agregada a la clave de cifrado de archivo codificado. Echar un vistazo a un archivo completamente encriptado muestra que se le ha agregado un bloque de datos ”- Jason Reaves, SentinelOne

Restaurar el proceso de cifrado no implicó demasiado esfuerzo ya que los delincuentes no pudieron eliminar la función responsable del trabajo de descifrado. Como resultado, llamar a esta función termina desbloqueando los datos. Estos hallazgos permitieron a SentinelOne desarrollar una herramienta de descifrado para archivos bloqueados por el «ransomware» de ThiefQuest. La compañía ofrece el descifrador de forma gratuita, bajo la licencia de software libre GNU GPL v2.

Una vez que ThiefQuest ransomware comienza su procedimiento, no hay forma de garantizar la privacidad de los datos en la computadora, pero al menos los usuarios afectados pueden descifrar sus archivos.