Mac用ThiefQuest ransomwareが無料の復号化プログラムを取得

システム内に保存されているMacユーザーの重要なファイルをロックするためにThiefQuest ransomwareが使用する弱くて無能な暗号化アルゴリズムは偽装されています。これにより、影響を受ける人々は、適切なバックアップがないと不可能であった暗号化されたデータを回復できます。このファイルエンコーディングウイルスがMacコンピュータに正常に侵入すると、標的となるファイルの暗号化が実行されます。ただし、攻撃者に連絡するためのメールアドレスは提供されないため、身代金を支払うことは代替手段ではありません。

ThiefQuest ransomwareによって表示された身代金注記は、攻撃について被害者に知らせ、ファイル回復の指示も提供します。それは、ロックされたファイルへのアクセスを回復するために、犯罪者にビットコインの暗号通貨で50ドルの身代金を支払う必要があり、その金額を詐欺師のBTCウォラーアドレスに変換する必要があると述べています。ただし、身代金注記には電子メールアドレスは含まれていません。

深い調査によると、ThiefQuest ransomwareの本当の動機は、侵害されたデバイスからファイルを見つけて盗むことです。この危険な脅威は、次の拡張子のファイルを盗みます。

.html、.cpp、.cs、.pl、.p、.p3、.pdf、.doc、.jpg、.txt、.pages、.xsl、.xslx、.docx、.ppt、.pptx、.js 、.sqlite3、.wallet、.dat、.pem、.cer、.crt、.php、.py、.h、.m、.hpp、.webarchive、.zip、.keynote

セキュリティの専門家は、この危険な暗号化マルウェアがカスタム対称暗号化ルーチンを使用して、RC2アルゴリズムでユーザーのインポートファイルをロックしていることに気付きました。コードを慎重に判断すると、研究者たちは暗号化を担当する関数を見つけ、対称キー(128バイト)が簡単な方法でエンコードされていることを学びました。

ロックされたデータを元のデータと比較すると、研究者は、前者には暗号化/復号化キーとそれをエンコードするキーを含む追加のデータブロックが付属していることに気付きました。 「これは、ファイル暗号化キーのエンコードに使用されるクリアテキストキーが、エンコードされたファイル暗号化キーに追加されることを意味します。完全に暗号化されたファイルを見ると、データのブロックが追加されていることがわかります。」-Jason Reaves、SentinelOne

犯罪者は復号化ジョブを担当する機能を削除できなかったため、暗号化プロセスを復元するのにそれほどの労力は必要ありませんでした。その結果、この関数を呼び出すと、データのロックが解除されます。これらの発見により、SentinelOneはThiefQuestの「ランサムウェア」によってロックされたファイルの復号化ツールを開発することができました。同社は、GNU GPL v2フリーソフトウェアライセンスに基づいて、暗号解読プログラムを無料で提供しています。

ThiefQuest ransomwareが手順を開始すると、コンピューター上のデータのプライバシーを確保する方法はありませんが、少なくとも影響を受けるユーザーはファイルを復号化できます。