神秘的Evirequest麦斯科斯州勒索沃州软件通过种子传播

倾向于在未支付未支付的情况下转向获得软件的Mac用户已被警告旨在寻找新的赎回员 - 由研究人员传授Evbbbest - 这是通过广泛的宏软件产品的盗版版本传播。

在过去的几天里发现，EvilQuest已经被一些研究人员解剖了一些研究人员，包括托马斯芦苇的Malwarebytes和Patrick Watchle的客观看见和Jamf，他们都检测到一些奇怪的行为。

例如，除了加密其受害者的文件外，ExamQuest还将键盘记录器和反向shell安装到命令和控制（C2）服务器，并能够窃取它发现与加密货币钱包相关的任何文件。

沃德写道：“掌握这些能力，攻击者可以在受感染的主人身上完全控制。”这意味着即使受害者支付赎金解密他们的文件 - 似乎达到比特币的50美元 - 网络犯罪分子维持其系统，可以继续其他活动。

詹姆斯麦克奎根是Ingnbe4的安全意识倡导者说：“在野外，勒索威斯州的勒索威尔士州的勒索·X X开始只是时间问题，这不是一个简单的赎金软件攻击。攻击不仅会使您的数据不可用，但它还包含其他恶意软件来窃取凭据和其他远程访问功能。“

redicaest也似乎有点不愿意加密文件，据瑞德说，他认为它需要三天内将系统时钟重置为才能开始它的工作，以便开始其工作 - 可能是一种旨在使其更加努力跟踪其的混淆技术来源。

“恶意软件对其加密的文件没有特别聪明，”他在披露博客中写道。“它似乎加密了许多设置文件和其他数据文件，例如钥匙串文件。这导致在加密后登录时出现错误消息。

“虽然其他人报告说明一个文件是用关于支付赎金的说明创建的文件，以及显示的警报，甚至用于通知用户已被勒克斯摩器感染的文本语音，我无法复制任何这些，尽管持续了一段时间来赎金软件完成。“

芦苇表示，他仍然没有回答一些问题，例如什么样的加密evenquest用途，无论是安全还是很容易破解，以及是否是可逆的。

“如果你的文件得到加密，我们不确定如何发生这种情况，”他写道。“这取决于加密以及密钥如何处理。有可能进一步的研究可能导致用于解密文件的方法，也可能不会发生这种情况。“

对EvilQuest的调查仍在继续，但是瑞典警告说，如果您发现自己感染 - 它可以通过MalwareBytes的Mac服务检测到 - 您希望在它可能导致太多损坏之前尽快摆脱它。

“避免赎金软件后果的最佳方式是保持一套很好的备份，”雷德写道。“保持所有重要数据的至少两个备份副本，并且至少不应始终将您的Mac连接到您的Mac中。如果您有良好的备份，Ransomware对您没有威胁。在最糟糕的情况下，您可以简单地删除硬盘驱动器并从干净的备份中恢复。“

InviceBe4的McQuiggan表示，越来越多的恶意软件菌株占苹果设备的出现是一个关注的根源。“多年来，麦斯科斯为其最终用户提供了安全和私人制度，”他说。“网络罪犯正在利用对系统的访问权限，使键盘记录者能够捕获用户凭据和密码，这可能是通过其他攻击方法明显的。

“如果这个赎金软件或任何其他赎金软件影响用户，则在恢复数据后格式化系统至关重要，以避免额外的感染。通过从备份或支付赎金的数据恢复，它可能会提供一种错误的浮雕，即加密消失。但是，网络罪犯可能会通过反恶意软件系统无法察觉的额外文件，并可能导致进一步的未经授权的访问或数据被盗。“