神秘的Evirequest麦斯科斯州勒索沃州软件通过种子传播
倾向于在未支付未支付的情况下转向获得软件的Mac用户已被警告旨在寻找新的赎回员 - 由研究人员传授Evbbbest - 这是通过广泛的宏软件产品的盗版版本传播。
在过去的几天里发现,EvilQuest已经被一些研究人员解剖了一些研究人员,包括托马斯芦苇的Malwarebytes和Patrick Watchle的客观看见和Jamf,他们都检测到一些奇怪的行为。
例如,除了加密其受害者的文件外,ExamQuest还将键盘记录器和反向shell安装到命令和控制(C2)服务器,并能够窃取它发现与加密货币钱包相关的任何文件。
沃德写道:“掌握这些能力,攻击者可以在受感染的主人身上完全控制。”这意味着即使受害者支付赎金解密他们的文件 - 似乎达到比特币的50美元 - 网络犯罪分子维持其系统,可以继续其他活动。
詹姆斯麦克奎根是Ingnbe4的安全意识倡导者说:“在野外,勒索威斯州的勒索威尔士州的勒索·X X开始只是时间问题,这不是一个简单的赎金软件攻击。攻击不仅会使您的数据不可用,但它还包含其他恶意软件来窃取凭据和其他远程访问功能。“
redicaest也似乎有点不愿意加密文件,据瑞德说,他认为它需要三天内将系统时钟重置为才能开始它的工作,以便开始其工作 - 可能是一种旨在使其更加努力跟踪其的混淆技术来源。
“恶意软件对其加密的文件没有特别聪明,”他在披露博客中写道。“它似乎加密了许多设置文件和其他数据文件,例如钥匙串文件。这导致在加密后登录时出现错误消息。
“虽然其他人报告说明一个文件是用关于支付赎金的说明创建的文件,以及显示的警报,甚至用于通知用户已被勒克斯摩器感染的文本语音,我无法复制任何这些,尽管持续了一段时间来赎金软件完成。“
芦苇表示,他仍然没有回答一些问题,例如什么样的加密evenquest用途,无论是安全还是很容易破解,以及是否是可逆的。
“如果你的文件得到加密,我们不确定如何发生这种情况,”他写道。“这取决于加密以及密钥如何处理。有可能进一步的研究可能导致用于解密文件的方法,也可能不会发生这种情况。“
对EvilQuest的调查仍在继续,但是瑞典警告说,如果您发现自己感染 - 它可以通过MalwareBytes的Mac服务检测到 - 您希望在它可能导致太多损坏之前尽快摆脱它。
“避免赎金软件后果的最佳方式是保持一套很好的备份,”雷德写道。“保持所有重要数据的至少两个备份副本,并且至少不应始终将您的Mac连接到您的Mac中。如果您有良好的备份,Ransomware对您没有威胁。在最糟糕的情况下,您可以简单地删除硬盘驱动器并从干净的备份中恢复。“
InviceBe4的McQuiggan表示,越来越多的恶意软件菌株占苹果设备的出现是一个关注的根源。“多年来,麦斯科斯为其最终用户提供了安全和私人制度,”他说。“网络罪犯正在利用对系统的访问权限,使键盘记录者能够捕获用户凭据和密码,这可能是通过其他攻击方法明显的。
“如果这个赎金软件或任何其他赎金软件影响用户,则在恢复数据后格式化系统至关重要,以避免额外的感染。通过从备份或支付赎金的数据恢复,它可能会提供一种错误的浮雕,即加密消失。但是,网络罪犯可能会通过反恶意软件系统无法察觉的额外文件,并可能导致进一步的未经授权的访问或数据被盗。“