Site icon город МАСТЕРОВ

Вымогатель EvilQuest для Mac распространяется через пиратские приложения для Mac

Вымогатель EvilQuest для Mac распространяется через пиратские приложения для Mac Вымогатель EvilQuest для Mac распространяется через пиратские приложения для Mac

В экосистеме Mac распространяется новая программа-вымогатель, которая распространяется через пиратские приложения Mac.

Согласно отчету, опубликованному сегодня Malwarebytes , новая программа-вымогатель называется «EvilQuest», а основная модель распространения – через пиратские приложения для Mac. Последняя угроза безопасности была первоначально обнаружена в пиратской версии Mac-приложения Little Snitch, которым поделились на одном из российских форумов.

Установка пиратской версии приложения позволила установщику получить полную версию самого приложения, но затем установка также включала дополнительный исполняемый файл с надписью «patch».
Этот файл хранился в каталоге  Users / Shared  , включая сценарий после установки, который заразил компьютер, на котором было установлено приложение. Изучение этого установщика показало, что он установит в  /Users/Shared/  каталог то, что оказалось законным установщиком Little Snitch и приложениями для удаления, а также исполняемый файл с именем «patch» .
Установщик также содержал сценарий после установки – сценарий оболочки, который выполняется после завершения процесса установки.
Обычно этот тип установщика содержит сценарии предварительной и / или последующей установки для подготовки и очистки, но в этом случае сценарий использовался для загрузки вредоносной программы и последующего запуска законного установщика Little Snitch.
Затем этот установочный сценарий перемещает «патч» в отдельное новое место и переименовывает его в «CrashReporter». Это законный процесс macOS, что означает, что он в основном скрыт в Activity Monitor. Как только этот процесс будет завершен, он установится в нескольких местах программного обеспечения Mac.

После завершения программа-вымогатель зашифрует файлы данных и настройки, что аналогично тому, как работает Keychain – еще одно законное программное обеспечение на Mac. При попытке доступа к Связке ключей iCloud пользователю будет предложено сообщение об ошибке, которое вы можете увидеть на рисунке чуть выше. В дополнение к этому, док-станция начала портиться вместе с другими приложениями, и Finder также начал действовать.

По всей видимости, злоумышленники, стоящие за этой новой программой-вымогателем, просят 50 долларов за доступ к выкупленной системе. Однако Malwarebytes сообщает, что программа-вымогатель работает относительно плохо. Тем не менее, он также включает в себя регистратор ключей, который может регистрировать нажатия клавиш, введенные в системе и на посещенных веб-сайтах.

У Malwarebytes есть несколько предложений на тот случай, если программа-вымогатель окажется в вашей системе (чего можно избежать, если не устанавливать пиратские приложения для Mac, например):

Если вы заразились этим вредоносным ПО, вам нужно как можно быстрее избавиться от него. Malwarebytes для Mac обнаружит это вредоносное ПО как Ransom.OSX.EvilQuest и удалит его.

Если ваши файлы зашифрованы, мы не уверены, насколько это ужасно. Это зависит от шифрования и того, как обрабатываются ключи. Возможно, дальнейшие исследования могут привести к способу расшифровки файлов, а также возможно, что этого не произойдет.

Лучший способ избежать последствий от программ-вымогателей – поддерживать хороший набор резервных копий. Сохраните как минимум две резервные копии всех важных данных, и хотя бы одну не следует постоянно прикреплять к вашему Mac. (Программа-вымогатель может попытаться зашифровать или повредить резервные копии на подключенных дисках.)
Хотя в настоящее время эта проблема не является широко распространенной, всегда полезно знать об этих ситуациях по мере их обнаружения. Ознакомьтесь с полной записью в блоге Malwarebytes, если хотите вникнуть в суть этой последней попытки вымогателя.

Exit mobile version