Det nyligen upptäckta skadeprogrammet Evilquest, eller Thiefquest som det också kallas, innehåller bland annat en funktion som krypterar dina filer och försöker lura dig att skicka bitcoin till bedragarna som sprider det.

Problemet är bara att det inte finns någon funktion för att faktiskt låsa upp filerna efter att ha betalat skurkarna. De få drabbade användare som har betalat har inte fått tillbaka sina filer, och de säkerhetsforskare som har rotat i programmet har inte hittat någon inbyggd dekrypteringsmetod.

Forskare på Sentinelone har undersökt de krypterade filerna och upptäckt att själva filerna innehåller sina krypteringsnycklar, vilket gör det till en enkel sak att dekryptera dem. Firman har redan släppt ett litet gratisprogram som återställer alla filer som har krypterats av Evilquest.

Malwarebytes har undersökt programmet djupare och rapporterar att hela utpressningsfunktionen i själva verket kan vara en distraktion för att avleda uppmärksamheten från det verkliga målet: Att stjäla data.

Skadeprogrammet laddar ibland ner ett python-skript som går igenom hela hemmappen och laddar upp en lång rad filer till kontrollservern, helt okrypterat.

Patrick Wardles fortsatta undersökningar av skadeprogrammet visar att det dessutom ser ut att vara det första regelrätta viruset för Mac sedan Mac OS X släpptes för snart 20 år sedan.

När programmet först har installerat sig i Macen kör det i gång en process som letar upp alla exekverbara filer i den drabbades hemmapp och lägger till en ny bit skadlig kod i början av filen som alltså kommer köras varje gång den filen körs. Koden kan sedan i sin tur sprida skadeprogrammet till nya filer och fortsätta infektionen.

Definitionen av ett virus är skadlig kod som sprider sig genom att infektera existerande filer, och det är alltså precis vad Evilquest/Thiefquest gör.

Skadeprogrammet har många trasiga bitar och funktioner som ser ut att inte fungera exakt som det var tänkt, så Malwarebytes spekulerar i att en version av det började användas innan det var helt färdigutvecklat.

Den som har drabbats gör enligt Patrick Wardle bäst i att helt installera om Mac OS, till exempel genom att återställa från en klonbackup gjord innan datorn infekterades. Innan någon har tagit fram ett program som kan leta upp och ta bort den skadliga koden från samtliga infekterade filer räcker det inte med att bara radera själva skadeprogrammet.