EvilQuest est le nom d’un nouveau ransomware qui vise les utilisateurs avec un Mac. À l’instar de n’importe quel autre ransomware, il vient chiffrer le contenu de l’ordinateur et demande une rançon à l’utilisateur. Il recevra — soit disant — en retour une clé pour déchiffrer le Mac et retrouver un accès complet.

Un pop-up indique à l’utilisateur qu’il dispose de trois jours pour verser 50 dollars afin de débloquer la situation.

La découverte d’EvilQuest a été faite par Malwarebytes. Le ransomware est présent sur un site russe de torrents (RuTracker) qui permet de télécharger une soit disante version piratée du pare-feu Little Snitch. L’utilisateur est invité à lancer un fichier PKG pour installer Little Snitch. Il s’avère que le pare-feu est effectivement installé, mais il n’est pas seul. Un fichier Patch est ajouté dans le dossier /Utilisateurs/Partagé/, tout comme un script. Ce script vient changer l’emplacement du fichier Patch et le renomme CrashReporter, qui s’avère être le nom d’un processus de macOS. À partir de ce moment, le fichier Patch se lance et c’est fichu : le Mac est chiffré.

Tous les contenus sont chiffrés, que ce soit les données, les paramètres ou encore les fichiers liés au Trousseau d’accès. Le Finder présente également des problèmes, tout comme le Dock et certaines applications.

Malwarebytes dit que son application peut détecter et retirer le ransomware EvilQuest. En revanche, il faudra passer par une sauvegarde pour retrouver les fichiers chiffrés.