Anew Mac ransomware telah ditemukan oleh tim Malwarebytes. Menurut laporan itu, virus itu adalah varian dari ransomware “EvilQuest” yang menyebar melalui aplikasi Mac bajakan.
Tim menemukan ransomware setelah pengguna Twitter @beatsballert mengirim pesan kepada mereka tentang aplikasi Little Snitch bajakan di forum Rusia, yang mendistribusikan tautan torrent. Menganalisis penginstal, peneliti di Malwarebytes menemukan itu bukan hanya malware tetapi ransomware baru.
Hanya dengan melihat installer, tim merasa ragu karena memiliki paket installer generik. Tanpa diduga, paket itu memang menginstal Little Snitch yang sebenarnya tetapi juga menginstal file yang dapat dieksekusi bernama “Patch” serta skrip postinstall. Meskipun installer biasanya menyertakan skrip postinstall, di sini skripnya dibundel dengan malware.
Setelah menjalankan skrip, Patch dengan cepat pindah ke lokasi yang berbeda dan menamai dirinya “CrashReporter” yang merupakan salah satu proses umum pada macOS. Dari sana, Patch menyuntikkan dirinya ke beberapa daerah lain. Tim Malwarebytes mencatat bahwa beberapa aplikasi mulai tidak berfungsi, namun, tujuan utama dari ransomware tersebut adalah mengenkripsi file Keychain dan file data lainnya. Kemudian, ia akan meminta pengguna membayar $ 50 untuk membuka kunci file.
Tentu saja, biaya $ 50 tidak menghapus malware, tetapi yang menarik, tidak ada instruksi yang jelas tentang cara membayar tebusan di tempat pertama. Menurut laporan itu, malware terkadang menginstal keylogger juga; Namun, fungsinya tidak diketahui. Malwarebytes mendeteksi malware sebagai “Ransom.OSX.EvilQuest” dan file yang terinfeksi dapat dipulihkan dengan cadangan sebelumnya.