Компания по исследованию вредоносных программ K7 Lab обнаружила новую версию вируса-вымогателя, которая специально создана для компьютеров на macOS.
Вирус OSX.ThiefQuest появился в начале прошлого месяца и сразу проявил большую активность. Он распространяется через торрент-файлы и на сайтах с пиратскими программами. Например, вирус найден в пиратской версии приложения Little Snitch, которая распространяется на русских форумах.
Одним из первых признаков того, что ThiefQuest пробрался на компьютер является зависание Finder (проводника). Когда вирус будет полностью развернут, он зашифрует файлы на компьютере и поместит на Рабочий стол текстовый файл с инструкциями по уплате выкупа. В среднем, сумма выкупа составляет $50 в биткоинах. Жертвам предоставляется 72 часа для оплаты.
Помимо шифрования файлов, ThiefQuest также устанавливает оболочку reverse shell, кейлоггер и крадет файлы, связанные с криптовалютой или кошельками. Вирус также пытается изменить файлы, специфичные для механизма обновления Google Chrome.
«Это означает, что даже если жертва заплатит, злоумышленник все равно будет иметь доступ к компьютеру и продолжит воровать файлы и отслеживать все нажатия клавиш», — сказал исследователь безопасности Jamf Патрик Уордл.
Исследователи особенно подчеркивают, что вирус не предлагает жертвам методы, чтобы связаться с операторами вируса. Также авторы вредоносной программы не могут отслеживать платежи по выкупам. То есть даже если жертва заплатит, то она не получит ключ для восстановления файлов. Все жертвы, зараженные этим вирусом, должны считать свои данные потерянными навсегда.
«Поскольку этот вирус-вымогатель прикрепляется к пиратскому программному обеспечению, то его очень легко избежать, просто не используя пиратские программы. Это правильно, независимо от того, являетесь ли вы пользователем Mac или Windows. Пиратское программное обеспечение и связанные с ними взломы являются основным методом распространения любых вирусов», — сказал аналитик угроз Emsisoft Бретт Кэллоу.