服务热线:400-710-8008

首页>>公司新闻 >> 行业动态>>安全专家发布免费解密工具,ThiefQuest可以解密了
详细内容

安全专家发布免费解密工具,ThiefQuest可以解密了

    本月初K7实验室的安全专家披露了一种新型勒索软件ThiefQuest(也叫EvilQuest),主要针对MacOS系统,能够安装额外payload并完全控制受感染机器。

    # macOS #勒索软件伪装成Google软件更新程序,以绕过检测。

    MD5:

            522962021E383C44AFBD0BC788CF6DA3

            6D1A07F57DA74F474B050228C6422790

            98638D7CD7FE750B6EAB5B46FF102ABD

                                        -Dinesh_Devadoss(在Twitter上发布)

    针对MacOS系统的勒索软件并不常见,上一次出现还是在4年前,而ThiefQuest与其他MacOS勒索软件又有些不同,它增加了键盘记录器和反向外壳,能够从受感染机器上窃取加密货币钱包。

    另外,该勒索软件还尝试修改GoogleSoftwareUpdate中的一些特定文件,以在受感染机器上实现长期滞留,持续访问计算机、窃取文件及密码。

    专家表示,该勒索软件在上个月的一些攻击活动中已经出现,攻击者通过torrent网站和论坛进行恶意软件分发。

在机器中招后,出现弹窗,告知其文件已被加密。

    ThiefQuest勒索软件目前针对以下格式文件进行加密:

.pdf、.doc、.jpg、.txt、.pages、.pem、.cer、.crt、.php、.py、.h、.m、.hpp、.cpp、.cs、.pl、.p、.p3、.html、.webarchive、.zip、.xsl、.xslx、.docx、.ppt、.pptx、.keynote、.js、.sqlite3、.wallet、.dat等

    日前,安全公司SentinelOne已发布了该勒索软件的解密工具,受害用户无须支付赎金即可恢复其被加密的文件。

    研究人员通过对软件源代码的分析,实现了其加密机制的逆向工程。

    “我们研究发现,软件使用的是自定义加密程序。在对它进行初步检查时,找不到与公钥有关的表,但有一部分与RC2相关的表。我们判断它是使用了RC2和基于时间的种子对文件进行加密,基于这点,我们进行了进一步的代码分析,最终破解了它的加密方式。”