Beveiligingsonderzoekers vinden op macOS gerichte ransomware in torrents

Onderzoekers hebben nieuwe ransomware ontdekt die zich met name richt op macOS. De ransomware heet OSX.EvilQuest en komt binnen via softwaretorrents. Het gebeurt niet vaak dat ransomware specifiek voor macOS wordt ontdekt.

De ransomware werd ontdekt door onder andere onderzoekers van MalwareBytes. Die vonden de ransomware na een tip. De gijzelsoftware verspreidt zich via torrents met macOS-software.

Een volledige lijst met torrents waarin de malware zich bevindt, is er niet. Onderzoekers zeggen dat ze de eerste malware ontdekten in torrents die een gepirate versie van beveiligingssoftware Little Snitch, maar een van de onderzoekers van MalwareBytes zegt dat het ook in de torrents met Google Software Updater voor de Mac zit. Ook zou de malware zich verspreiden via het torrents met muziekprogramma Mixed In Key.

De ransomware verspreidt zich via een postinstall-script waarbij het originele programma ook wordt geïnstalleerd. Hij vermomt zich daarbij als de CrashReporter van macOS, vermoedelijk om detectie te omzeilen. Volgens de onderzoekers werkt dat niet altijd. De ransomware is volgens de onderzoekers niet erg goed; hij versleutelt bijvoorbeeld belangrijke systeembestanden of Keychain-bestanden. Ook duurt het lang voordat de ransomware bestanden begint te versleutelen.

De ransomware vraagt om een bedrag van vijftig dollar in bitcoin. Beveiligingsonderzoekers van Objective See zeggen daarnaast dat de ransomware ook een keylogger bevat en cryptowallets van een systeem probeert te stelen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 01-07-2020 09:56 63

01-07-2020 • 09:56

63

Lees meer

Criminelen stelen data van universiteiten en stichtingen na ransomware-aanval
Criminelen stelen data van universiteiten en stichtingen na ransomware-aanval Nieuws van 24 juli 2020
Nederland loopt nog steeds veel kans op digitale ontwrichting
Nederland loopt nog steeds veel kans op digitale ontwrichting Nieuws van 29 juni 2020
Universiteit Maastricht: Bedrijven moeten in openbaarheid treden over ransomware
Universiteit Maastricht: Bedrijven moeten in openbaarheid treden over ransomware Nieuws van 22 mei 2020
Ransomwarecriminelen zetten toch data van medische instelling online na aanval
Ransomwarecriminelen zetten toch data van medische instelling online na aanval Nieuws van 24 maart 2020
Ransomwarecriminelen beloven gezondheidsorganisaties niet aan te vallen
Ransomwarecriminelen beloven gezondheidsorganisaties niet aan te vallen Nieuws van 20 maart 2020
Onderzoek: meeste ransomware slaat meer dan drie dagen na infectie toe
Onderzoek: meeste ransomware slaat meer dan drie dagen na infectie toe Nieuws van 19 maart 2020
Meer producten en artikelen
Beveiliging en antivirus macOS Ransomware

Reacties (63)

-Moderatie-faq
63
63
38
4
0
3
Wijzig sortering
Maurits van Baerle 1 juli 2020 10:44
Ik ben de laatste tijd bezig geweest met wat spelen met TimeMachine (het standaard backup mechanisme van macOS) en één van de dingen die me opviel is dat macOS de gebruikersrechten aanpast op de schijf die je als backupschijf aanwijst. Het is als gewone gebruiker best lastig om schrijftoegang tot de backup te krijgen, je moet het echt via het TimeMachine proces zelf doen.

Ik vermoed dat dat gedaan is om te voorkomen dat ransomware makkelijk je backup kan versleutelen. Best slim. Het was natuurlijk een kwestie van tijd voor dat iemand ransomware voor macOS ontwikkelde.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 16:40]

