Пользователи Mac теперь сталкиваются с новым вымогателем «EvilQuest», который шифрует файлы и вызывает множество проблем в операционной системе. Malwarebytes сегодня проанализировал вымогателей, которые распространяются через пиратские приложения macOS.

Вредоносный код был впервые обнаружен в пиратской копии приложения Little Snitch, доступного на русском форуме с торрент-ссылками. Загруженное приложение поставляется с файлом установщика PKG, в отличие от его оригинальной версии.
Изучив этот файл PKG, Malwarebytes обнаружил, что приложение поставляется с «сценарием после установки», который обычно используется для очистки установки после завершения процесса. В этом случае, однако, скрипт внедряет вредоносное ПО для macOS.
Файл сценария копируется в папку, связанную с приложением Little Snitch, под именем CrashReporter, поэтому пользователь не заметит его запуск в Activity Monitor, поскольку у macOS есть внутреннее приложение с похожим именем. Установленное местоположение: / Library / LittleSnitchd / CrashReporter.
Malwarebytes отмечает, что для того, чтобы вымогатель начал работать после его установки, требуется некоторое время, поэтому пользователь не будет связывать его с последним установленным приложением. После активации вредоносного кода он изменяет системные и пользовательские файлы с неизвестным шифрованием.
Часть шифрования приводит к тому, что Finder не работает должным образом, и система постоянно падает. Даже системная цепочка для ключей повреждена, поэтому невозможно получить доступ к паролям и сертификатам, сохраненным на Mac. Сообщение на экране говорит, что пользователь должен заплатить 50 долларов за восстановление своих файлов, иначе все будет удалено через три дня.

Читайте также:
Официальный телевизор Huawei OLED TV Vision X65 с частотой обновления 120 Гц

После того, как они зашифровали файлы, избавиться от вредоносного ПО до сих пор не удается, поэтому пользователям следует хранить обновленную резервную копию всего.
Лучший способ избежать последствий вымогателей — поддерживать хороший набор резервных копий. Сохраняйте как минимум две резервные копии всех важных данных, и по крайней мере одну не следует постоянно подключать к вашему Mac. (Ransomware может попытаться зашифровать или повредить резервные копии на подключенных дисках.)
Хотя вымогатель на данный момент включен только в пиратские приложения, Apple должна как можно быстрее исправить этот недостаток безопасности, поскольку этот вредоносный код может быть включен в другие приложения.
Вы можете прочитать более подробную техническую информацию о EvilQuest на веб-сайте Malwarebytes.
FTC: Мы используем автоматические партнерские ссылки для заработка. Больше.
Проверьте 9to5Mac на YouTube, чтобы узнать больше новостей Apple:

blank