EvilQuest เป็น Ransomware ตัวใหม่ที่พบใน Mac หลังจากผู้ใช้งานไปดาวน์โหลดแอพพลิเคชั่น Little Snitch จากฟอรั่มที่เป็นแหล่งดาวน์โหลดแอพเถื่อนในรัสเซีย หรือเรียกได้ว่าเป็นการดาวน์โหลดแอพ Little Snitch แบบละเมิดลิขสิทธิ์และผิดกฎหมาย
ไม่เพียงแค่เป็นการกระทำที่ผิดกฎหมาย แต่การดาวน์โหลดและติดตั้งแอพ Little Snitch จากเว็บเถื่อน ยังแฝงมาด้วยไฟล์ที่เป็นอันตรายภายใต้ชื่อ Patch และฝังไปที่ไดเรคทอรี่ /Users/Shared และยังมีสคริปต์สำหรับติดตั้งไวรัสลงไปในเครื่อง
สคริปต์ดังกล่าวจะย้ายไฟล์ Patch ไปยังตำแหน่งใหม่และเปลี่ยนชื่อเป็น CrashReporter โดยซ่อนไว้ใน Activity Monitor จากนั้นไฟล์ Patch จะติดตั้งเองในหลายๆ จุดบน Mac
จากนั้น Ransomware จะเข้ารหัสในการตั้งค่าและไฟลข้อมูลต่างๆ คล้ายกับไฟล์ Keychain ส่งผลให้เกิดข้อผิดพลาดเมื่อผู้ใช้งานพยายามเข้าถึง iCloud Keychain และยังพบปัญหาในการใช้งาน Finder, Dock และแอพอื่นๆ
Malwarebytes ซึ่งเป็นผู้ค้นพบ Ransomware ตัวใหม่ ระบุว่า Ransomware ตัวนี้ยังทำงานได้ไม่ดี และไม่สามารถให้คำแนะนำเจ้าของ Mac ที่ถูกฝัง Ransomware ให้จ่ายค่าไถ่ได้ แต่ก็มีภาพหน้าจอที่แนะนำวิธีการจ่ายค่าไถ่เพื่อให้ถอน Ransomware ออกจากอุปกรณ์ ในราคา 50 ดอลล่าร์สหรัฐ หรือราว 1,550 บาท
อย่างไรก็ตาม Malwarebytes แนะนำว่า ไม่ควรจ่ายค่าไถ่ตามที่เรียกร้อง เพราะจะไม่มีการลบมัลแวร์ออกจากเครื่องไปจริงๆ แต่ชี้ว่าซอฟต์แวร์สำหรับ Mac ที่สามารถลบ Ransomware ดังกล่าวได้ จะพบว่าเป็นไฟล์ Ransom.OSX.EvilQuest ส่วนไฟล์อื่นๆ ที่ถูกเข้ารหัส สามารถกู้คืนได้จากการสำรองข้อมูล
Malwarebytes ยังพบ Ransomware ที่ทำงานคล้ายกันในหลายแอพที่ดาวน์โหลดมาจากเว็บเถื่อน เพราะฉะนั้นเจ้าของ Mac ควรดาวน์โหลดและติดตั้งแอพจากแหล่งดาวน์โหลดที่ถูกต้อง
ที่มา – MacRumors
https://www.flashfly.net/wp/306010
