尽管专门针对 Mac 用户的勒索软件极为罕见，但近日曝光的 OSX.EvilQuest，还是让不少研究人员发出了警告。ZDnet 报道称，独立研究员 Dinesh Devadoss 最显发现了它的身影，相信 EvilQuest 自 2020 年 6 月以来就一直在野外传播。除了恶意加密文件并索取赎金，它还会在受害者的 macOS 系统上安装键盘记录器、以及窃取加密货币钱包文件的代码。

（图自：Patrick Wardle）

前 NSA 黑客、现 Jamf macOS 安全研究员 Patrick Wardle 指出，攻击者可借此完全控制受感染的主机。

与此前曝光过的许多 Mac 勒索软件一样，EvilQuest 似乎也是通过盗版软件分发渠道来散播的，比如 DJ 应用程序 Mixed In Key 和安全工具 Little Snitch 。

Malwarebytes 的 Thomas Reed 补充道，勒索软件还试图利用 Google Chrome 浏览器的升级机制，因为他们甚至在名为 Google Software Update 的软件包中发现了它的身影。

显然，恶意软件制作者希望借此在受感染的计算机上长期滞留。对于 macOS 用户来说，这可能是自 2017 年的 Patche、以及 2016 年的 KeRanger 之后的又一大威胁。

为避免感染 EvilQuest，建议大家还是尽量绕开盗版 BT 站点，坚持通过 Mac App Store 或受信任的第三方开发者来获取软件。

此外 Wardle 提供了一款免费且开源的《RansomWhere？》软件，可帮助 macOS 用户检测和停用在系统中潜伏的勒索软件。

最后，近日更新的 Malwarebytes 软件也能够在 EvilQuest 造成损害之前，对其进行检测和清理。