ThiefQuest ransomware per Mac ottiene Decryptor gratuito

L’algoritmo di crittografia debole e incompetente utilizzato da ThiefQuest ransomware per bloccare gli utenti Mac sui file cruciali memorizzati all’interno dei loro sistemi è mascherato. Ciò consente alle persone interessate di recuperare i propri dati crittografati che non sarebbero possibili in mancanza di un backup adeguato. Non appena questo virus di codifica dei file si infiltra correttamente in un computer Mac, esegue la crittografia dei file di destinazione. Tuttavia, non fornisce alcun indirizzo email per contattare gli aggressori e, quindi, pagare il riscatto non è un’alternativa.

La nota di riscatto visualizzata da ThiefQuest ransomware informa le vittime in merito all’attacco e fornisce anche le istruzioni per il recupero dei file. Afferma che, al fine di riottenere l’accesso ai file bloccati, è necessario pagare ai criminali un importo di riscatto di $ 50 nella criptovaluta BitCoin e trasferire l’importo nell’indirizzo del wallter BTC di truffatori. Tuttavia, nella nota di riscatto non è incluso alcun indirizzo e-mail.

Secondo la ricerca approfondita, il vero motivo di ThiefQuest ransomware è quello di trovare e rubare file dai dispositivi compromessi. Sembra che questa pericolosa minaccia rubi i file delle seguenti estensioni:

.html, .cpp, .cs, .pl, .p, .p3, .pdf, .doc, .jpg, .txt, .pages, .xsl, .xslx, .docx, .ppt, .pptx, .js , .sqlite3, .wallet, .dat, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .webarchive, .zip, .keynote

Gli esperti di sicurezza hanno notato che questo pericoloso malware crittografico utilizza una routine di crittografia simmetrica personalizzata per bloccare i file di importazione degli utenti sull’algoritmo RC2. Giudicando attentamente il codice, i ricercatori hanno trovato la funzione responsabile della crittografia e hanno appreso che la chiave simmetrica (128 byte) è codificata in modo semplice.

Confrontando i dati bloccati con quelli originali, i ricercatori hanno notato che il primo include un blocco dati aggiuntivo che include la chiave di crittografia / decrittografia e la chiave che lo codifica. “Ciò significa che la chiave di testo in chiaro utilizzata per codificare la chiave di crittografia dei file finisce per essere aggiunta alla chiave di crittografia dei file codificati. Dare un’occhiata a un file completamente crittografato mostra che un blocco di dati è stato aggiunto ad esso “- Jason Reaves, SentinelOne

Il ripristino del processo di crittografia non ha comportato sforzi eccessivi poiché i criminali non sono riusciti a rimuovere la funzione responsabile del processo di decrittografia. Di conseguenza, la chiamata a questa funzione termina con lo sblocco dei dati. Questi risultati hanno permesso a SentinelOne di sviluppare uno strumento di decodifica per i file bloccati dal “ransomware” di ThiefQuest. La compagnia offre gratuitamente il decryptor, sotto licenza GNU GPL v2.

Una volta che ThiefQuest ransomware ha iniziato la sua procedura, non c’è modo di garantire la privacy dei dati sul computer, ma almeno gli utenti interessati possono decrittografare i propri file.