ผู้ใช้ MacOS ได้รับคำเตือนให้ตรวจสอบความปลอดภัยของอุปกรณ์หลังจากค้นพบแรนซัมแวร์รูปแบบใหม่ที่อาจเป็นอันตรายอย่างยิ่ง
มัลแวร์ที่รู้จักกันในชื่อ ThiefQuest มีเป้าหมายไปที่อุปกรณ์ macOS เช่น MacBooks เข้ารหัสทั้งระบบและขโมยข้อมูลอันมีค่าจากอุปกรณ์
หากไม่ได้รับการจ่ายค่าไถ่เพื่อปล่อยไฟล์ ThiefQuest จะถูกตั้งโปรแกรมให้ล้างอุปกรณ์ของเหยื่อโดยสมบูรณ์ โดยลบรายการทั้งหมดที่อยู่ในอุปกรณ์ออก อย่างไรก็ตาม อาจมีวิธีหยุดอุปกรณ์อย่างถาวร
มัลแวร์ MacOS
ThiefQuest ถูกตรวจพบครั้งแรกโดยนักวิจัยจากบริษัทรักษาความปลอดภัย SentinelOne ซึ่งสามารถดำเนินการตรวจสอบมัลแวร์ได้อย่างเต็มรูปแบบ
ในตอนแรกบริษัทเชื่อว่ามัลแวร์ขาดความเฉียบแหลมในระหว่างการสืบสวนข้อความเรียกค่าไถ่ที่แจ้งเตือนเหยื่อของ ThiefQuest ถึงชะตากรรมของพวกเขา
ตามปกติของการแจ้งเตือนดังกล่าว มันจะสั่งให้เหยื่อจ่ายเงิน 50 ยูโรภายใน 72 ชั่วโมงหากพวกเขาต้องการไฟล์คืน อย่างไรก็ตาม มันไม่ได้ให้อีเมลติดต่อใด ๆ สำหรับข้อมูลการถอดรหัส เมื่อชำระเงินแล้ว จะมีเพียงลิงก์ไปยังไฟล์ readme ที่มีรายละเอียดเกี่ยวกับกระเป๋าเงิน Bitcoin เพื่อส่งเงินค่าไถ่ไปให้
การสืบสวนของ SentinelOne เปิดเผยว่า ThiefQuest (แต่เดิมรู้จักกันในชื่อ EvilQuest) ใช้รูทีนการเข้ารหัสที่กำหนดเอง และรหัสของมันแนะนำว่ามันไม่เกี่ยวข้องกับวิธีการเข้ารหัสคีย์สาธารณะที่ใช้กันทั่วไปสำหรับการโจมตีดังกล่าว
นักวิจัยค้นพบว่า ThiefQuest กำลังค้นหาโฟลเดอร์ /Users ของระบบเพื่อพยายามขโมยไฟล์ โดยมีองค์ประกอบ .doc, .pdf และ .jpg ล้วนกำหนดเป้าหมายไปที่องค์ประกอบอื่นๆ อย่างไรก็ตาม เมื่อพบแล้ว ไฟล์เหล่านี้จะถูกเข้ารหัสโดยใช้ฟังก์ชันที่ใช้เครื่องมือเข้ารหัสง่ายๆ ซึ่งเมื่อสร้างไฟล์ที่เข้ารหัส เพียงแค่เพิ่มบล็อกข้อมูลเพิ่มเติมที่มีคีย์เข้ารหัส/ถอดรหัสและคีย์ที่เข้ารหัส
ผู้โจมตีล้มเหลวในการลบฟังก์ชันที่รับผิดชอบงานถอดรหัส ซึ่งหมายความว่าการกู้คืนไฟล์ต้นฉบับนั้นง่ายมากอย่างไม่น่าเชื่อ และอนุญาตให้ SentinelOne สร้างและเผยแพร่ตัวถอดรหัส ซึ่งสามารถดาวน์โหลดได้ฟรีในขณะนี้
ผ่านทาง BleepingComputer