Ofiary złośliwego oprogramowania jakim jest ransomware ThiefQuest mogą teraz bezpłatnie wykorzystywać narzędzie, które pomoże odzyskać ich zaszyfrowane pliki bez konieczności płacenia okupu.
Firma SentinelOne zajmująca się cyberbezpieczeństwem wydała bezpłatną aplikację, która może pomóc ofiarom ransomware w odzyskaniu zaszyfrowanych plików.
ThiefQuest, które początkowo nosiło nazwę EvilQuest, jest złośliwym ransomware, który atakuje jedynie komputery typu Mac. Jednoznaczne sklasyfikowanie ThiefQuest’a jako ransomware nie jest możliwe, ze względu na to ze to oprogramowanie zawiera w sobie pełną gamę przeróżnych modułów. Są nimi rejestratory naciśnięć klawiszy, instalatory backdoor, kod do kradzieży danych oraz szyfrujący pliki.
Osoby zajmujące się rozpoznawaniem złośliwego oprogramowania zauważyli, że to zagrożenie krąży w sieci od ponad miesiąca, zwykle występując w pirackim oprogramowaniu udostępnianym na portalach z torrentami lub forach.
ThiefQuest zawiera wadliwy moduł szyfrujący
Bazując na podstawie wcześniejszych analiz tego malware można stwierdzić, że znajduje się ono we wczesnej fazie rozwoju. W związku z tym niektóre jego komponenty wydają się działać nie do końca prawidłowo. Na nieszczęście, część dotycząca szyfrowania (ransomware) należy do tych wadliwych komponentów wirusa.
Badacze twierdzą, że po infekcji skutkującej zaszyfrowaniem plików w systemach MacOS, to złośliwe oprogramowanie nie posiada mechanizmu pozwalającego na opłatę okupu i śledzenie płatności. Przez co użytkownicy nie mogą skontaktować się z zespołem ThiefQuest, aby otrzymać szczegóły płatności i instrukcję odszyfrowania plików. Licząc od początku czerwca, wszyscy, którzy padli ofiarą ThiefQuest, mają swoje pliki zaszyfrowane permanentnie bez możliwości ich odzyskania nawet po opłaceniu żądania.
SentinelOne wydaje darmowe narzędzie deszyfrujące
Specjaliści z firmy SentinelOne po przeanalizowaniu kodu źródłowego zagrożenia oraz różnic pomiędzy plikami zaszyfrowanymi, a ich oryginalnymi wersjami stwierdzili, że są w stanie odwrócić mechanizm szyfrowania ThiefQuest.
W opublikowanym ostatnio artykule, badacze twierdzą, że ThiefQuest używa prostego symetrycznego mechanizmu szyfrowania opartego na algorytmie RC2 oraz przechowuje klucze szyfrujące/deszyfrujące w każdym przejętym pliku. Zespół SentinelOne stwierdził, że jest w stanie stworzyć aplikację, która umożliwi wyodrębnienie potrzebnego do deszyfracji klucza i odblokowanie plików ofiar. Deszyfrator ThiefQuest dostępny jest obecnie w formie binarnej lecz firma planuje w późniejszym czasie dystrybucję Open-Source.
Aplikacja tą można pobrać bezpośrednio z tego linku lub z raportu przedstawionego przez firmę SentinelOne pod tym linkiem. Wideo demonstracyjne dostępne jest tu.
Najnowszy raport Malwarebytes ostrzega, że oprócz szyfrowania plików, ThiefQuest infekuje wirusem również inne pliki lokalne, wiec może być konieczne wykonanie dodatkowego „czyszczenia”, aby zapobiec ponownym infekcjom.
Dowiedz się więcej o rozwiązaniach SentinelOne na stronie www: SentinelOne