Mac-Malware EvilQuest / ThiefQuest: Entschlüsselungs-Tool soll helfen

Mit dem Tool können Nutzer versuchen, von der Ransomware verschlüsselte Dateien zu retten. Die Malware nistet sich offenbar tief ins System ein.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 25 Beiträge

(Bild: Screenshot: Patrick Wardle)

Von

Eine Sicherheitsfirma hat ein Entschlüsselungs-Tool für eine neu entdeckte Ransomware veröffentlicht, die auf Mac-Nutzer abzielt. Der zwischenzeitlich von EvilQuest in ThiefQuest umbenannte Schädling versucht nach der Installation durch den Nutzer unter anderem, Dateien zu verschlüsseln.

Die Malware wurde offenbar als Bestandteil gecrackter Versionen beliebter Mac-Software wie etwa Little Snitch als Torrent-Datei zum Download feilgeboten.

Die Malware setze nicht auf Public-Key-Verschlüsselungsverfahren, sondern auf eine teils auf der Blockchiffre RC2 basierende Verschlüsselung, schreibt Sentinel Labs. Das Unternehmen sei nach näherer Begutachtung in der Lage gewesen, die Verschlüsselungroutine zu knacken. Ein Kommandozeilen-Tool zur Entschlüsselung wird auf Github bereitgestellt.

Apple hat den in macOS integrierten Malware-Schutz XProtect in neuer Version v2125 um eine Signatur zur Erkennung von ThiefQuest ergänzt, schreibt der Sicherheitsforscher Patrick Wardle, der die Malware ebenfalls analysiert hat. Apple führt diese unter dem Namen "MACOS.6cb9746", sie sollte das Öffnen der Software unterbinden. XProtect erkenne aber neue Varianten des Schädlings bislang noch nicht, erklärte Wardle.

Die Verschlüsselung von Nutzerdateien sei aber nur ein Element des Schädlings und funktioniere zudem nicht zuverlässig, heißt es von der Sicherheitsfirma Malwarebytes. Auch der beiliegende "Erpresserbrief" sei untypisch für klassische Ransomware: Der für eine angebliche Entschlüsselung geforderte Betrag von 50 Dollar sei auffällig niedrig und es werde immer dieselbe Bitcoin-Adresse zur Zahlung angegeben, entsprechend könne der Erpresser gar nicht nachvollziehen, wer bezahlt hat – eine Entschlüsselung sei wohl nicht vorgesehen.

Die Malware konzentriere sich stattdessen darauf, möglichst viele Dateien des Nutzers zu extrahieren und diese an einen Server zu übertragen, auch Code für das Mitschneiden der Tastatureingaben sei enthalten. Zudem versuche ThiefQuest, sich in ausführbare Dateien einzunisten und so auf dem System präsent zu bleiben, selbst wenn der Nutzer die ursprünglich installierte Malware entfernt, schreibt Wardle. Betroffene Nutzer sollten deshalb ihr System löschen und komplett neu aufsetzen oder von einem früheren Backup wiederherstellen.

Lesen Sie auch

(lbe)