This website uses cookies to ensure you get the best experience on our website.
Please note that by continuing to use this site you consent to the terms of our Privacy and Data Protection Policy.
Accept

EvilQuest / ThiefQuest ransomware for macOS shows the importance of using independently tested Mac antivirus software

English | Deutsch

EvilQuest / ThiefQuest ransomware for macOS shows the importance of using independently tested Mac antivirus software

EvilQuest / ThiefQuest ransomware is now blocked by Avast; AVG; Avira; Bitdefender, CrowdStrike; FireEye; Kaspersky; Trend Micro – tested by AV-Comparatives

First Appearance of EvilQuest / ThiefQuest

On 29th June, K7 security researcher Dinesh Devadoss @dineshdina04 tweeted about the discovery of a new macOS ransomware program (https://twitter.com/dineshdina04/status/1277668001538433025?lang=en).

Known as EvilQuest / ThiefQuest, not to be confused with the game of the same name, it appears at first glance to be a fairly standard ransomware program that encrypts user files and demands payment in return for a decryption key. However, it transpires that it’s especially nasty.

Although the ransom note provides a BitCoin address for payment, there is no apparent means for victims to contact the attackers or prove that they have paid.

What does it do?

Worse still, EvilQuest / ThiefQuest has some other nasty tricks in its box. It installs a keylogger, to record the victim’s every keystroke, and connects the targeted system to a command and control centre, enabling the attackers to run further commands. Finally, it will attempt to exfiltrate specific files relating to cryptocurrency wallets, in an attempt to steal more money.

EvilQuest’s authors seem to have made an effort to prevent malware researchers analysing the program. It appears that it may not run on virtual machines – frequently used for malware analysis – or if specific Mac antivirus programs are installed on the system (https://www.macworld.co.uk/news/mac-software/mac-ransomware-evilquest-thiefquest-3791288/).

Good News / Bad News

The good news about EvilQuest is that it’s pretty difficult to get infected. As a standalone installer, it will now be blocked by the built-in security mechanisms in macOS, assuming these have access to Apple’s cloud services. It appears that infections have only occurred when users have downloaded compromised installers for cracked versions of legitimate applications, such as Little Snitch and Mixed in Key8, via torrenting services. Even then, it will infect the Mac only if the security warnings from macOS are blindly clicked through.

Shall I pay the ransom?

Paying ransomware authors to decrypt your files is always a lottery at the best of times, but in most cases, it seems more or less certain that the encrypted data is lost forever, even if you do pay up.

What can I do?

“Do a backup, don’t pay the ransom! The best option is to run a backup frequently. But you have to make sure that you disconnect the backup medium from your computer afterwards, as otherwise the backup will be encrypted by the ransomware too!”

Use Antivirus Software for macOS

For Mac users who take their chances by running software from potentially risky sources, the importance of running effective, independently tested and certified antivirus software for macOS becomes apparent.

You can rely on independent comparative tests but not on online comparatives tools, eg. VirusTotal. It is by no means a guarantee of protection. Whilst these online scanners have their uses, they rely exclusively on command-line scanners to check uploaded files for malware, which does not simulate real-world. Additionally, some Mac malware may not be detected on VT unless they have the correct file extension.

A full antivirus program running on the local system has a whole host of other protection mechanisms, such as URL blockers, reputation services and behaviour blockers, which greatly increase the chances of protecting the system against infection. Such security software can also perform dynamic analysis of a program as it is executed, thus getting around obfuscation techniques (such as proprietary packing methods) that cannot be detected in a simple scan of the inactive installer.

Where to find a reliable macOS antivirus software test?

The test methodology employed by AV-Comparatives in their Mac Malware Test allows tested programs to use a variety of protection mechanisms, including cloud-based services, to protect the system before, during or after execution of malicious programs. Large numbers of verified malware samples also ensure the statistical relevance of the results.

