SentinelOne 發布 ThiefQuest 勒索軟件免費解密器

網絡安全公司SentinelOne發布了一個免費的解密器應用程序，可以幫助ThiefQuest勒索軟件的受害者恢復其鎖定文件。

ThiefQuest勒索軟件最初被識別為EvilQuest，目標僅為Mac用戶。

ThiefQuest被分類為勒索軟件的種類是微不足道的。該惡意軟件是一堆惡意代碼，包括用于記錄擊鍵，安裝用于后門訪問受感染主機的反向外殼，用于竊取與加密貨幣有關的數據以及對文件進行加密的模塊（所謂的勒索軟件部分）的模塊。

安全研究人員已經看到該惡意軟件在野外傳播了一個多月，通常隱藏在洪流門戶網站和在線論壇共享的盜版軟件中。

THIEFQUEST包含一個錯誤的勒索軟件組件

基于先前的分析[ 1，2，3]，惡意軟件被認為是在發展的早期階段，并且，作為結果，它的一些部件的似乎功能不正常。

對于受害者來說不幸的是，勒索軟件部分是這些錯誤組件之一，并且似乎包含許多未完善的功能。

研究人員表示，雖然ThiefQuest會在感染macOS系統后立即對其進行加密，但是該惡意軟件沒有提供跟蹤支付贖金要求的用戶的機制，也沒有提供聯系方法，因此用戶可以與ThiefQuest團隊聯系以獲取有關以下方面的詳細信息：他們的付款并收到有關如何解鎖文件的說明-從下面的贖金記錄中可以明顯看出這一細節。

圖片：Patrick Wardle

自6月初以來，感染ThiefQuest的用戶已永久鎖定文件，而沒有恢復文件的方法-即使他們支付了贖金要求。

SENTINELONE發布免費的解密器

但是，來自SentinelOne的安全研究人員宣布，在分析了勒索軟件的源代碼以及加密文件與其原始版本之間的差異之后，他們能夠對ThiefQuest的加密機制進行反向工程。

在今天早些時候發布的技術博客文章中，研究人員說ThiefQuest使用了基于RC2算法的簡單對稱密鑰加密系統，勒索軟件將加密/解密密鑰存儲在每個鎖定文件中。

SentinelOne團隊表示，它能夠創建一個應用程序（稱為解密器）來提取此密鑰并解鎖受害者的文件。

SentinelOne的ThiefQuest解密器目前以二進制形式提供，但該公司表示計劃以后再開放代碼。

解密程序下載。

但是，發布的來自Malwarebytes的新報告也警告說，ThiefQuest除了對文件進行加密外，還以類似病毒的行為感染其他本地文件，因此可能有必要進行額外的清理，以防止將來再次感染或感染其他Mac系統。