Com desinstal·lar el ransomware EvilQuest del vostre ordinador

Com desfer-se d'EvilQuest Ransomware (Mac) - Guia d'eliminació de virus (actualitzada)

Com eliminar EvilQuest dels equips Mac

Què és el ransomware EvilQuest?

Descobert per Dinesh_Devadoss , EvilQuest (també conegut com ThiefQuest) és com molts altres programes maliciosos d'aquest tipus: xifra fitxers i crea un missatge de rescat. En la majoria dels casos, aquest tipus de programari maliciós modifica els noms dels fitxers xifrats afegint determinades extensions, però aquest ransomware no els modifica. Cau el ' READ_ME_NOW.txt 'a cada carpeta que conté dades encriptades i mostra un altre missatge de rescat en una finestra emergent. A més, aquest programari maliciós és capaç de detectar si determinats fitxers s’emmagatzemen a l’ordinador, funciona com a registre de claus i rep ordres d’un servidor d’ordres i control.



Nota de rescat EvilQuest (finestra emergent)



Els missatges de rescat EvilQuest indiquen que aquest ransomware garanteix que les víctimes no puguin accedir als seus documents, fotos, vídeos, imatges i altres fitxers xifrant-los amb el Algorisme AES-256 . Per recuperar l'accés als seus fitxers, les víctimes haurien d'utilitzar un servei de desxifrat suposadament a un cost equivalent a 50 dòlars. El pagament s’ha de fer transferint l’import equivalent de Bitcoins a l’adreça de cartera BTC proporcionada. S'afirma que les víctimes disposen de 72 hores per fer el pagament, després de la qual cosa ja no serà possible recuperar fitxers xifrats. Els fitxers s'han de desxifrar en un termini de dues hores després del pagament. En resum, s’informa a les víctimes que és impossible desxifrar fitxers sense pagar un rescat. La majoria dels programes de tipus ransomware xifren fitxers amb algorismes de xifratge forts, i només els ciberdelinqüents que hi ha darrere tenen eines vàlides que poden desxifrar fitxers. Malgrat això, se us recomana que no confieu en ciberdelinqüents darrere dels atacs de ransomware: les víctimes que paguen els rescats no reben res a canvi i són estafades. En aquests casos, l'única manera gratuïta de recuperar fitxers és restaurar-los des d'una còpia de seguretat. Es pot evitar que el ransomware instal·lat provoqui més xifratge de fitxers en eliminar-lo, tot i que els fitxers afectats continuen sent inaccessibles fins i tot després de la desinstal·lació. Com es va esmentar, EvilQuest pot detectar alguns fitxers, com ara .wallet.pdf, wallet.png, * .p12 i key.png. També pot rebre ordres d'un servidor de comandes i control i executar-les, registrar pulsacions de tecles i executar mòduls directament de la memòria. La funció de registre de claus permet als ciberdelinqüents gravar les tecles premudes i, per tant, EvilQuest es pot utilitzar per robar informació confidencial mecanitzada, com ara detalls de la targeta de crèdit, noms d’usuari, contrasenyes, etc. Aquesta informació es pot utilitzar malament per robar identitats i comptes, fer transaccions i compres fraudulentes i per a altres propòsits maliciosos. Aquest programari maliciós també pot comprovar si s’executa en una “màquina virtual” i comprovar si hi ha eines de seguretat (per exemple, Kaspersky, Norton, Avast, DrWeb, Mcaffee, Bitdefender, Bullguard) instal·lades al sistema operatiu.

Resum de l'amenaça:
Nom EvilQuest virus
Tipus d'amenaça Ransomware, Crypto Virus, armari de fitxers.
Missatge de demanda de rescat READ_ME_NOW.txt, finestra emergent.
Import del rescat 50 dòlars en bitcoins
Adreça de BTC Wallet 13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Noms de detecció Ad-Aware (Trojan.GenericKD.34092962), BitDefender (Trojan.GenericKD.34092962), ESET-NOD32 (OSX / Filecoder.I), Microsoft (Ransom: MacOS / Filecoder.YA! MTB), llista completa de deteccions ( VirusTotal )
Símptomes No es poden obrir fitxers emmagatzemats a l'ordinador, ja que els fitxers funcionals anteriorment tenen una extensió diferent (per exemple, my.docx.locked). Al vostre escriptori es mostra un missatge de demanda de rescat. Els delinqüents cibernètics exigeixen el pagament d’un rescat (normalment en bitcoins) per desbloquejar els vostres fitxers.
Informació adicional No hi ha manera de contactar amb ciberdelinqüents darrere d’aquest ransomware.
Mètodes de distribució Adjunts de correu electrònic infectats (macros), llocs web de torrents, anuncis maliciosos.
Danys Tots els fitxers estan xifrats i no es poden obrir sense pagar un rescat. Es poden instal·lar troyans i robatoris de contrasenyes addicionals i infeccions de programari maliciós juntament amb una infecció de ransomware.
Eliminació de programari maliciós (Mac)