Raymond Deen @Maurits van Baerle1 juli 2020 11:24
Ik heb geen Mac dus vergeef me de vraag.
Is het niet voldoende om de originele bestanden te versleutelen zodat die vanzelf versleuteld en wel in de je backup terecht komen, of zie je die oudere versies van die bestanden ook nog terug?
Pendora @Raymond Deen1 juli 2020 11:37
Die zie je ook terug totdat de backup schijf vol is. Dan pas worden oudere bestanden verwijderd. Maar tot die tijd blijft elke versie op de backup staan.
Raymond Deen @Pendora1 juli 2020 11:42
Dank, ook @Wolfos.
Dan nog de aanvullende vraag: worden de hele bestanden elke keer opgeslagen, of alleen de mutaties?
Ik zit het een beetje te vergelijken met het snapshot mechanisme in ZFS...
Pendora @Raymond Deen1 juli 2020 11:45
Dubbel antwoord. Lokale snapshots (die worden uiteindeljk samengevoegd en weggeschreven naar de TimeMachine) zijn mutaties. Tenminste in de nieuwste macOS. Ook als je bijvoorbeeld een Virtual Machine kopieert wordt er direct een snapshot gemaakt en wat je aanpast wordt weggeschreven.
Op de TimeMachine zelf worden alleen hele bestanden opgeslagen maar is er niks aangepast is het een Hard Link naar de vorige.
dsdevries @Pendora2 juli 2020 10:07
En nog een aanvulling op dit antwoord. Vanaf MacOS 11 kan je ook je TimeMachine backup disk formatteren als APFS en zullen de hardlinks plaats maken voor snapshots.
Wolfos @Raymond Deen1 juli 2020 11:35
Ja je ziet de oude versies ook terug in time machine. Vandaar ook de naam 'time machine'.
Maurits van Baerle @Raymond Deen1 juli 2020 11:41
Je ziet de oudere versie van de bestanden ook terug. Time Machine bewaart standaard één backup per uur voor de afgelopen 24 uur, één backup per dag voor de afgelopen maand en wekelijkse backups voor alle afgelopen maanden. Dat werkt totdat je backupschijf vol is en dan verwijdert hij steeds de oudste backup om ruimte te maken.
page404 @Maurits van Baerle1 juli 2020 10:53
Wat grappig, ik zat me dat net af te vragen naar aanleiding van dit artikel. Maar ook hier is blijkbaar aan gedacht. Helaas is iCloud dan minder veilig, alles wat versleuteld wordt gaat meteen de cloud in en is daar niet meer terug te halen. Een offline backup blijft belangrijk!

Ohhh, ik jok. Je kan via het file-menu vorige versies opvragen. Enige vraag is of die versie alleen lokaal is en of zo'n malwaretool slim genoeg is om ook die te raken.

Weer wat geleerd! :D

[Reactie gewijzigd door page404 op 23 juli 2024 16:40]

Maurits van Baerle 1 juli 2020 11:53
De ransomware is volgens de onderzoekers niet erg goed; hij versleutelt bijvoorbeeld belangrijke systeembestanden of Keychain-bestanden.
Dit is toch wel erg slordig. Het lijkt wel alsof de malwareschrijvers zelf het principe van ransomware niet goed begrijpen.

Wat ransomware bijzonder maakt (en moeilijker tegen te beschermen) dan andere vormen van malware is dat het juist niet achter systeembestanden aan gaat. De meeste malware heeft als doel om te vernielen of te bespioneren en heeft daarvoor juist toegang tot systeembestanden nodig. Systeembestanden zijn belangrijk maar niet waardevol, je kunt ze zo terugzetten en zijn vaak zelfs gratis te downloaden. Zaken als System Integrity Protection (en vergelijkbare systemen op andere OS-en) kunnen daar redelijk goed tegen beschermen.

Ransomware draait juist om waardevolle bestanden waar mensen graag voor willen betalen om ze terug te krijgen. Dat zijn dus juist niet systeembestanden maar persoonlijke email, foto's, documenten etc. En die zijn juist toegankelijk voor de actieve gebruiker, dat is het hele idee. Dat maakt het dus ook moeilijker om je tegen ransomware te beschermen.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 16:40]

CopyCatz 1 juli 2020 10:01
"De ransomware is volgens de onderzoekers niet erg goed; hij versleutelt bijvoorbeeld belangrijke systeembestanden of Keychain-bestanden.". Waarom is dat niet goed? Dan heb je het dus meteen door? Maar dan zit je toch hoe dan ook met een versleuteld systeem?
Yggdrasil @CopyCatz1 juli 2020 10:08
Versleutelde systeembestanden werken niet meer dus je Mac crasht. Je kunt dan ook geen bericht zien hoe je het 'ransom' moet betalen of, als je al betaald hebt, de ontsleuteling starten.

Het is net als een echt virus, als het de gastheer te snel om zeep helpt wordt het niet succesvol.
Anoniem: 84766 @Yggdrasil1 juli 2020 10:47
Bij standaard macOS instellingen is dit volgens mij niet mogelijk in verband met SIP (System Integrity Protection).

https://support.apple.com/en-us/HT204899
WhatsappHack
@Anoniem: 847661 juli 2020 11:55
Dat was ook mijn gedachte, daarom vraag ik me af of het geen tikfout van de auteur is en hij bedoelde dat het die zaken juist NIET versleuteld. Die zin klinkt ook raar als je er over nadenkt. De Malware is niet goed want het versleutelt super belangrijke bestanden? He? :P

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 16:40]

heuveltje @WhatsappHack1 juli 2020 12:46
Die bestanden zijn super belangrijk voor het systeem. Maar niet waardevol voor jouw of de hacker.

Als iemand mijn windows.sys versleuteld, moet je 50E aan een reparateur betalen om windows te installeren.
Als iemand mijn Geboorte_Jip.MKV versleuteld, moet je 50E aan de hacker betalen om die terug te krijgen.
FreshMaker @Yggdrasil1 juli 2020 10:22
Versleutelde systeembestanden werken niet meer dus je Mac crasht. Je kunt dan ook geen bericht zien hoe je het 'ransom' moet betalen of, als je al betaald hebt, de ontsleuteling starten.

Het is net als een echt virus, als het de gastheer te snel om zeep helpt wordt het niet succesvol.
Baybysteps ....
Nu komen de 'real-life' problemen aan het licht, en kunnen de ontwikkelaars zich toeleggen op verbeteringen.

de eerste PC virussen waren relatief onschuldig, maar gingen steeds verder en dieper in het systeem.
PageFault @FreshMaker1 juli 2020 10:55
Het eerste virus wat de wereld rond ging, dus buiten een lab, was voor een Apple II computer: Elk Cloner gemaakt door Richard Skrenta in 1981.
Wolfos @PageFault1 juli 2020 11:45
Het moderne MacOS deelt eigenlijk niks met de Apple II, of eerdere MacOS versies. Software gemaakt voor versie 9 of eerder draait ook niet op versie 10.x.
PageFault @Wolfos1 juli 2020 18:07
maar het was geen PC ;)
gfive @FreshMaker1 juli 2020 15:34
Uh nee, Je dient het te installeren.
Installeer je het niet dan heb je GEEN ransomware. Kortom bull verhaal.
vhartong @CopyCatz1 juli 2020 10:08
In de Keychain van 't OS zitten voornamelijk certificaten en password die onthouden worden. Kan dus onhandig zijn, maar dan reset je het wachtwoord van je account.

Randomware zou natuurlijk de persoonlijke documenten, foto's etc moeten 'gijzelen' door deze te encrypten. Op het moment dat het niet de persoonlijke bestanden maar de OS bestanden gaat encrypten, dan maak je een back-up van je persoonlijke bestanden en zet je het OS er gewoon opnieuw op. Je kan het vergelijken met dat de ransomware zorgt dat 3D-Paint in Windows niet meer werkt, niet erg interessant dus. Waarschijnlijk zal de gemiddelde persoon niet doorhebben dat hij dan ook meteen de randomware gekopieerd heeft, maar dat terzijde.

Dus omdat het voor de persoon zelf niet essentiele bestanden versleutelt, is het dus niet erg goed.
Travelan @vhartong1 juli 2020 10:20
Plus, de keychain zit in 99% van de gevallen gebackupt in iCloud. Daarnaast zijn systeembestanden gemakkelijk te herstellen via de recovery boot optie.
RefriedNoodle @Travelan1 juli 2020 10:29
Dat is geen backup van de keychain, maar een replica.

