EvilQuest: macOS-användare som står inför ett nytt ransomware

Forskare har hittat spår av ransomware vid namn EvilQuest , som uteslutande riktar sig till macOS-baserade maskiner tillverkade av Apple. Det skadliga krypteringsprogrammet har visat sig vara en unik stam som skiljer sig från tidigare skadliga attacker på macOS eller något annat operativsystem. Här är allt du behöver veta om det:

Vad är EvilQuest?

EvilQuest eller OSX.EvilQuest är en ransomware-stam som kopplas till pirat-macOS-applikationer. Ransomware hotar användarnas kommando över hans/hennes PC samt åtkomst till filer och mappar. EvilQuest installeras i Mac-datorn tillsammans med piratappen som den kom med och krypterar sedan offrens filer och mappar, vilket förhindrar åtkomst och användning. 

Den nya ransomware-stammen har ett snäpp mer vilket gör det ännu farligare. Forskarna har funnit att EvilQuest installerar en keylogger på systemet, vilket gör att angriparen kan spåra och registrera tangentbordskommandon som användaren slår. Dessutom kommer stammen också att installera ett omvänt skal. Ett omvänt skal kommer att upprätta en fjärranslutning mellan offrens dator och angriparens fjärrdator, vilket ger honom total kontroll över din dator.

Även om du har betalat lösensumman kan offret följaktligen fortsätta att komma åt dina filer och hålla reda på tangentbordsknappar som slås på, och därmed ha full auktoritet över den infekterade datorn.

Läs mer: Dekryptera ransomware-påverkade filer med dessa verktyg

Hur upptäcktes EvilQuest?

EvilQuest har upptäckts i flera mjukvarupaket och installationsprogram, vilket gör det lite svårt att hitta den första attacken. Men det tros att ransomware-stammen distribueras i mer än en månad innan den upptäcktes.

Bildkälla: ZDNet

En av de första källorna till attacker är kopplad till piratversionen av en app som heter Little Snitch. Det är ett brandväggsprogram designat för macOS-användare som erbjuder dem nätverksskydd. Appen i sig är högt ansedd, men när du väljer en piratversion finns det risker du inte kan efterlysa. 

Stammen bifogas som en PKG-installationsfil med ett piratkopierat programpaket för Little Snitch. PKG-filen har ett "efterinstallationsskript" bifogat, som innehåller den påstådda skadliga programvaran. Efter installationen kopieras skriptet sedan till en plats på din Mac – /Library/LittleSnitch/CrashReporter . Och någon gång senare aktiveras skadlig kod och startar kryptering av systemfiler. 

Läs mer: Hur påverkar ransomware ditt system?

EvilQuest frodas på torrenting

EvilQuest ransomware-stammen frodas helt på torrenting. Användare laddar ofta ner mjukvarupaket och applikationer via tredjepartsappbutiker och onlineportaler och torrentlänkar för att få en gratis premiumversion utan att faktiskt köpa programvaran. EvilQuest finns oftast kopplat till sådana länkar för mjukvarupaket som det från Little Snitch.

Torrenting är alltid riskabelt, men användare tenderar att undvika dessa risker genom att använda en VPN-tjänst . Men när det finns ett ransomware-hot kan ingen VPN hjälpa till i det scenariot. Det rekommenderas att inte använda piratversioner av sådana programvarupaket på Mac eller något annat operativsystem. 

Hur EvilQuest fungerar?

Här är en sammanfattning av hur EvilQuest tar kontroll över din Mac om du blir attackerad:

– Vid installation och aktivering av skadlig kod krypteras filerna och mapparna på offrens Mac, följt av en varning angående krypteringen.

– Användaren dirigeras sedan till en lösensumma på skrivbordet precis som den på bilden nedan:

– En keylogger är installerad, vilket ger angriparen spårningsåtkomst för att registrera alla tangenttryckningar.

– Ett omvänt skal ger sedan angriparen en anslutning till den infekterade Mac-datorn samt behörighet att köra anpassade kommandon.

– Ransomware-stammen letar explicit efter filer som är associerade med alla applikationer för kryptovaluta-plånböcker som – wallet.png, wallet.pdg, etc., vilket hindrar säkerheten för dina kryptoplånböcker .

Vilka filer är benägna att hota associerade med EvilQuest?

Här är en lista över filtillägg som är krypterade av Evil Quest: 

.pdf 

.doc

.jpg

.Text

.sidor

.pem

.cer

.crt

.php

.py

.h

.m

.hpp

.cpp

.cs

.pl

.s

.p3

.html

.webarchive

.blixtlås

.xsl

.xslx

.docx

.ppt

.pptx

.grundton

.js

.sqlite3

.plånbok

.dat

Använd ett tillförlitligt säkerhetsprogram för Mac för att säkerställa förstklassig integritet och skydd

För att säkerställa att din Mac är fri från skadlig programvara eller integritetshot kan du använda en effektiv Mac-skyddssvit som heter  Kaspersky Total Security . Det är en otrolig säkerhetsmjukvara utformad för att säkerställa att din Mac är skyddad från alla typer av sårbarheter och hot. Applikationen består av inbyggda moduler för att köra automatiska genomsökningar och upptäcka spår av skadlig programvara samt spår som äventyrar användarnas integritet på din Mac.

På tal om det grafiska gränssnittet erbjuder Kaspersky en användarvänlig och intuitiv instrumentpanel, så att både nybörjare och erfarna användare enkelt kan använda programvaran. Huvudfönstret har alla funktioner korrekt kategoriserade så att du kan använda verktyg som Säkerhetskopiering, Föräldrakontroll och så vidare.

Här är de viktigaste höjdpunkterna med att använda Kaspersky Total Security för Mac: 

• Ger utmärkt skydd mot skadlig programvara.
• Levereras med en förstklassig lösenordshanterare.
• Har föräldrakontrollfunktioner.
• Har helt ny stalkerware-skyddsfunktion.
• Använder endast lätta till måttliga systemresurser.
• Ger en dedikerad spellägesfunktion.
• Kommer med en filkrypteringsfunktion.
• Kom med stöldskyddsfunktion.
• Har en dedikerad filförstörningsfunktion för att permanent radera filer.

Om du använder någon annan säkerhets- och skyddsprogramvara för Mac, låt oss veta dina förslag i kommentarsfältet nedan. Glöm inte heller att dela med dig av dina erfarenheter om du har varit ett mål för EvilQuest eller OSX.EvilQuest Ransomware stam.

Kolla in listan över relevanta artiklar: