Представлен бесплатный декриптор для зашифрованных ThiefQuest файлов

Ошибки в коде вымогательского ПО для macOS под названием ThiefQuest (более раннее название EvilQuest) позволили специалистам компании SentinelOne создать бесплатный инструмент для восстановления зашифрованных файлов. Отличительной чертой вредоноса является тот факт, что после шифрования файлов он не предоставляет никаких контактов, которые позволили бы жертве получить инструкции по их расшифровке.

Как сообщается в записке с требованием выкупа, в течение 72 часов жертва должна перечислить $50 в биткойнах на указанный криптовалютный кошелек. Однако, даже если жертва заплатить выкуп, у нее нет никакой возможности получить от вымогателей инструмент для восстановления файлов.

Как показал анализ ThiefQuest, проведенный специалистами Bleeping Computer, истинное предназначение вредоноса – поиск и похищение файлов со взломанного компьютера. Программа сканирует содержимое папки /Users на предмет содержания в ней файлов .pdf, .doc, .jpg, .txt, .pages, .pem, .cer, .crt, .php, .py, .h, .m, .hpp, .cpp, .cs, .pl, .p, .p3, .html, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .pptx, .keynote, .js, .sqlite3, .wallet и .dat.

Специалисты SentinelOne обнаружили, что ThiefQuest использует кастомное симметричное шифрование на базе алгоритма RC2. В процессе анализа кода они выявили ответственную за шифрование функцию и выяснили, что симметричный ключ (128-байтный) зашифрован очень просто.

Как показало сравнение зашифрованной версии файла с оригиналом, зашифрованная версия имеет дополнительный блок данных, содержащий ключ шифрования/ дешифрования и ключ, который его кодирует.

«Это означает, что ключ в виде простого текста, используемый для кодирования ключа шифрования файлов, в конечном итоге присоединяется к закодированному ключу шифрования файлов. Как показал анализ полностью зашифрованного файла, к нему добавлен блок данных», - сообщил Джейсон Ривз (Jason Reaves) из SentinelOne.

Восстановление процесса шифрования не потребовало больших усилий, поскольку злоумышленнику не удалось удалить функцию, ответственную за дешифрование. В результате вызов этой функции приводит к разблокировке данных.

Инструмент для дешифровки файлов от SentinelOne распространяется бесплатно по лицензии GNU GPL v2.