plist解密_免费解密工具针对ThiefQuest Mac勒索软件
端点安全公司SentinelOne的研究人员创建了一个工具,使用户能够恢复由名为ThiefQuest的Mac恶意软件加密的文件,该恶意软件为勒索软件。
ThiefQuest最初名为EvilQuest,旨在对受感染系统上的文件进行加密,但也允许其操作员记录键盘记录,窃取文件并完全控制受感染的设备。
ThiefQuest最初被归类为勒索软件,但仔细分析后发现,攻击者无法知道哪个受害者支付了赎金,这使研究人员认为勒索软件功能旨在掩盖数据盗窃活动。
感染
一旦安装程序触发了感染,恶意软件便开始在硬盘驱动器上相当自由地传播自己。两种变体都patch在以下位置安装了文件副本:
/Library/AppQuest/com.apple.questd
/Users/user/Library/AppQuest/com.apple.questd
/private/var/root/Library/AppQuest/com.apple.questd
它还通过启动代理和守护程序plist文件设置持久性:
/Library/LaunchDaemons/com.apple.questd.plist
/ Users /用户/Library/LaunchAgents/com.apple.questd.plist
/private/var/root/Library/LaunchAgents/com.apple.questd.plist
在中找到的每个文件组中的后者/private/var/root/,可能是由于在用户文件夹中创建文件的代码中存在错误,导致在根用户文件夹中创建了文件。由于几乎没有人实际以root用户身份登录,因此这没有任何实际用途。
奇怪的是,该恶意软件也将自身复制到以下文件:
/用户/用户/库/.ak5t3o0X2
/private/var/root/Library/.5tAxR3H3Y
后者与原始patch文件相同,但是前者以非常奇怪的方式进行了修改。它包含patch文件的副本,该文件的数据的第二个副本附加到末尾,后跟附加的9个字节:十六进制字符串03705701 00CEFAAD DE。尚不清楚这些文件或此附加附加数据的用途是什么。
更奇怪的是,仍然是莫名其妙的是,该恶意软件还修改了以下文件:
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/crashpad_handler
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/GoogleSoftwareUpdateDaemon
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksadmin
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksdiagnostics
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksfetch
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksinstall
这些文件都是GoogleSoftwareUpdate的一部分的所有可执行文件,由于在计算机上安装了Google Chrome,因此最常安装这些文件。这些文件具有文件内容的patch前缀,这当然意味着在执行这些文件中的任何一个时,恶意代码就会运行。但是,Chrome会发现文件已被修改,并且运行后会立即用干净的副本替换修改后的文件,因此目前尚不清楚目的是什么。
ThiefQuest是针对macOS应用程序(例如Ableton和Mixed in Key DJ应用程序以及Little Snitch防火墙)的木马安装程序提供的。一旦安装了恶意软件,它将开始加密在设备上找到的文件,然后通过文本文件和模式窗口通知受害者,他们的文件已被加密,需要用比特币支付50美元的赎金才能恢复它们。
小偷任务
但是,正如Bleeping Computer指出的那样,将向所有受害者提供相同的比特币地址,并且受害者无法与攻击者联系,让他们知道赎金已经支付。
此外,苹果安全专家帕特里克·沃德尔(Patrick Wardle)注意到,该解密例程在恶意软件代码中的任何地方均未调用,这表明该解密例程从未得到执行。Malwarebytes研究人员指出,即使恶意软件声称已加密文件,也并不总是对其进行加密,这进一步表明勒索软件功能只是一种干扰。
对于文件已被恶意软件加密的Mac用户,SentinelOne已发布了免费的解密工具。该公司的研究人员对ThiefQuest进行了分析,并注意到其开发人员将解密功能保留在了恶意软件代码中。一旦他们能够恢复解密文件所需的密钥,就可以使用恶意软件自己的解密功能来恢复加密的文件。
ThiefQuest旨在从受感染的系统中窃取文档,图像,源代码,数据库,加密密钥和加密货币钱包。
Wardle 对威胁的分析表明,它还会查找可执行文件,并向这些文件添加恶意代码。这将使其像病毒一样传播,这在Mac恶意软件中非常罕见。
“现实是,大多数(全部?)最近的macOS恶意软件标本不是计算机病毒(按照标准定义),因为它们不寻求本地复制自身。但是OSX.EvilQuest确实……使它成为真正的macOS计算机病毒!” 沃德尔说。
免费工具-恢复ThiefQuest Mac恶意软件加密的文件下载:
https://github.com/Sentinel-One/foss/tree/master/s1-evilquest-decryptor
妥协指标
补丁(com.apple.questd)
5a024ffabefa6082031dccdb1e74a7fec9f60f257cd0b1ab0f698ba2a5baca6b
小飞贼4.5.2.dmg
f8d91b8798bd9d5d348beab33604a540e13ce40b88adc096c8f1b3311187e6fa
混入密钥8.dmg
b34738e181a6119f23e930476ae949fc0c7c4ded6efa003019fa946c4e5b287a
样品
SHA-1:178b29ba691eea7f366a40771635dd57d8e8f7e8
SHA-256:f409b059205d9a7700d45022dad179f889f18c58c7a284673975271f6af41794
MD5:522962021E383C44AFBD0BC788CF6DA3 6D1A07F57DA74F474B050228C6422790 98638D7CD7FE750B6EAB5B46FF102ABD
plist解密_免费解密工具针对ThiefQuest Mac勒索软件相关推荐
- 【更新】解密工具 /密钥公开|新型勒索软件WannaRen风险通告
[更新]解密工具 /密钥公开|新型勒索软件WannaRen风险通告 360-CERT [360CERT](javascript:void(0)
- onedrive电脑手机不同步_免费的手机电脑同步便签软件怎么找?求帮忙推荐
互联网时代的今天,手机和电脑成了很多人常用的设备工具.只不过,二者的操作系统不同,因此其上支持运行的软件也不同.就拿记事来说吧,虽然电脑(Win7及其以上版本)上有系统自带的Windows便签,手机上 ...