Per eliminar possibles infeccions de programari maliciós, analitzeu el Mac amb un programari antivirus legítim. Els nostres investigadors de seguretat recomanen utilitzar Combo Cleaner.
▼ Descarregueu Combo Cleaner per a Mac
Per utilitzar un producte amb totes les funcions, heu de comprar una llicència per a Combo Cleaner. Prova gratuïta limitada de tres dies.



Tingueu en compte que, en la majoria dels casos, el ransomware s’orienta als sistemes operatius Windows. Alguns exemples d'altres programes maliciosos d'aquest tipus inclouen Lxhlp , La paret i .COM . Normalment, xifra fitxers i mostra i / o crea un missatge de rescat. Les principals diferències són el cost del desxifratge (mida del rescat) i l’algoritme de xifratge (simètric o asimètric) que utilitza el ransomware per fer inaccessibles els fitxers. Les víctimes poden restaurar fitxers de forma gratuïta / sense haver de contactar o pagar ciberdelinqüents només quan el ransomware conté vulnerabilitats (errors, defectes). Malauradament, això és rar i l’única altra manera de recuperar fitxers després d’un atac de ransomware és restaurar-los des d’una còpia de seguretat. Per tant, us recomanem que feu còpies de seguretat en servidors remots (com ara Cloud) o en dispositius d’emmagatzematge desconnectats.

Com es va instal·lar el ransomware al meu ordinador?

La investigació demostra que aquest ransomware concret es distribueix a través de versions pirates del popular programari macOS. Un exemple és la versió pirata del programari Mix In Key. EvilQuest també es distribueix mitjançant un instal·lador maliciós i no oficial de Little Snitch. Normalment, el programari pirata està disponible per descarregar a llocs web de torrent i altres pàgines de descàrrega dubtoses. Altres maneres populars que els ciberdelinqüents utilitzen per proliferar el ransomware (i altres programes maliciosos) són mitjançant campanyes de correu brossa, troians, actualitzadors de programari falsos i altres fonts / canals de descàrrega de programari fals o eines de 'cracking'. Mitjançant campanyes de correu brossa, envien correus electrònics que contenen fitxers adjunts maliciosos o enllaços web dissenyats per descarregar fitxers maliciosos. El seu objectiu principal és enganyar els destinataris perquè obrin el fitxer adjunt / fitxer, cosa que provoca la instal·lació de programari maliciós. Alguns exemples de fitxers que els ciberdelinqüents adjunten als seus correus electrònics són Microsoft Office malintencionats, documents PDF, fitxers d’arxiu (RAR, ZIP), fitxers executables (.exe) i fitxers JavaScript. Els troians són programes maliciosos que poden causar danys simplement instal·lant altres programes maliciosos; després de la instal·lació provoquen infeccions en cadena. Els actualitzadors de programari falsos (no oficials) instal·len programes maliciosos en lloc de les correccions d’actualitzacions, o bé s’exploten errors / errors de programari obsolet que s’instal·la a l’ordinador. Alguns exemples de canals dubtosos de descàrrega de fitxers i programari són llocs web d’allotjament de fitxers gratuïts de xarxes peer-to-peer (eMule), pàgines de descàrrega de programari gratuït, descarregadors de tercers i altres fonts d’aquest tipus. En general, els fitxers maliciosos es disfressen de regulars i inofensius. Quan els usuaris els descarreguen i els executen, infecten els equips amb programari maliciós. Les eines de 'trencament' del programari suposadament ajuden els usuaris a evitar l'activació del programari amb llicència (activar-lo de forma gratuïta), tot i que simplement instal·len programari maliciós (com ara el ransomware).

