ThiefQuest ransomware krijgt gratis decryptor

Door: Night - 2 reacties
ThiefQuest
Afbeelding: BleepStatic

ThiefQuest, de nieuwste ransomware voor macOS blijkt erg slecht te zijn gecodeerd. Zo slecht zelfs, dat er inmiddels een decryptor beschikbaar is. Deze maakt het herstel van de gecodeerde bestanden mogelijk als je geen back-up zou hebben.

De malware, die aanvankelijk onder de naam EvilQuest bekend werd, start zijn coderingsroutine onmiddellijk na het infecteren van een systeem. Losgeld betalen om je files weer leesbaar te maken is niet mogelijk. EvilQuest biedt geen optie om contact op te nemen met de aanvallers.

ThiefQuest

Direct na infectie krijgt de gebruiker een losgeldbrief. Daarin staat dat je 72 uur de tijd hebt om $ 50 aan Bitcoints te betalen als je de gecodeerde bestanden wil ontgrendelen. Er wordt echter nergens een e-mailadres vermeld om contact op te nemen met de aanvaller voor instructies over decodering.

 

EvilQuest encryption message
EvilQuest encryptie bericht (klik/tap voor groter). Afbeelding: SentinelOne

 

EvilQuest ransom note
EvilQuest tekst (klik/tap voor groter). Afbeelding: SentinelOne

Diverse antivirusbedrijven hebben hebben geanalyseerd hoe ThiefQuest werkt. Hoewel de ransomware wel degelijk je bestanden versleuteld, blijkt dat niet het eigenlijke doel te zijn. Het echte doel van de malware is om bestanden op geïnfecteerde systemen te zoeken en te stelen. Dat zou onder meer blijken uit het data-exfiltratie script:

ThiefQuest DataExfiltration
ThiefQuest data exfiltratie (klik/tap voor groter). Afbeelding: SentinelOne

De malware kijkt in de map /Users om bestanden te stelen met o.a. de volgende extensies:

.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p , .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat

Ontgrendelen van de bestanden

Malware-analisten bij cyberbeveiligingsbedrijf SentinelOne onderzochten ThiefQuest en ontdekten dat de ransomware een ‘aangepaste symmetrische coderingsroutine gebruikt op basis van een RC2-algoritme’.

Dieper in de code kijkend, vonden de onderzoekers de functie die verantwoordelijk is voor de versleuteling van de bestanden. Daarbij kwamen ze tot de ontdekking dat de symmetrische sleutel (128 bytes) op een ‘kinderlijk eenvoudige manier’ werd gecodeerd. Door een versleuteld bestand te vergelijken met het origineel, kwamen de onderzoekers erachter dat er een extra gegevensblok was toegevoegd, dat zowel de coderings-  als de decoderingssleutel bevatte.

Jason Reaves van Sentinel Labs:

Dit betekent dat de sleutel voor het decoderen na versleuteling wordt toegevoegd aan het bestand. Als je naar een volledig versleuteld bestand kijkt, zie je dat er een gegevensblok aan is toegevoegd.

Het terugspoelen van het coderingsproces kostte niet al te veel moeite, omdat de aanvaller de functie die verantwoordelijk was voor de versleuteling niet kon verwijderen. Als gevolg hiervan worden door het aanroepen van deze functie de gegevens ontgrendeld.

Het gevaar blijft maar er is een oplossing

Deze bevindingen stelden de mensen van SentinelOne in staat een decoderingstool te ontwikkelen voor bestanden die waren vergrendeld door de ThiefQuest ransomware. Het bedrijf biedt de EvilQuest decryptor inmiddels gratis aan, onder de GNU GPL v2 gratis softwarelicentie.

Als ThiefQuest eenmaal aan zijn ‘taak’ begint, is er geen manier meer om de privacy van de gegevens op je computer te waarborgen. Getroffen gebruikers kunnen weliswaar nu wél hun bestanden terughalen, maar om ThiefQuest geheel van je systeem te verwijderen heb je een extra stukje gereedschap nodig, dat de meesten onder ons al standaard op hun Mac hebben staan. De laatste update van MalwareBytes kan volgens de makers de ransomware opsporen en geheel verwijderen.

ThiefQuest werd ontdekt in torrent-files van (illegale versies van) Little Snitch en de DJ-app Mixed in Key.

Reacties

2 reacties
  • Profielfoto
    ¿`„

    SentinelOne, bedrijfsnaam afgeleid van Sentinel eiland. Waar de bewoners primitief leven en buitenstaanders met geweld van een eiland verjagen.

    Wel originele naam voor een it bedrijf dat zich richt op it veiligheid.

  • Profielfoto
    Ree

    “Losgeld betalen om je files weer leesbaar te maken is niet mogelijk. ”

    ” … losgeldbrief. Daarin staat dat je 72 uur de tijd hebt om $ 50 aan Bitcoints te betalen als je de gecodeerde bestanden wil ontgrendelen”

    dus

    kun je nou wel of niet losgeld betalen om je files weer leesbaar te maken????