Ik ben eerder bang dat wanneer deze malware je keychain encrypt, deze wijzigingen in de keychain ook naar iCloud gerepliceerd worden, waardoor je er op je iPhone en iPad ook niet meer bij kunt.
Travelan @RefriedNoodle1 juli 2020 10:31
Ik denk het niet. De malware ziet er niet zo intelligent uit, dus hij zal gewoon de files encrypten, dus de keychain wordt 'corrupt'. De backup (of replica op Apple's servers, potato-potato) wordt dan niet overschreven.
K-aroq @Travelan1 juli 2020 10:36
Een backup wordt wel overschreven, een replica niet. Backup systemen werken op file of systeemniveau en kopieren domweg alle files of gewijzigde sectoren. Replicasystemen zijn intelligenter, daarbij wordt de inhoud gerepliceerd naar de replica. Maar als de bron encrypted is, kan replicatiesoftware de inhoud niet meer zien en wordt er niets gerepliceerd).

Geen potato-potato dus.

[Reactie gewijzigd door K-aroq op 23 juli 2024 16:40]

Travelan @K-aroq1 juli 2020 10:41
De gangbare definitie van 'backup' is in het algemeen toch iets breder:
Een back-up of reservekopie is een kopie van gegevens die zich op een gegevensdrager of binnen een applicatie bevinden om deze te kunnen herstellen mochten ze beschadigd raken.
https://nl.wikipedia.org/wiki/Back-up
Tuxwielder @K-aroq1 juli 2020 10:55
Zo zie je maar, altijd je definities met elkaar afstemmen. Ik zou het verschil net andersom (backup->replica, replica->backup) hebben uitgelegd...
Boomtopper 1 juli 2020 10:03
Waarom zou je de Google Software Updater via een torrent binnenhalen?
etix111 @Boomtopper1 juli 2020 10:14
In het oorspronkelijke artikel word het wat beter genoemd dan hier in het artikel staat. De ransomware manifesteert zich in de Google Software Updater.

https://blog.malwarebytes...spreading-through-piracy/
Even more bizarre—and still inexplicable—was the fact that the malware also modified the following files:

/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/crashpad_handler
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/GoogleSoftwareUpdateDaemon
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksadmin
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksdiagnostics
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksfetch
/Users/user/Library/Google/GoogleSoftwareUpdate/GoogleSoftwareUpdate.bundle/Contents/Helpers/ksinstall

These files are all executable files that are part of GoogleSoftwareUpdate, which are most commonly found installed due to having Google Chrome installed on the machine. These files had the content of the patch file prepended to them, which of course would mean that the malicious code would run when any of these files is executed. However, Chrome will see that the files have been modified, and will replace the modified files with clean copies as soon as it runs, so it’s unclear what the purpose here is.
DigitalExorcist @Boomtopper1 juli 2020 10:06
Verbaas u niet, verwonder u slechts..
K-aroq @Boomtopper1 juli 2020 10:34
Je moet eens kijken wat op consumentenfora zoals die van Kassa of Radar als "adviezen" worden gegeven. Daar zie je de meeste dubieuze links voor zaken die je gewoon via de reguliere kanalen kan downloaden (denk aan links om Chrome, Firefox e.d. te downloaden).
page404 1 juli 2020 10:13
Ik moet zeggen, de tijden dat ik dacht dat OSX helemaal niet gevoelig was voor malware zijn wel voorbij, maar ik blijf het toch een veiliger OS vinden dan Windows. Ik heb nog steeds geen permanente virusscanner draaien, alleen af en toe een scan op de bekende bedreigingen. Dat scheelt een hoop resources, mijn werk-laptop is altijd supertraag door alle scans die continu meedraaien op de achtergrond.
elpino.rv @page4041 juli 2020 10:17
Je bedoelt:
'Ik moet zeggen, de tijden dat OSX niet interessant was voor malware zijn wel voorbij'
page404 @elpino.rv1 juli 2020 10:20
Nee, dat bedoel ik niet. Tenzij jij met “interessant” bedoelt dat het makkelijk voor malwareschrijvers is. Want dat is het nog steeds niet, zoals je nu ook weer ziet. Of is Linux ook niet interessant volgens jou? ;)
elpino.rv @page4041 juli 2020 10:49
Ik bedoel of het interessant voor malware schrijvers is. Windows heeft 90% van de markt.. Voor welk platform ga je dan malware maken?

