![[タカブログ] takao.iの思想ブログ始めました。とかいうタイトルはおかしいと思う。](https://yellowcorn.jp/thought/wp-content/uploads/2017/06/1498656865-df6083f84bc562e3a743bffdf29493a4.png)
Macの海賊版アプリに、身代金を要求する不正なプログラムとして知られるランサムウェアが仕込まれていることが分かった。
Malwarebytesによる情報では、ロシアのフォーラムで見つかったLittle Snitchアプリの海賊版で見つかったものとしている。
今回見つかったものは、「EvilQuest」というランサムウェアの一種である。海賊版のMacアプリを媒体として拡散し続けており、違法なダウンロードサイトや、怪しいWebサイトなどにアクセスしない限り問題ないものとなっている。
Malwarebytesが、海賊版Little Snitchアプリを確認したところ、海賊版は正規のアプリとは異なり、PKGインストーラーファイルが付属していたという。
インストーラーファイルには、ポストインストールスクリプトが含まれていることが発見されている。ポストインストールスクリプトとは、インストールの完了後にインストールファイルの削除を行うために実行されるシェルスクリプトである。しかし、海賊版に付属していたものには本来の目的が持たされておらず、マルウェアを実装する目的のものとして起動する役目を担うものとなっている。
このランサムウェアは、インストールされても数日間は動作を開始しないため、ユーザーは海賊版のインストールで起こりえた現象だとは気付きにくいという。
たちの悪いことに、このランサムウェアは様々な場所へ転移して広がり続け、自分自身のコピーまでをもバックアップ代わりに作成していくそうだ。
最終的にはFinderの表示に問題が起きたり、Dockの配置が標準の状態に戻ったりする現象が確認でき、その次に訪れるのはキーチェーンなど大切なファイルの暗号化である。
複数ファイルの暗号化に成功したランサムウェアは、身代金の支払いに関する指示と警告を表示するようだ。
違法な海賊版のアプリをインストールすることによって引き起こされる事態は、自業自得としかいいようのないが、Malwarebytes for Macは、このマルウェアをRansom.OSX.EvilQuestとして検出し、削除してもらるそうである。