As well as Mac malware, the test additionally checks protection against Mac PUA – an increasing nuisance – and detection of Windows malware samples. The latter ensures that macOS users do not accidentally pass on malicious programs to friends, family or colleagues who use the Windows operating system. A false-positives test additionally checks that the tested Mac antivirus programs do not plague users with false alarms on legitimate software.

Programs tested and certified this year are, in alphabetical order:

Avast Security for Mac; AVG Internet Security for Mac; Avira Antivirus Pro for Mac; Bitdefender Antivirus for Mac; CrowdStrike Falcon Prevent for Mac (enterprise product); FireEye Endpoint Security for Mac (enterprise product); Kaspersky Internet Security for Mac; Trend Micro Antivirus for Mac. The report includes a user-interface review, so that readers get a picture of what each program is like to use in everyday situations.

Like all AV-Comparatives’ public reports, the 2020 Mac Security Test and Review is made available to everyone free of charge. It can be downloaded here: https://www.av-comparatives.org/tests/mac-security-test-review-2020/

EvilQuest / ThiefQuest Ransomware für macOS zeigt die wie wichtig unabhängige  Mac Antivirus Software Tests sind

EvilQuest / ThiefQuest ransomware wird nun von Avast ; AVG Avira; Bitdefender Crowdstrike Fireeye; Kaspersky; Trend Micro.

Erste Sichtung

Am 29. Juni twitterte K7-Sicherheitsforscher Dinesh Devadoss @dineshdina04 über die Entdeckung eines neuen macOS-Ransomware-Programms (https://twitter.com/dineshdina04/status/1277668001538433025?lang=en).

Als EvilQuest / ThiefQuest bekannt, nicht zu verwechseln mit dem gleichnamigen Spiel, erscheint es auf den ersten Blick als ein eher übliches Ransomware-Programm, das Benutzerdateien verschlüsselt und gegen einen Entschlüsselungsschlüssel eine Bezahlung verlangt. Es stellt sich jedoch heraus, dass es besonders lästig ist.

Obwohl die Ransommail eine Bitcoin-Adresse für die Zahlung enthält, gibt es für die Opfer keine Möglichkeit, sich mit den Angreifern in Verbindung zu setzen oder nachzuweisen, dass sie bezahlt haben.

Was mach EvilQuest / ThiefQuest?

Schlimmer noch, EvilQuest / ThiefQuest hat noch andere böse Tricks auf Lager. Es installiert einen Keylogger, um jeden Tastenanschlag des Opfers aufzuzeichnen, und verbindet das Zielsystem mit einer Kommando- und Kontrollzentrale, wodurch die Angreifer weitere Befehle ausführen können. Schließlich wird die Ransomaware versuchen, bestimmte Dateien in Bezug auf CryptoWallets auszufiltern, um mehr Geld zu stehlen.

Die Autoren von EvilQuest scheinen sich bemüht zu haben, zu verhindern, dass Malware-Forscher das Programm analysieren. Es scheint, dass es nicht auf virtuellen Rechnern – die häufig für die Malware-Analyse verwendet werden – oder auf dem System installiert sein kann (https://www.macworld.co.uk/news/mac-software/mac-ransomware-evilquestthiefque-3791288/).

Good News / Bad News

Die gute Nachricht über EvilQuest ist, dass es ziemlich schwierig ist, infiziert zu werden. Als eigenständiger Installer wird die Ransomeware nun von den eingebauten Sicherheitsmechanismen in macOS blockiert, vorausgesetzt, diese haben Zugang zu Apples Cloud-Diensten. Es scheint, dass Infektionen nur aufgetreten sind, wenn Benutzer kompromittierte Installer für gecrackte Versionen legitimer Anwendungen wie Little Snitch und Mixed in Key8 heruntergeladen haben, über torrenting Dienste. Selbst dann wird es den Mac nur infizieren, wenn die Sicherheitswarnungen von macOS blind durchgeklickt werden.

Soll ich das Lösegeld zahlen?