Ik ben ervan overtuigt dat als het 90% MacOS was en 10% Windows dat er veel meer lekken worden gevonden en misbruikt in MacOS dan in Windows.
Maurits van Baerle @elpino.rv1 juli 2020 10:52
Ik denk dat dat principe hier niet echt op gaat.

Ten eerste zijn Mac gebruikers gemiddeld iets kapitaalkrachtiger dan de gemiddelde computerbezitter en dat is natuurlijk juist interessant als je op geld uit bent. Ransomware draait om geld, niet om vernieling.

Ten tweede zullen Mac gebruikers minder vaak malwarescanners draaien dan Windows gebruikers. Bij beide platformen heb je mensen die op de ingebouwde malware bescherming vertrouwen maar de markt voor third party malware bescherming is veel groter op Windows dan op macOS en dat lijkt me een redelijke indicatie.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 16:40]

Blokker_1999
@Maurits van Baerle1 juli 2020 11:52
Mac gebruikers hoeven echt niet kapitaalkrachtiger te zijn. Een computer die meer kost maar langer meegaat kan op termijn zelfs goedkoper uitkomen. En ja, Macs draaien vaak geen malwarescanners, maar als je een doelpubliek hebt dat al snel 10x groter is dan moet je wel gek zijn om je niet eerst daar op te richten. De kans dat je daar succes hebt is nu eemaal een heel stuk groter.
Maurits van Baerle @Blokker_19991 juli 2020 12:00
Dat is grotendeels waar. Ik schrijf dit op een tien jaar oude Macbook Pro, als ik de aanschafprijs destijds door tien deel was dat een koopje.

Maar, er lijkt toch wel degelijk een correlatie met kapitaalkrachtigheid te zijn. Als je kijkt naar de Average Revenue Per User (ARPU) voor verschillende platformen dan zie je dat die voor de meeste bedrijven hoger ligt op macOS en iOS dan op Windows en Android. Ironisch genoeg verdient Google meer per iOS gebruiker dan per Android gebruiker.

En inderdaad, de eerste ransomwarepakketten waren dan ook gericht op Windows, gevolgd door die voor Linux servers en nu dus pas voor macOS desktops. Je begint bij de grootste doelgroep maar het verbaast me dat niemand het ooit eerder geprobeerd lijkt te hebben voor macOS.

[Reactie gewijzigd door Maurits van Baerle op 23 juli 2024 16:40]

AmazingDreams @Maurits van Baerle1 juli 2020 20:27
Kapitaal maakt niet uit. Ik denk niet dat gebruikers van OSX meer geld zouden neerleggen, of je het "kan" betalen is niet relevant. Zowat iedereen kan wel aan een paar honderd euro komen als het echt moet. Het startpunt is 90% windows vs 10% mac. Stel dat jouw virus 1% kans van slagen heeft, en dan 1% kans om betaald te worden. Kies je dan voor de 10.000 doelwitten of de 1.000?
dec0de @page4041 juli 2020 10:21
Gezien je voor bijna alles een rootpassword nodig hebt, is het bijna altijd de fout van de gebruiker. Als jij geen signature check doet, dan is het jouw eigen fout. Mac os is dus nog redelijk veilig. Als jij netjes de sig checks doet, is de kans op een virus dusdanig klein dat je gewoon een backup kunt maken, en dan nergens zorgen over maken.
Blokker_1999
@dec0de1 juli 2020 11:55
Met dat verschil dat Windows je heel goed toont of een app ondertekend is met een geldig certificaat terwijl dit bij Apple niet het geval is. Daar moet je zelf op zoek gaan.
page404 @Blokker_19991 juli 2020 12:22
Weet je dit zeker? Volgens mij heeft juist Apple zoiets als Gatekeeper: https://developer.apple.com/developer-id/
Hiermee worden alleen vertrouwde apps zonder morren geïnstalleerd en moet je echt weten wat je doet voordat je een unsigned app installeert. Iets dat onder Catalina nog moeilijker is gemaakt. Onder Windows heb ik dat nog niet gezien.
Kenzatiko @Blokker_19991 juli 2020 21:57
Nee, Apple beschermt je tegen jezelf en weigert niet-ondertekende software te installeren. Je krijgt een keurige melding en het systeem breekt de installatie af.

Wil je echt persé in je eigen voet schieten, dan moet je als power user via System Preferences > Security eenmalig (of permanent als je echt zot bent) toestemming geven om het programma te installeren.

Bij elke installatie laat MacOS keurig zien waar en hoe laat je het programma gedownload hebt, zodat je niet per ongeluk iets vreemd zal installeren.
Croga @dec0de1 juli 2020 10:36
Dat geld tegenwoordig voor ieder modern OS. Ook Linux en Windows werken op dezelfde manier: Als je zelf goed weet en oplet wat je doet, kan het niet mis gaan..... Ofwel: De vatbaarheid is hierdoor voor MacOS niet anders dan voor Windows of Linux.
hackerhater @Croga1 juli 2020 11:49
Nou nee.
Virussen en wormen (de meest nasty one onder mallware) lijkt toch echt tegenwoordig Windows-only te zijn.

En juist die 2 categorieën leunen op bugs in het besturingssysteem of de software erop ipv op de domheid van de gebruiker.........

[Reactie gewijzigd door hackerhater op 23 juli 2024 16:40]

Croga @hackerhater1 juli 2020 12:43
Mag jij me vertellen wanneer er voor het laatst malware misbruik gemaakt heeft van een bug in Windows..... Ik kan het me niet herinneren. Alles wat er de afgelopen jaren rond gaat in de categorie die je noemt maakt misbruik van bugs in:
- Libraries die niet platform afhankelijk zijn (SAMBA, SSL)
- Software die op een platform draait (Flash, browsers)

Dat vervolgens de malware geschreven wordt zodat ie alleen op Windows draait doet daar niets aan af. En zelfs dan kom ik weer terug op: Als je UAC (of whatever de opvolger is) goed afgesteld hebt staan kan zo'n ding op Windows net zoveel kwaad als op MacOS of op Linux.

Mijn reactie was op dec0de's stelling dat het feit dat je op MacOS altijd zelf moet elevaten. Dat moet je op Windows en Linux net zo goed, als je het juist ingesteld hebt.
hackerhater @Croga1 juli 2020 12:55
De bugs in het RDP protocol (BlueKeep) en het SMBv3 protocol (WannaCry/NotPetya)?
Beiden waren wormable!

Beiden waren alleen al in de laatste 2 jaar!

En deze ook: https://techxplore.com/ne...omeland-windows-worm.html

En UAC is een lachertje voor beveiliging. Het dwingt nette software makers zich aan de regels te houden door meldingen te tonen. Maar er zijn tich manieren om eromheen te werken.
dec0de @Croga1 juli 2020 13:06
Uac is makkelijk te bypassen, hier een github repo https://github.com/hfiref0x/UACME voor de standaard UAC settings bypass. Hier een quote over de non security van uac
UAC (User Account Control) is a security feature, introduced from Windows 7 and onward versions of Windows. This prevents that even a local administrator account can’t execute changes to operating system, unless the user specifically chooses to. It is very common to see desktop users working with Administrators account (not recommended, but common), so even if a Malware, using a compromised Local Administrator account, tries to change something in the registry, or create a new service in the system, UAC won’t let that happen.

Until someone found a way to bypass it. And there are a lot of UAC bypasses since Windows 7. It became so common that even Microsoft treats this kind of problem as “non-priority” security issue.
- https://0x00-0x00.github....wer-Windows-versions.html

[Reactie gewijzigd door dec0de op 23 juli 2024 16:40]

hackerhater @page4041 juli 2020 11:48
Het is niet echt gevoelig voor wormen of virussen.
Echter trojans (die je zelf moet installeren) werken wel.

Deze ransomware is een trojan horse die je zelf moet binnen halen en installeren. Effectief zet je zelf dan de deur open ipv dat het naar binnen sluipt.
Henk Poley 1 juli 2020 10:00
De manier waarop jullie het schrijven lijkt het alsof een aantal gerenommeerde software bedrijven het in hun software hebben zitten (bijv: "ook in de Google Software Updater voor de Mac zit").

In plaats van, dat de malware nabootst dat / doet alsof het dat stuk software is (trojan horse).

[Reactie gewijzigd door Henk Poley op 23 juli 2024 16:40]

AuteurTijsZonderH Nieuwscoördinator @Henk Poley1 juli 2020 10:12
Het is de software, maar dan herverpakt met de ransomware erin. De software zelf wordt er wel bij geïnstalleerd.
etix111 @TijsZonderH1 juli 2020 10:24
En zelfs dat klopt niet helemaal als het gaat om de Google Software Updater stukje in het artikel. Het manifesteert zich namelijk in de Google Software Updates (volledig nutteloos, want Google vervangt de bestanden direct als ze aangepast zijn naar de oorspronkelijke versie. Dit is ook te lezen in het artikel en in de quote van mijn reactie op iemand anders hier).

Het is niet alsof mensen specifiek die software gaan torrenten...
OkselFris 1 juli 2020 12:34
De ransomware is volgens de onderzoekers niet erg goed; hij versleutelt bijvoorbeeld belangrijke systeembestanden of Keychain-bestanden.
Volgens mij klopt dit niet, systeembestanden versleutelen in MacOS wordt wel heel moeilijk, helemaal in de laatste versie waar dit een read-only partitie is en je niet zomaar toegang krijgt.
In het artikel spreekt men over preference files, dat is toch wat anders dan systeem bestanden
Maurits van Baerle 1 juli 2020 15:11
Overigens interessant, het bestand System/Library/Core Services/CoreTypes.bundle/Contents/Resources/XProtect.plist waar XProtect (de ingebouwde malwarescanner van macOS) definieert waar het op let, is bij mij gisteravond geupdate. Een snelle search in dat bestand vindt niets op 'EvilQuest' maar mogelijk geeft Apple de malware een andere naam.
livePulse 1 juli 2020 09:58
Waar ik benieuwd naar ben: werkt het ook?
edit: dit vond ik in een van de artikelen:
In practice, this didn’t work very well. The malware got installed, but the attempt to run the Little Snitch installer got hung up indefinitely, until I eventually forced it to quit. Further, the malware didn’t actually start encrypting anything, despite the fact that I let it run for a while with some decoy documents in position as willing victims.

[Reactie gewijzigd door livePulse op 23 juli 2024 16:40]

ItMeAedri @livePulse1 juli 2020 10:00
Als je het artikel had doorgelezen zag je in de derde alinea (niet dik-gedrukt) "Volgens de onderzoekers werkt dat niet altijd.".
livePulse @ItMeAedri1 juli 2020 10:09
Ja, ik had er te snel overheen gelezen...
walkstyle @livePulse1 juli 2020 10:08
Hij zal best wel wat doen, maar denk dat je bij MacOS al snel genoeg niet verder kan met je ransomware.
wes- 1 juli 2020 10:10
Ik gebruik RansomWhere? van Objective-See:

By continually monitoring the file-system for the creation of encrypted files by suspicious processes, RansomWhere? aims to protect your personal files, generically stopping ransomware in its tracks.

Maar dat is natuurlijk niet waterdicht want je moet bij iedere (false) positive zelf kiezen of je het toelaat ja of nee.
WhatsappHack
@wes-1 juli 2020 11:59
Maar hij pauzeert de app in kwestie wel tot je op toestaan drukt ;) De pest is dat deze tool een behoorlijke aanslag oplevert op je I/O- en in milde mate de CPU-capaciteit. SSD of niet...
wes- @WhatsappHack1 juli 2020 12:25
Ik dacht dat het wel meevalt, CPU 0.2% aldus Objective-See en als ik in System Monitor kijk staat ie ook precies op 0,2%
Qua disk read is ie wel redelijk fors met 1.34GB sinds gisteren maar write nog geen 150KB
WhatsappHack
@wes-1 juli 2020 21:11
Je gaat het merken zodra er heel veel kleine bestandjes processed worden. Dan heb je dus 2 read hits per bestandje. Stel je kopieert een iPhone-backup, dan zit je al gauw aan minimaal 100K losse bestandjes. Dat kopieert al rete traag naar een externe schijf of NAS (al helemaal zonder hard links). Gaat deze software er ook nog overheen, dan duurt het bijna dubbel zo lang. Dan is het echt strontvervelend. :) Idem met software als ClamXAV Sentry trouwens hoor. En god forbid dat je ze allebei hebt. :')

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq