ThiefQuest ransomware na komputery Mac otrzymuje bezpłatny deszyfrator

Słaby i niekompetentny algorytm szyfrowania wykorzystywany przez ThiefQuest ransomware do blokowania kluczowych plików Mac przechowywanych w ich systemach jest ukryty. Pozwala to osobom poszkodowanym odzyskać zaszyfrowane dane, które nie byłyby możliwe bez odpowiedniej kopii zapasowej. Gdy tylko wirus kodujący pliki z powodzeniem infiltruje komputer Mac, przeprowadza szyfrowanie docelowych plików. Nie podaje jednak żadnego adresu e-mail do kontaktowania się z atakującymi, dlatego płacenie okupu nie jest alternatywą.

Nota o okupie wyświetlana przez ThiefQuest ransomware informuje ofiary o ataku, a także zawiera instrukcję odzyskiwania plików. Stwierdza, że aby odzyskać dostęp do zablokowanych plików, musisz zapłacić przestępcom okup w kwocie 50 USD w krypto-walucie BitCoins i musisz przelać tę kwotę na adres oszusta BTC. Jednak w nocie okupowej nie ma adresu e-mail.

Zgodnie z głębokimi badaniami prawdziwym motywem ThiefQuest ransomware jest wyszukiwanie i kradzież plików z zainfekowanych urządzeń. Wygląda na to, że to niebezpieczne zagrożenie kradnie pliki następujących rozszerzeń:

.html, .cpp, .cs, .pl, .p, .p3, .pdf, .doc, .jpg, .txt, .pages, .xsl, .xslx, .docx, .ppt, .pptx, .js , .sqlite3, .wallet, .dat, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .warcharchive, .zip, .keynote

Eksperci ds. Bezpieczeństwa zauważyli, że to niebezpieczne szkodliwe oprogramowanie kryptograficzne wykorzystuje niestandardową procedurę szyfrowania symetrycznego do blokowania plików importowanych przez użytkowników w algorytmie RC2. Uważnie oceniając kod, naukowcy znaleźli funkcję odpowiedzialną za szyfrowanie i dowiedzieli się, że klucz symetryczny (128-bajtowy) jest kodowany w łatwy i łatwy sposób.

Porównując zablokowane dane z oryginałem, naukowcy zauważyli, że ten pierwszy zawiera dodatkowy blok danych, który obejmuje klucz szyfrowania / deszyfrowania i klucz, który go koduje. „Oznacza to, że klucz tekstowy używany do kodowania klucza szyfrowania pliku jest ostatecznie dołączany do zakodowanego klucza szyfrowania pliku. Spojrzenie na całkowicie zaszyfrowany plik pokazuje, że został do niego dołączony blok danych ”- Jason Reaves, SentinelOne

Przywrócenie procesu szyfrowania nie wymagało zbyt dużego wysiłku, ponieważ przestępcy nie usunęli funkcji odpowiedzialnej za zadanie deszyfrowania. W rezultacie wywołanie tej funkcji kończy się odblokowaniem danych. Te odkrycia pozwoliły SentinelOne na opracowanie narzędzia deszyfrującego pliki zablokowane przez „oprogramowanie ransomware ThiefQuest”. Firma oferuje deszyfrator za darmo, na licencji GNU GPL v2.

Gdy ThiefQuest ransomware rozpocznie procedurę, nie ma sposobu na zapewnienie prywatności danych na komputerze, ale przynajmniej dotknięci użytkownicy mogą odszyfrować swoje pliki.