[ad_1]
Un nouveau ransomware est distribué dans l’écosystème Mac, et il se propage via des applications Mac piratées.
Selon le rapport partagé aujourd’hui par Malwarebytes, le nouveau ransomware est appelé « EvilQuest », et le modèle de distribution principal est via des applications Mac piratées. La dernière menace de sécurité a été initialement découverte dans une version piratée de l’application Mac Little Snitch, qui était partagée sur un forum russe.
L’installation de cette version piratée de l’application a permis au programme d’installation d’obtenir la version complète de l’application elle-même, mais l’installation a également inclus un fichier exécutable supplémentaire intitulé «patch». Ce fichier a été stocké dans le répertoire Users / Shared, y compris un script de post-installation qui a infecté la machine sur laquelle l’application a été installée.
L’examen de ce programme d’installation a révélé qu’il installerait ce qui s’est avéré être les applications d’installation et de désinstallation légitimes de Little Snitch, ainsi qu’un fichier exécutable nommé «patch», dans le
/Users/Shared/annuaire.Le programme d’installation contenait également un script de post-installation, un script shell qui est exécuté une fois le processus d’installation terminé. Il est normal que ce type de programme d’installation contienne des scripts de préinstallation et / ou de postinstallation, pour la préparation et le nettoyage, mais dans ce cas, le script a été utilisé pour charger le logiciel malveillant puis lancer le programme d’installation légitime de Little Snitch.
Ce script d’installation déplace ensuite «patch» vers un nouvel emplacement séparé et le renomme «CrashReporter». Il s’agit d’un processus macOS légitime, ce qui signifie qu’il est essentiellement caché dans le moniteur d’activité. Une fois ce processus terminé, il s’installe à plusieurs endroits dans le logiciel du Mac.
Une fois terminé, le ransomware cryptera ensuite les fichiers de données et les paramètres, ce qui est un processus similaire à la façon dont fonctionne Keychain – un autre logiciel légitime sur Mac. Lorsque vous tentez d’accéder au trousseau iCloud, une erreur sera demandée à l’utilisateur, que vous pouvez voir sur la photo ci-dessus. En plus de cela, le dock a commencé à gâcher, avec d’autres applications, et le Finder a également commencé à agir.
Apparemment, les attaquants derrière ce nouveau ransomware demandent 50 $ pour accéder au système rançonné. Cependant, Malwarebytes dit que le ransomware fonctionne relativement mal. Il comprend également un enregistreur de frappe, qui peut enregistrer les frappes saisies dans le système et dans les sites Web visités.
Malwarebytes a quelques suggestions au cas où le ransomware se retrouverait sur votre système (que vous pouvez éviter en n’installant pas d’applications Mac piratées, notamment):
Si vous êtes infecté par ce malware, vous voudrez vous en débarrasser le plus rapidement possible. Malwarebytes pour Mac détectera ce malware comme Ransom.OSX.EvilQuest et le supprimera.
Si vos fichiers sont cryptés, nous ne savons pas à quel point la situation est désastreuse. Cela dépend du cryptage et de la façon dont les clés sont traitées. Il est possible que des recherches supplémentaires conduisent à une méthode de décryptage des fichiers, et il est également possible que cela ne se produise pas.
La meilleure façon d’éviter les conséquences des ransomwares est de maintenir un bon ensemble de sauvegardes. Conservez au moins deux copies de sauvegarde de toutes les données importantes, et au moins une ne pas rester connecté à votre Mac à tout moment. (Le ransomware peut essayer de chiffrer ou d’endommager les sauvegardes sur les disques connectés.)
Bien que cela ne semble pas être un problème répandu pour le moment, il est toujours bon d’être informé de ces situations au fur et à mesure qu’elles sont découvertes. Allez voir le billet de blog complet de Malwarebytes si vous voulez vous plonger dans le vrai cœur de cette dernière tentative de ransomware.
[ad_2]
Poster un Commentaire