Пользователи Mac теперь сталкиваются с новым вымогателем «EvilQuest», который шифрует файлы и вызывает множество проблем в операционной системе. Malwarebytes сегодня проанализировал вымогателей, которые распространяются через пиратские приложения macOS.

Вредоносный код был впервые обнаружен в пиратской копии приложения Little Snitch, доступного на русском форуме с торрент-ссылками. Загруженное приложение поставляется с файлом установщика PKG, в отличие от его оригинальной версии.
Изучив этот файл PKG, Malwarebytes обнаружил, что приложение поставляется с «сценарием после установки», который обычно используется для очистки установки после завершения процесса. В этом случае, однако, скрипт внедряет вредоносное ПО для macOS.
Файл сценария копируется в папку, связанную с приложением Little Snitch, под именем CrashReporter, поэтому пользователь не заметит его запуск в Activity Monitor, поскольку у macOS есть внутреннее приложение с похожим именем. Установленное местоположение: / Library / LittleSnitchd / CrashReporter.
Malwarebytes отмечает, что для того, чтобы вымогатель начал работать после его установки, требуется некоторое время, поэтому пользователь не будет связывать его с последним установленным приложением. После активации вредоносного кода он изменяет системные и пользовательские файлы с неизвестным шифрованием.
Часть шифрования приводит к тому, что Finder не работает должным образом, и система постоянно падает. Даже системная цепочка для ключей повреждена, поэтому невозможно получить доступ к паролям и сертификатам, сохраненным на Mac. Сообщение на экране говорит, что пользователь должен заплатить 50 долларов за восстановление своих файлов, иначе все будет удалено через три дня.

Читайте также:
Телефон «Орион» с Exynos 1080 появляется на AnTuTu, опережая телефоны S865 + в тесте GPU

После того, как они зашифровали файлы, избавиться от вредоносного ПО до сих пор не удается, поэтому пользователям следует хранить обновленную резервную копию всего.
Лучший способ избежать последствий вымогателей — поддерживать хороший набор резервных копий. Сохраняйте как минимум две резервные копии всех важных данных, и по крайней мере одну не следует постоянно подключать к вашему Mac. (Ransomware может попытаться зашифровать или повредить резервные копии на подключенных дисках.)
Хотя вымогатель на данный момент включен только в пиратские приложения, Apple должна как можно быстрее исправить этот недостаток безопасности, поскольку этот вредоносный код может быть включен в другие приложения.
Вы можете прочитать более подробную техническую информацию о EvilQuest на веб-сайте Malwarebytes.
FTC: Мы используем автоматические партнерские ссылки для заработка. Больше.
Проверьте 9to5Mac на YouTube, чтобы узнать больше новостей Apple: