ThiefQuest ransomware pour Mac obtient un décrypteur gratuit

L’algorithme de chiffrement faible et incompétent utilisé par ThiefQuest ransomware pour verrouiller les fichiers cruciaux des utilisateurs Mac stockés dans leurs systèmes est déguisé. Cela permet aux personnes concernées de récupérer leurs données cryptées, ce qui ne serait pas possible en l’absence d’une sauvegarde appropriée. Dès que ce virus de codage de fichiers infiltre avec succès un ordinateur Mac, il effectue le cryptage des fichiers ciblés. Cependant, il ne fournit aucune adresse e-mail pour contacter les attaquants et, par conséquent, le paiement d’une rançon n’est pas une alternative.

La note de rançon affichée par ThiefQuest ransomware informe les victimes de l’attaque et fournit également l’instruction de récupération de fichier. Il stipule que pour regagner l’accès aux fichiers verrouillés, vous devez payer aux criminels une rançon de 50 $ en crypto-monnaie BitCoins et transgresser le montant en adresse frauduleuse BTC wallter. Cependant, aucune adresse e-mail n’est incluse dans la note de rançon.

Selon les recherches approfondies, le véritable motif de ThiefQuest ransomware est de trouver et de voler des fichiers sur les appareils compromis. Il semble que cette menace dangereuse vole des fichiers des extensions suivantes:

.html, .cpp, .cs, .pl, .p, .p3, .pdf, .doc, .jpg, .txt, .pages, .xsl, .xslx, .docx, .ppt, .pptx, .js , .sqlite3, .wallet, .dat, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .webarchive, .zip, .keynote

Les experts en sécurité ont remarqué que ce crypto-malware dangereux utilise une routine de cryptage symétrique personnalisée pour verrouiller les fichiers d’importation des utilisateurs sur l’algorithme RC2. Jugeant soigneusement le code, les chercheurs ont trouvé la fonction en charge du cryptage et ont appris que la clé symétrique (128 octets) est encodée de manière simple.

En comparant une donnée verrouillée à l’original, les chercheurs ont remarqué que la première est livrée avec un bloc de données supplémentaire qui comprend la clé de cryptage / décryptage et la clé qui la code. «Cela signifie que la clé en texte clair utilisée pour coder la clé de chiffrement de fichier finit par être ajoutée à la clé de chiffrement de fichier codé. Un coup d’œil à un fichier entièrement crypté montre qu’un bloc de données y a été ajouté »- Jason Reaves, SentinelOne

La restauration du processus de cryptage n’a pas nécessité trop d’efforts car les criminels n’ont pas supprimé la fonction responsable du travail de décryptage. Par conséquent, appeler cette fonction finit par déverrouiller les données. Ces résultats ont permis à SentinelOne de développer un outil de décryptage pour les fichiers verrouillés par le rançongiciel ThiefQuest. La société propose le décrypteur gratuitement, sous la licence de logiciel libre GNU GPL v2.

Une fois que ThiefQuest ransomware a commencé sa procédure, il n’y a aucun moyen de garantir la confidentialité des données sur l’ordinateur, mais au moins les utilisateurs concernés peuvent décrypter leurs fichiers.