前兩天,我們曾報導過國外安全公司發現一支針對 MacOS,集勒索與間諜程式於一身的有害軟體「ThiefQuest」,也破除了 MacOS 金剛不壞的迷信,雖然這支病毒目前感染情況尚未擴大,但安全公司已經未雨綢繆釋出免費解鎖應用,幫助已受感染的用戶復原被鎖定的文件。
安全公司釋出 MacOS 勒索病毒 ThiefQuest 的免費解鎖工具,解鎖後務必再次清理系統
如果單把「ThiefQuest」視做勒索病毒,那你可就小看它了。這款病毒是以一系列程式碼所組成,除了能夠執行一般勒索病毒對文件的加密鎖定之外,更能在電腦系統中安裝後門,監控用戶的鍵盤使用,竊取個人資訊與虛擬貨幣數據,可以說是為使用者設下的連環計,且這隻病毒已經隱藏在入口網站和線上論壇中的共享到版軟體中散播。
自 6月初以來,感染 ThiefQuest 的用戶皆已永久鎖定文件,即使依照要求支付了贖金亦沒有解鎖的方法。網路安全公司 SentinelOne 今日釋出了一個免費解密應用程式。安全人員表示,雖然 ThiefQuest 會在感染 macOS 系統後立即對電腦加密,但是該惡意軟體並沒有追踪用戶支付贖金狀況的機制,也沒有提供聯繫方法,因此從下面的紀錄中可以看到,用戶必須與 ThiefQuest 團隊聯繫以獲取相關的解鎖資訊。
在今天早些時候發布的技術文章中,研究人員指出 ThiefQuest 使用了基於 RC2 演算法的簡單對稱金鑰加密系統,勒索軟體將加密與解密金鑰儲存在每個鎖定文件中。SentinelOne 所提供的 ThiefQuest 解鎖工具則是從各文件中提取出解密金鑰,目前以二進制形式提供,但該公司表示計劃以後會開放碼。解密工具可以直接從這個連結下載,也可以通過 SentinelOne 技術報告最底端的連結下載。如果有需要解鎖的教學,可點這裡前往查看示範影片。
但是,Malwarebytes 的新報告中也警示用戶,ThiefQuest 除了對文件進行加密外,還以類似病毒的行為感染其他本機文件,因此在解鎖後用戶有必要進行額外的清理工作,以防止將來再次感染或感染其他 Mac 系統。
◎資料來源:ZDNet、Malwarebytes、SentinelOne