- 免费的sql工具_免费SQL工具
免费的sql工具 Adminer ApexSQL CI/CD toolkit ApexSQL Compare ApexSQL Complete ApexSQL Decrypt ApexSQL Plan ...
- 飞凌单片机解密_芯片解密方法大全
芯片解密方法大全 首先要们要了解的是什么是芯片解密, 网络上对芯片解密的定义很多, 其实, 芯片解密 无非就是通过一定的手段,将已加密的芯片变为不加密型,进而将程序读取出来. 芯片解密所要具备的条件是 ...
- mysql aes java解密_加密/解密的Java函數,如Mysql的AES_ENCRYPT和AES_DECRYPT
1 If you need the code to decrypt the algorithm is here JAVA 如果你需要代碼解密算法就在這里JAVA public static Strin ...
- 后羿采集器怎么导出数据_免费爬虫工具:后羿采集器如何采集同花顺圈子评论数据...
本文主要介绍如何使用后羿采集器的智能模式,免费采集同花顺圈子首页短评的发布时间.发布内容.作者及阅读量等信息. 采集工具简介: 后羿采集器是一款基于人工智能技术的网络爬虫软件,只需要输入网址就能够自动 ...
- java sha256 解密_如何解密SHA-256加密字符串?
如何解密SHA-256加密字符串? 我有一个使用以下方法编码的字符串,有没有办法将此字符串解码回原始值?谢谢.public synchronized String encode(String pass ...
- 2023年七大最佳勒索软件解密工具
勒索软件是当下最恶毒且增长最快的网络威胁之一.作为一种危险的恶意软件,它会对文件进行加密且无法破解,并用其进行勒索来换取报酬,很多企业都遭受到了类似威胁,之前某士康几十亿勒索的案例相信大家应该听过. ...
- 勒索文件恢复_我将如何从勒索软件中恢复
勒索文件恢复 There are very few things that genuinely worry me in cybersecurity. Recovering from ransomwar ...
最新文章
- linux设备驱动归纳总结
- 十七、字符类 GPIOS
- 从行业龙头到世界500强,中国科技企业要跨过哪些坎?
- HBase Error IllegalStateException when starting Master: hsync
- 婚宴座位图html5,图解现代婚宴座位安排
- Codeforces Round #112 (Div. 2) E. Compatible Numbers sosdp
- 微型计算机中 辅助存储器通常包括,第7章 微型计算机存储器习题参考答案
- VC++动态链接库DLL编程深入浅出
- 【Elasticsearch】 es primary shard 主分片 PrimaryOperationTransportHandler
- 跟驰理论 matlab,第5章跟驰理论48127855.ppt
- 惠普重新定义IT基础设施
- 数据的更新(update的用法)笔记
- python 使用pandas将xlsx转成csv
- 【Kubernetes 018】cfssl创建证书并结合RBAC的RoleBinding配置新用户config文件操作详解
- Deeplav V3总结
- 附加码看不见的解决方法
- 在内容合规上,如何建立内容审核体系?
- 关于虚拟货币内容发布规则的调整通知
- 纠结!到底使用传统数据库还是区块链?
- rhel系统启动过程_详解linux系统的启动过程及系统初始化
热门文章
- 洛谷 P3466 [POI2008]KLO-Building blocks 支持删除的堆
- 12种JS常用获取时间的方式
- 论文笔记--Coupled Layer-wise Graph Convolution for Transportation Demand Prediction
- RabbitMQ的服务端和客户端RabbitMQ-c的简单使用。
- 福昕阅读器中书签里面页面跳转保持适合宽度样式
- 手机显示屏TFT LCD分类
- 从零开始学爬虫系列3:漫画下载,动态加载、反爬虫这都不叫事!
- 单板计算机Beaglebone-Black首发上手体验
- 利用支持向量机进行癌症分类的基因选择
- Chapter2.2 管理Ansible配置文件