Scoperto nuovo ransomware per Mac, ma potrebbe essere stato già netraulizzato da Apple
Una variante del ransomware per Mac “EvilQuest” è stato scoperto camuffato con i nomi di popolari software sui siti torrent che permettono di scaricare applicazioni piratate.
Come tutti i ransomware anche questo cifra i dati presenti sul Mac della vittima, e chiede un riscatto, in questo caso “economico” visto che si tratta di appena $50, per decriptare i documenti. Secondo Malwarebytes il nuovo ransomware non è realizzato molto bene, l’installer appare come una icona generica e non con quella dell’applicazione che dice di essere (e già questo dovrebbe allertare l’utente), e non bisogna pagare il riscatto perchè non sembra essere stato previsto un reale sistema per decriptare i file cifrati.
Un volta lanciato e digitata la password amministratore, il malware installa un file eseguibile chiamato “Patch” nella directory /Users/Shared e uno script post-installazione per infettare il computer.
Lo script di installazione sposta il file Patch in una nuova posizione e lo rinomina CrashReporter, in modo da non dare nell’occhio in Monitoraggio Attività, quindi il file Patch si installa in diversi punti del Mac.
Il ransomware crittografa i documenti presenti sul Mac, inclusi quelli del Portachiavi, causando un errore quando si tenta di accedervi. Anche il Finder non funzionava correttamente insieme al dock e ad altre applicazioni.
Il malware può anche installare un keylogger per monitorare le sequenze di tasti che vengono premute, ma al momento non è chiaro a quale scopo. Malwarebytes afferma che il suo software per Mac è in grado di rimuovere il ransomware, che è stato chiamato Ransom.OSX.EvilQuest. Tuttavia, i file crittografati richiedono un ripristino da un backup di Time Machine. Al momento non è chiaro se il ransomware sia in grado di cifrare anche i dati contenuti su un disco esterno collegato al Mac, come il backup di Time Machine.
Contemporaneamente alla scoperta di Ransom.OSX.EvilQuest, Apple in remoto ha aggiornato il file di sistema XProtect (che giunge cosi alla versione 2124), che include tutte le definizioni dei malware per Mac. Cupertino con questo update ha neutralizzato 7 malware denominati MACOS.b17a97e, MACOS.8340d93, MACOS.f4a3a92, MACOS.8d038b3, MACOS.c723519, MACOS.bd64115 e MACOS.e4644f7 e una variante di MACOS.e79dc35.
Sfortunatamente, Apple ha deciso di utilizzare nomi interni per le definizioni dei malware, e quindi non è più possibile sapere quali sono stati bloccati. Tuttavia, se non è una coincidenza la contemporaneità dell’aggiornamento di XProtect e la scoperta di Ransom.OSX.EvilQuest, è probabile che quest’ultimo sia stato già bloccato.
2 commenti
Mi chiedo: premesso che molto spesso questi ransomware sono in grado di criptare anche dischi di rete (e quindi un backup timemachine), io che utilizzo iCloud per tenere una copia di tutti i miei file, compreso il desktop (praticamente ‘unica cartella che non finisce su iCloud è quella Download), in un caso come questo potrei riccamente fregarmene, reinstallare tutto da 0 e risincronizzare da iCloud (nel caso il mio backup time machine venisse criptato) giusto?
Se i file di iCloud sono fisicamente sul Mac, dovrebbero essere ugualmente cifrati dal ransomware, almeno in teoria. In generale, per evitare il rischio ransomware bisognerebbe fare un backup su un disco che si tiene collegato solo il tempo necessario per fare quel backup.