باج‌افزارها نوعی از بدافزارهای مخرب هستند که به سیستم‌های رایانه‌ای را مورد حمله قرار داده و اطلاعات را از دسترس کاربر خارج می‌کنند. باج‌افزار به منظور آزاد‌سازی فایل‌ها و دسترسی کاربر به آن‌ها، درخواست پرداخت وجه (باج) به حساب طراح باج‌افزار می‌کند. یکی از روش‌های آلودگی سیستم‌ها به باج افزار این است که نفوذگر از طریق ارسال ایمیل یا پیام، کاربر را به کلیک روی یک لینک خاص تشویق می‌کند؛ کلیک روی لینک مربوطه باعث می‌شود باج‌افزار پنهان شده در لینک، به سیستم یا تلفن همراه وارد شده و باعث سوءاستفاده از اطلاعات یا از بین رفتن آ‌‌ن‌ها شود.
به‌طور معمول زمانی که سیستمی به باج‌افزار آلوده شود قربانی راهی جز فرمت سیستم (که باعث از بین رفتن تمامی اطلاعات می‌شود) و یا پرداخت باج ندارد.
باج‌افزارها به‌صورت روزافزون در حال رشد و انتشار هستند و نسخه‌های جدید آن‌ها مرتباً در سطح اینترنت منتشر می‌گردد. لازم به ذکر است که طراحان باج‌افزار به دلیل استفاده از روش‌های دریافت وجه به‌صورت مجازی به راحتی قابل شناسایی نیستند. در این مستند به بررسی یک باج‌افزار اخیراً منتشرشده به نام EvilQuest که کاربران سیستم‌عامل mac را هدف می‌گیرد، می‌پردازیم.

این باج‌افزار با تهدیدات باج افزارهای قبلی macOS متفاوت است زیرا علاوه بر رمزگذاری پرونده‌های قربانی، keylogger و shell معکوس برای کنترل کامل میزبان‌های آلوده را در سیستم قربانی اعمال کرده و فایل‌های مربوط به کیف پول cryptocurrency را از میزبان آلوده نصب می‌کند.
مهاجم با این قابلیت‌ها می‌تواند کنترل کاملی بر یک میزبان آلوده داشته باشد؛ این بدان معناست که حتی در صورت پرداخت باج توسط قربانیان، همچنان به رایانه آن‌ها دسترسی داشته و به سرقت فایل‌ها و ضربات صفحه کلید ادامه می‌دهد.
محققان در حال حاضر به دنبال ضعف یا اشکالی در طرح رمزگذاری این باج‌افزار هستند که می‌تواند برای رمزگشایی مورد استفاده قرار گرفته و به قربانیان کمک کنند تا فایل‌های خود را بدون پرداخت باج بازیابی کنند.
در این نوع از باج‌افزار امکان تماس با عاملان باج‌افزار یا پیگیری پرداخت باج‌ها وجود ندارد. این بدان معنی است که پس از پرداخت باج توسط قربانیان، احتمالاً کلید رمزگشایی برای بازیابی پرونده‌های به سرقت رفته در اختیار آن‌ها قرار نمی‌گیرد.
تا زمانی که محققان راهی برای شکستن رمزنگاری و بازیابی فایل‌های آن‌ها بیابند، فایل‌های قربانیان غیرقابل دسترسی خواهد بود.
این باج‌افزار سومین باج‌افزاری است که پس از KeRanger و Patcher منحصراً کاربران macOS را هدف قرار داده است و در تاریخ 2 ژوئیه از EvilQuest به ThiefQuest، تغییر نام پیدا کرد.

باج افزار EvilQuest توسط محقق امنیتی به نام Dinesh Devadoss کشف و گزارش گردیده است. با این حال، شواهد نشان می‌دهد که این باج‌افزار، از ابتدای ژوئن سال 2020 مورد بهره‌برداری قرار گرفته است. به گفته محققان این باج‌افزار در یک نرم‌افزار macOS سرقت شده که در پورتال‌ها و انجمن‌های آنلاین (مانند برنامه تولید موسیقی Ableton، نرم‌افزار DJ Mixing In Key و ابزار امنیتی Little Snitch) آپلود شده است، مخفی می‌شود.

شکل شماره 1: انجمن روسی سرقت شده توسط این باج‌افزار

باج‌افزار EvilQuest به طور گسترده‌ای توزیع شده و بر سایر برنامه‌ها بجز موارد مذکور نیز تأثیر می‌گذارد. فعالیت این بدافزار بسیار ساده است؛ زیرا به محض اجرای برنامه، رمزگذاری پرونده‌های کاربر صورت می‌گیرد. پس از اتمام رمزگذاری فایل، در پنجره نمایش داده شده به کاربر اعلام می‌دارد که نرم‌افزار آن‌ها آلوده و رمزنگاری شده است.

شکل شماره 2: اعلام آلوده شدن نرم‌افزار

مهاجمان از قربانی درخواست می‌کنند که یک یادداشت باج متنی ذخیره شده در دسکتاپ خود را باز کنند. این یادداشت در شکل شماره 3 مشاهده می‌شود:

شکل شماره3-یادداشت باج

این بدافزار فایل‌های موجود با پسوندهای زیر را رمز می‌کند:

.pdf، .doc، .jpg، .txt، .pages، .pem، .cer، .crt، .php، .py، .h، .m، .hpp، .cpp، .cs، .pl، .p، .p3، .html، .webarchive، .zip، .xsl، .xslx، .docx، .ppt، .pptx، .keynote، .js، .sqlite3، .wallet، .dat

پس از پایان فرآیند رمزنگاری، یک فایل keylogger جهت ضبط کلیه ضربات صفحه‌کلید و یک shell معکوس به‌منظور اتصال به کلیه میزبان‌های آلوده شده و اجرای دستورات سفارشی در سیستم قربانی، اعمال شده و با استفاده از آن انواع فایل‌های معمولی زیر که معمولاً توسط برنامه‌های مربوط به cryptocurrency استفاده می‌شوند سرقت می‌شود:

· "wallet.pdf"

· "wallet.png"

· "key.png"

· "*.p12"

باج‌افزار تلاش می‌کند که فایل‌های خاص مربوط به مکانیسم به‌روزرسانی گوگل کروم را تغییر داده و از این فایل‌ها به منظور پایداری در میزبان آلوده استفاده کند. این فایل‌ها دارای محتوای فایل وصله بوده و کد مخرب پس از اجرای هر کدام از این فایل‌ها اجرا خواهد شد. با این حال نرم‌افزار کروم پس از اجرا، فایل‌های تغییر یافته را با یک کپی آلوده نشده از آن‌ها جایگزین می‌کند؛ بنابراین هدف باج‌افزار از این مرحله مشخص نیست.