Les utilisateurs de MacOS sont avertis de surveiller la sécurité de leur appareil après avoir découvert une nouvelle forme de ransomware potentiellement extrêmement dangereux. Connu sous le nom de ThiefQuest, le malware cible les appareils macOS tels que les MacBook, crypte l'ensemble du système et vole des données précieuses de l'appareil. Si une rançon n'est pas payée pour libérer les fichiers, ThiefQuest est programmé pour effacer complètement l'appareil de la victime, en supprimant tous les éléments qu'il contient, mais il peut exister un moyen de l'arrêter définitivement.
logiciels malveillants macOS
ThiefQuest a été détecté pour la première fois par des chercheurs de la société de sécurité SentinelOne, qui ont pu mener une enquête complète sur le malware. L’entreprise a d’abord cru que le malware manquait de finesse lors de l’enquête sur le message de rançon qui alertait les victimes de ThiefQuest de leur sort. Comme d'habitude avec de telles alertes, il ordonne aux victimes de payer 50 € dans les 72 heures si elles souhaitent que leurs dossiers soient restitués ; Cependant, il n’a fourni aucun e-mail de contact pour les informations de décryptage. une fois payé, il suffit d'un lien vers un fichier Lisez-moi contenant des détails sur un portefeuille Bitcoin auquel envoyer les fonds de la rançon. L'enquête de SentinelOne a révélé que ThiefQuest (initialement connu sous le nom d'EvilQuest) utilisait une routine de chiffrement personnalisée et que son code suggérait qu'elle n'était pas liée aux méthodes de chiffrement à clé publique couramment utilisées pour de telles attaques. Les chercheurs ont découvert que ThiefQuest recherchait dans le dossier / Users du système pour tenter de voler des fichiers, avec des éléments .doc, .pdf et .jpg, tous ciblés entre autres. Cependant, une fois trouvés, ces fichiers ont été cryptés à l'aide d'une fonction qui utilisait un simple outil de cryptage qui, lors de la création d'un fichier crypté, ajoutait simplement un bloc de données supplémentaire contenant la clé de cryptage/déchiffrement et la clé qui le crypte. Les attaquants n'ont pas non plus réussi à supprimer la fonction responsable du travail de décryptage, ce qui signifie que la récupération du fichier original a été incroyablement simple et a permis à SentinelOne de créer et de publier un décrypteur, qui peut être téléchargé gratuitement dès maintenant. Via un ordinateur Bleeping