EvilQuest là một ransomware mới xuất hiện, nhắm vào những người dùng máy tính Mac. Sau vài hôm hoạt động, nó được đổi tên thành ThiefQuest.
Ngay sau khi lừa người dùng kích hoạt EvilQuest sẽ ngay lập tức mã hóa toàn bộ các tập tin nhất định của người dùng. Tuy nhiên, có vẻ như tiền chuộc không phải là thứ mà những kẻ đứng đằng sau EvilQuest quan tâm bởi chúng không cung cấp địa chỉ email để nạn nhân liên lạc.
Sau khi tấn công, EvilQuest để lại lời nhắn cho nạn nhân rằng họ có 72 giờ để nộp 50 USD vào một ví Bitcoin. Tuy nhiên, chúng không cung cấp địa chỉ email hay trang web để nạn nhân nhận hướng dẫn giải mã.
Sau khi phân tích cách thức hoạt động của EvilQuest, Bleeping Computer nhận thấy rằng mục đích thật sự của ransomware này là tìm và đánh cắp thông tin nhạy cảm trên máy của người dùng. Ảnh dưới là các đoạn mã trích xuất dữ liệu trong EvilQuest:
EvilQuest tấn công vào thư mục /Users và tập trung mã hóa các tập tin có định dạng sau:
.pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m,
.hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx,
.docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet, .dat
Giải mã tập tin
Vì chi tiền cho những kẻ đứng sau EvilQuest cũng không nhận được phần mềm giải mã nên người dùng phải tự tìm cách khắc phục vấn đề. Tuy nhiên, nhờ công ty bảo mật SentinelOne, việc giải mã EvilQuest trở nên đơn giản hơn rất nhiều.
Sau khi phân tích, các chuyên gia tại SentinelOne phát hiện ra rằng EvilQuest sử dụng phương pháp mã hóa đối xứng tùy chỉnh, dựa trên thuật toán RC2. Xem xét kỹ hơn, các chuyên gia đã xác định được hàm phụ trách quá trình mã hóa và biết rằng khóa đối xứng (128 byte) được chuyển mã theo một cách khá đơn giản.
So sánh một tập tin bị mã hóa với tập tin gốc, các nhà nghiên cứu phát hiện ra tập tin mã hóa có một khối dữ liệu bổ sung. Trong khối dữ liệu này có một phần mềm được mã hóa và khóa để mở nó. Khi mở ra, các nhà nghiên cứu khá bất ngờ khi phần mềm đó chính là bộ khóa mã hóa/giải mã các tập tin bị EvilQuest tấn công.
Quá trình giải mã không mất quá nhiều nỗ lực bởi những kẻ đứng sau EvilQuest đã không xóa bỏ hàm phụ trách việc giải mã. Kết quả là sau khi được gọi một lần nữa, hàm này sẽ giải mã dữ liệu.
Dựa trên những phát hiện này, SentinelOne đã phát triển ra một công cụ giải mã ransomware EvilQuest. Hiện tại, công ty này đang cung cấp miễn phí công cụ giải mã qua GitHub theo giấy phép phần mềm miễn phí GNU GPL v2.
Mặc dù đã có công cụ giải mã miễn phí nhưng bạn cũng nên cẩn thận để tránh bị nhiễm ransomware EvilQuest. Tập tin của bạn có thể giải mã được nhưng những thông tin đã bị hacker đánh cắp thì không thể lấy lại được.