Die Bezahlung von Schutzgeld für die Entschlüsselung Ihrer Dateien ist in fast allen Fällen eine Lotterie, aber in den meisten Fällen scheint es mehr oder weniger sicher, dass die verschlüsselten Daten für immer verloren gehen, selbst wenn Sie zahlen.

Was kann ich tun?

Macht ein Backup, bezahlt nicht das Lösegeld! Die beste Option ist, ein Backup häufig auszuführen. Aber man muss sicherstellen, dass das Backup-Medium danach von Computer getrennt wird, um eine Verschlüsselung des Backup zu vermeiden!

Verwendung von Antivirus-Software für macOS

Für Mac-Benutzer, die das Risiko eingehen, indem sie Software aus potenziell riskanten Quellen ausführen, wird deutlich, wie wichtig es ist, effektive, unabhängig getestete und zertifizierte Antivirensoftware für macOS zu betreiben.

Sie können sich auf unabhängige Vergleichstests verlassen, nicht aber auf Online-Vergleichswerkzeuge, z. B. Virustotal. Diese Tests sind oft falsch. Während diese Online-Scanner für andere Zwecke ihre Berechtigung haben, verlassen sie sich ausschließlich auf Kommandozeilenscanner, um hochgeladene Dateien auf Malware zu prüfen, die aber kein Real-World Szenario simuliert. Zusätzlich können einige Mac-Malware auf VT nur erkannt werden,wenn sie die richtige Dateierweiterung haben.

Ein komplettes Antivirusprogramm, das auf dem lokalen System läuft, hat eine ganze Reihe anderer Schutzmechanismen, wie URL-Blocker, Reputationsdienste und Verhaltensblocker, die die Chancen des Schutzes des Systems vor Infektionen erheblich erhöhen. Eine solche Sicherheitssoftware kann auch eine dynamische Analyse eines Programms bei der Ausführung durchführen und so Verschlüsselungstechniken (wie proprietäre Packer) umgehen, die in einem einfachen Scan des inaktiven Installers nicht erkannt werden können.

Wo findet man einen zuverlässigen macOS Antivirus Test?

Die von AV-Comparatives in ihrem Mac Malware Test verwendete Testmethodik erlaubt es den getesteten Programmen, eine Vielzahl von Schutzmechanismen, einschließlich cloud-basierter Dienste, zu nutzen, um das System vor, während oder nach der Ausführung bösartiger Programme zu schützen. Eine große Anzahl verifizierter Malware-Samples stellt auch die statistische Relevanz der Ergebnisse sicher.

Neben Mac-Malware überprüft der Test zusätzlich den Schutz gegen Mac PUA – eine zunehmende Belästigung – und die Erkennung von Windows-Malware-Samples. Letztere stellt sicher, dass macOS-Benutzer böswillige Programme nicht versehentlich an Freunde, Verwandte oder Kollegen weitergeben, die das Windows-Betriebssystem benutzen. Ein falsch-positive Test überprüft zusätzlich, dass die getesteten Mac-Antivirusprogramme Benutzer nicht mit falschen Alarmen auf legaler Software plagen.

Die in diesem Jahr geprüften und zertifizierten Programme sind in alphabetischer Reihenfolge:

Avast Security für Mac; AVG Internet Security für Mac; Avira Antivirus Pro für Mac; Bitdefender Antivirus für Mac; Crowdstrike Falcon Prevent für Mac (Enterprise Produkt); Fireeye Endpoint Security für Mac (Enterprise Produkt); Kaspersky Internet Security für Mac; Trend Micro Antivirus für Mac. Der Bericht enthält auch eine Handhabungstest, so dass die Leser ein Bild davon bekommen, wie jedes Programm in alltäglichen Situationen zu verwenden ist.

Wie alle öffentlichen Berichte von AV-Comparatives wird der 2020 Mac Security Test and Review kostenlos für jedermann zur Verfügung gestellt. Es kann hier heruntergeladen werden: https://www.av-comparatives.org/tests/mac-security-test-review-2020/