Pas op! Nieuwe EvilQuest ransomware opgedoken in macOS apps

Door: Thomas Aalderink - 5 reacties
EvilQuest Mac ransomware macOS
(Afbeelding: Unsplash / Nahel Abdul Hadi)

Er is nog een reden bijgekomen waarom je geen macOS app moet piraten. Hierin is onlangs namelijk nieuwe EvilQuest ransomware gevonden die systeemfouten veroorzaakt en persoonlijke bestanden gegijzeld houdt. De website Malwarebytes heeft de ransomware onderzocht en dit is wat je moet weten.

De code die voor problemen zorgt, werd voor het eerst ontdekt in een illegale kopie van de Little Snitch App en later ook in een illegale versie van de DJ-app Mixed in Key. Malwarebytes heeft het PKG bestand waarmee je de app installeert onderzocht. Hoewel deze er op het eerste oog normaal uitzag, viel iets opmerkelijks op wanneer het ‘postinstall-script’ wat beter bekeken werd.

Nieuwe ransomware duikt op

Normaal gesproken zorgt deze ervoor dat de installatie opgeschoond wordt nadat deze voltooid is. Dat was nu niet het geval. In plaats daarvan wordt je macOS geïnfecteerd met malware. Deze vermomt zich vervolgens als een interne app door zichzelf te hernoemen. Meestal gaat hij door het leven als Crash Reporter of als Google Software Update. Hierdoor blijft hij in de Activiteitenweergave onder de radar, terwijl hij ondertussen je bestanden overneemt.

Dit doet deze ransomware niet direct. Er is bewust voor gekozen om er enige tijd overheen te laten gaan. Op deze manier is het voor het slachtoffer moeilijker om herleiden hoe de ransomware is binnengekomen. Wanneer deze uiteindelijk actief wordt, gebeuren er verschillende dingen.

De gevolgen voor je Mac

Systeembestanden en gebruikersbestanden worden aangepast door een nog onbekende encryptie. Deze zorgt er onder anderen voor dat de Finder niet meer naar behoren werkt en dat je last krijgt van vastlopers. Ook de Keychain wordt geraakt waardoor je geen toegang meer hebt tot wachtwoorden die zijn opgeslagen op je Mac.

EvilQuest Mac ransomware macOS
Klik/tap voor groter. (Afbeelding: 9to5Mac)

Zoals bij de meeste ransomware kun je weer toegang krijgen, maar dan moet je wel 50 dollar overmaken. Het wordt afgeraden om dit te doen. Meestal krijg je nadat je betaald hebt nog steeds geen toegang en vaak zijn bestanden zo beschadigd dat je er toch niet meer bij kan komen. Op dit moment is er dan ook nog geen andere oplossing dan je schijf te formatteren en opnieuw te beginnen.

EvilQuest Mac ransomware macOS
Klik/tap voor groter. (Afbeelding: 9to5Mac)

Bescherm jezelf tegen ransomware

Hoewel deze ransomware nu opduikt in een illegaal verkregen app, betekent het niet dat je veilig bent wanneer je alles legaal doet. Deze code zou namelijk ook op kunnen duiken in legale apps die buiten de App Store gedistribueerd worden. Houd er rekening mee dat je nooit helemaal veilig bent en maak regelmatig een back-up van belangrijke bestanden.

Reacties

5 reacties
  • Profielfoto
    RW076

    Je bent niet alleen dom als je illegale software gebruikt, je bent ook gewoon een dief. Die $50,- vind ik nog weinig leergeld.

  • Profielfoto
    csteelooper

    @RW076 Precies wat ik ook dacht. Software downloaden doe ik sowieso alleen nog van legale (lees: betrouwbare) sites.

  • Profielfoto
    MacMartino

    Vroeger nooit last van virusjes, maar na wat vage dingen toch maar Bitdefender aangeschaft en op 3 Macs geinstalleerd. Die heeft diverse trojan dingen gevonden en laatst nog 3 onderschept in de achtergrond. Werkt goed en geeft wel meer rust. En dat voor 40 a 45,- per jaar

  • Profielfoto
    polansky

    Eigenschuld dikke bult….

    Volgens mij is illegaal downloaden en apps installeren vooral iets van jongeren.
    Ik zal niet zeggen dat ik nooit wat illegaals heb gedownload, maar naarmate je ouder wordt heb je niet zo de behoefte meer om vanalles te downloaden en op je computer te gebruiken. Dan weet je wat je nodig hebt en koop je die apps. Gewoon omdat je weet dat dit eigenlijk het enige goede is.

  • Profielfoto
    Mehk

    Hey moraalriddertjes, jullie realiseren je ook dat er software bestaat welke wel legaal te downloaden is maar niet te verkrijgen is in de App Store?