Descifrador gratuito disponible para víctimas de ransomware ThiefQuest


evilquest-popup.png

Imagen: Dinesh Devadoss

La firma de seguridad cibernética SentinelOne ha lanzado hoy una aplicación de descifrador gratuita que puede ayudar a las víctimas del ransomware TiefQuest a recuperar sus archivos bloqueados.

El ransomware ThiefQuest, inicialmente identificado con el nombre de EvilQuest, está dirigido solo a usuarios de Mac.

La clasificación de ThiefQuest como cepa de ransomware es tenue. El malware es una mezcla heterogénea de código malicioso que incluye módulos para registrar pulsaciones de teclas, instalar un shell inverso para el acceso de puerta trasera a hosts infectados, código para robar datos relacionados con criptomonedas y cifrar archivos (la llamada parte de ransomware).

Los investigadores de seguridad han visto el malware distribuido en la naturaleza durante más de un mes, generalmente oculto dentro de software pirateado compartido en portales de torrent y foros en línea.

ThiefQuest contiene un componente de ransomware defectuoso

Basado en análisis previos (1, 2, 3), se considera que el malware se encuentra en sus primeras etapas de desarrollo y, como resultado, algunos de sus componentes no parecen funcionar correctamente.

Desafortunadamente para las víctimas, la parte del ransomware es uno de esos componentes defectuosos y parece contener muchas características sin pulir.

Los investigadores dicen que aunque ThiefQuest encripta archivos tan pronto como infecta un sistema macOS, el malware no viene con un mecanismo para rastrear a los usuarios que pagaron la demanda de rescate, ni proporciona un método de contacto para que los usuarios puedan contactar al equipo de ThiefQuest con detalles sobre su pago y recibir instrucciones sobre cómo podrían desbloquear sus archivos, un detalle que es obvio al leer su nota de rescate a continuación.

evilquest-ransom-note.png "src =" https://zdnet4.cbsistatic.com/hub/i/2020/06/30/f4e7bac1-aa07-4f73-97d0-424025af79a1/evilquest-ransom-note.png

Imagen: Patrick Wardle

Desde principios de junio, los usuarios que han sido infectados con ThiefQuest han bloqueado sus archivos permanentemente sin un método para recuperarlos, incluso si pagaron la demanda de rescate.

SentinelOne lanza descifrador gratuito

Sin embargo, los investigadores de seguridad de SentinelOne anunciaron que después de analizar el código fuente del ransomware y las diferencias entre los archivos cifrados y sus versiones originales, pudieron realizar ingeniería inversa del mecanismo de cifrado de ThiefQuest.

En una publicación técnica del web site publicada hoy, los investigadores dijeron que ThiefQuest utiliza un sistema de cifrado de clave simétrica basic basado en Algoritmo RC2 y que el ransomware almacena la clave de cifrado / descifrado dentro de cada archivo bloqueado.

Los equipos de SentinelOne dijeron que fue capaz de crear una aplicación (conocida como descifrador) que extrae esta clave y desbloquea los archivos de las víctimas.

El descifrador ThiefQuest de SentinelOne se proporciona en forma binaria por el momento, pero la compañía dijo que planea abrir el código de fuente en una fecha posterior.

El descifrador puede ser descargado directamente desde este enlace o a través del enlace de descarga en la parte inferior de la Informe técnico de SentinelOne aquí. Un online video de demostración sobre cómo usar el descifrador está disponible aquí.



Enlace a la noticia first