Ransomware 'EvilQuest' verschlüsselt private Dateien des Mac-Nutzers

Freunde der Piraterie und Torrent-Seiten müssen nun noch mehr als zuvor beim Download von Programmen aus dem Netz achten, denn zurzeit geht Ransomware rum die die Daten des Nutzers gegen einen Aufpreis verschlüsselt. Das Programm läuft unter dem Namen 'EvilQuest' und existiert, wie der Name schon andeutet, um sich in Setups von anderen Programmen einzuschleichen und nach dem Setup Malware in das System zu befördern. Das Antivirus-Unternehmen Malwarebytes hat sich die Zeit genommen um EvilQuest unter die Lupe zu nehmen und dabei herausgefunden, dass jene zuerst in einer illegalen Kopie der russischen App Little Snitch auf einer Torrent-Seite aufgetaucht ist. 

Die eigentliche Funktionalität der Malware ist hier besonders heimtückisch, da der Nutzer technisch gesehen das Programm korrekt herunterlädt und installiert. Erst mit dem 'Postinstall Script', welcher von Setups genutzt wird um die Installation abzuschließen, bettet sich die Malware in macOS ein. Unter dem Namen 'CrashReporter' bleibt EvilQuest von dann an aktiv, was vom Nutzer oftmals zunächst nicht beachtet wird da macOS über eine interne App mit einem ähnlichen Namen verfügt. Nach Einbettung von EvilQuest notierte Malwarebytes folgende Symptome: zunächst scheint der Finder sporadisch nicht mehr zu funktionieren, danach kann es zu ebenso sporadischen Systemabstürzen kommen. Dies passiert jedoch eine Weile nach dem eigentlichen Aktivieren der Malware - um den Nutzer nicht offensichtlich darauf hinzuweisen, dass jene vom letzten heruntergeladenen Programm stammt. Eine Weile nach den Abstürzen wird die Keychain des Nutzers unbrauchbar gemacht und nach und nach alle Dateien des Nutzers verschlüsselt. Daraufhin erscheint beim nächsten Aktivieren des Macs die folgende Meldung:

"Viele deiner wichtigen Dokumente, Fotos, Videos, Bilder und anderen Dateien sind nicht mehr verfügbar da jene verschlüsselt worden sind. Vielleicht versuchst du nun einen Weg zu finden um deine Dateien wieder zu bekommen, aber spar dir diese Zeit. Niemand kann deine Dateien ohne unseren Entschlüsselungs-Service retten. Wir garantieren allerdings dass du deine Dateien sicher und einfach für 50 US-Dollar wieder erlangen kannst. Unser Angebot ist drei Tage lang verfügbar (ab jetzt!). Volle Details findest du unter der READ_ME_NOW.txt Datei auf deinem Desktop."

Dass die Ransomware von Torrent-Seiten mit der Zeit auf standardmäßige Programme überwandern könnte, ist eine legitime Sorge. Die einzige Möglichkeit den unbefugten Zugriff zu beseitigen, ist ein neuer Patch in dem Apple die von EvilQuest ausgenutzten Sicherheitslücken behebt. Mehr Details zu dem Programm findet man bei der offiziellen Analyse von Malwarebytes.