Η εταιρεία ασφαλείας SentinelOne κυκλοφόρησε χθες ένα δωρεάν app αποκρυπτογράφησης που μπορεί να βοηθήσει τα θύματα του ThiefQuest ransomware να ανακτήσουν τα κλειδωμένα αρχεία τους.
Το ThiefQuest ransomware, που αρχικά ήταν γνωστό με το όνομα EvilQuest, στοχεύει μόνο χρήστες Mac.
Το κακόβουλο λογισμικό περιλαμβάνει διάφορες λειτουργίες: keylogging, εγκατάσταση ενός reverse shell για backdoor πρόσβαση σε μολυσμένους κεντρικούς υπολογιστές, κώδικα για κλοπή δεδομένων που σχετίζονται με cryptocurrency και κρυπτογράφηση αρχείων (τη βασική λειτουργία ενός ransomware).
Σύμφωνα με τους ερευνητές ασφαλείας, το ThiefQuest ransomware διανέμεται εδώ και περισσότερο από ένα μήνα. Συνήθως, είναι κρυμμένο μέσα σε πειρατικό λογισμικό που μοιράζεται σε torrent portals και online forums.
Η ανάλυση έδειξε ότι το ThiefQuest ransomware βρίσκεται μάλλον στα αρχικά στάδια ανάπτυξης και, ως αποτέλεσμα, ορισμένα από τα στοιχεία του δεν φαίνεται να λειτουργούν σωστά.
Δυστυχώς, η βασική λειτουργία του ransomware (κρυπτογράφηση) είναι ένα από αυτά τα ελαττωματικά στοιχεία.
Οι ερευνητές λένε ότι το ThiefQuest κρυπτογραφεί αρχεία μόλις μολύνει ένα σύστημα macOS, αλλά δεν συνοδεύεται από κάποιον μηχανισμό εντοπισμού των χρηστών που πληρώνουν τα λύτρα. Επίσης, δεν παρέχει μια μέθοδο επικοινωνίας, ώστε οι χρήστες να μπορούν να επικοινωνήσουν με τη ransomware συμμορία και να μάθουν λεπτομέρειες σχετικά με την πληρωμή ή να λάβουν οδηγίες για το πώς θα μπορούσαν να ξεκλειδώσουν τα αρχεία τους.
Από τις αρχές Ιουνίου, τα θύματα του ThiefQuest ransomware έχουν τα αρχεία τους κλειδωμένα και δεν έχουν βρει τρόπο ανάκτησης. Αυτό ισχύει ακόμα και γι’ αυτούς που πλήρωσαν τα λύτρα.
Η SentinelOne κυκλοφορεί δωρεάν εφαρμογή αποκρυπτογράφησης
Ωστόσο, ερευνητές ασφαλείας από τη SentinelOne ανακοίνωσαν ότι μετά την ανάλυση του source code του ransomware και των διαφορών μεταξύ των κρυπτογραφημένων αρχείων και των αρχικών εκδόσεών τους, κατάφεραν να δημιουργήσουν ένα app αποκρυπτογράφησης για το ThiefQuest ransomware.
Οι ερευνητές έκαναν μια ανάρτηση, στην οποία έλεγαν ότι το ThiefQuest χρησιμοποιεί ένα απλό σύστημα κρυπτογράφησης, που βασίζεται στον αλγόριθμο RC2, και αποθηκεύει το κλειδί κρυπτογράφησης / αποκρυπτογράφησης μέσα σε κάθε κλειδωμένο αρχείο.
Η SentinelOne μπόρεσε να δημιουργήσει μια εφαρμογή αποκρυπτογράφησης που επιτρέπει την εξαγωγή αυτού του κλειδιού και το ξεκλείδωμα των αρχείων των θυμάτων.
Το app αποκρυπτογράφησης της SentinelOne παρέχεται σε binary μορφή προς το παρόν, αλλά σύντομα θα είναι open-source.
Μπορείτε να κατεβάσετε το εργαλείο απευθείας από αυτόν τον σύνδεσμο ή μέσω του συνδέσμου λήψης στο κάτω μέρος της τεχνικής έκθεσης της SentinelOne. Υπάρχει, επίσης, ένα βίντεο σχετικά με τον τρόπο χρήσης της εφαρμογής.