Com evitar la instal·lació de programari maliciós

Es recomana no confiar en els correus electrònics irrellevants que es reben d’adreces desconegudes i sospitoses. Si contenen fitxers adjunts (o enllaços web), no s’han d’obrir mai. Tingueu en compte que els correus electrònics enviats per ciberdelinqüents solen disfressar-se d’importants, oficials i legítims. Actualitzeu i activeu el programari instal·lat només amb funcions o eines implementades per desenvolupadors de programari oficials. Activadors i actualitzadors no oficials infecten els equips amb programari maliciós. A més, l'ús d'eines de 'cracking' és il·legal quan s'activa qualsevol programari amb llicència. Baixeu fitxers i programes només de llocs web oficials. No s'ha de confiar en els descarregadors (i instal·ladors) de tercers, les pàgines no oficials i les xarxes Peer-to-Peer. Analitzeu regularment l’ordinador amb un programa antispyware o antivirus de bona reputació i mantingueu aquest programari actualitzat. Si el vostre equip ja està infectat amb PUA, us recomanem que feu un escaneig amb Antivirus Combo Cleaner per a macOS per eliminar-los automàticament.



Text en una finestra emergent:

Els vostres fitxers estan xifrats

Molts dels vostres documents, fotos, vídeos, imatges i altres fitxers importants ja no són accessibles perquè s'han encriptat.

Potser esteu ocupat buscant la manera de recuperar els fitxers, però no perdeu el temps. Ningú no pot recuperar els fitxers sense el nostre servei de desxifratge.
Tanmateix, us garantim que podeu recuperar els vostres fitxers de forma segura i senzilla, cosa que us costarà 50 USD sense cap cost addicional.

La nostra oferta és vàlida PER 3 DIES (a partir d’ara!). Podeu trobar tota la informació al fitxer: READ_ME_NOW.txt situat al vostre escriptori

Captura de pantalla de ' READ_ME_NOW.txt missatge de rescat:

Nota de rescat EvilQuest (READ_ME_NOW.txt)

Envieu un missatge de text a aquest missatge:

ELS VOSTRES FITXERS IMPORTANTS ESTAN CIFRATS

Molts dels vostres documents, fotos, vídeos, imatges i altres fitxers ja no són accessibles perquè han estat xifrats. Potser esteu ocupat buscant la manera de recuperar els fitxers, però no perdeu el temps. Ningú no pot recuperar el fitxer sense el nostre servei de desxifratge.

Utilitzem l'algorisme AES de 256 bits, de manera que us caldrà més de mil milions d'anys trencar aquest xifratge sense conèixer la clau (podeu llegir la Viquipèdia sobre AES si no creieu aquesta afirmació).
De totes maneres, us garantim que podeu recuperar els fitxers de forma segura i senzilla. Això requerirà que utilitzem una mica de potència de processament, electricitat i emmagatzematge, de manera que hi ha una tarifa de processament fixa de 50 USD. Es tracta d’un pagament únic, sense càrrecs addicionals inclosos.
Per acceptar aquesta oferta, heu de fer el pagament en un termini de 72 hores (3 dies) després de rebre aquest missatge; en cas contrari, aquesta oferta caducarà i perdrà els fitxers per sempre.
El pagament s’ha de dipositar a Bitcoin segons el tipus de canvi Bitcoin / USD en el moment del pagament. L'adreça que heu de fer per fer el pagament és:

13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7

La desencriptació s'iniciarà automàticament en un termini de 2 hores després de processar el pagament i trigarà de 2 a 5 hores en funció de la potència de processament del vostre ordinador. Després, es restauraran tots els fitxers.

Aquesta oferta és vàlida 72 hores després de rebre aquest missatge

Captura de pantalla dels fitxers xifrats per EvilQuest:

Fitxers xifrats pel ransomware EvilQuest

Instal·lador maliciós dissenyat per instal·lar EvilQuest:

instal·lador de ransomware de evilquest

Llista de fitxers relacionats amb aquest instal·lador:

  • ~ / Library / mixednkey / toolroomd
  • ~ / Library / AppQuest / com.apple.questd
  • ~ / Library / LaunchAgents / com.apple.questd.plist

Tingueu en compte que la descàrrega de programari de llocs dubtosos de Torrent (com ara ThePirateBay ) és probable que provoqui infeccions del sistema:

EvilQuest ransomware distribuït a través de llocs de Torrent

Actualització 8 de juliol de 2020 - La companyia de ciberseguretat SentinelOne ha llançat recentment una eina de desxifratge dissenyada per restaurar les dades encriptades pel ransomware EvilQuest (ThiefQuest) i, per tant, les víctimes poden restaurar les seves dades fàcilment sense pagar. Podeu descarregar l'eina i trobar-ne el manual a Pàgina web GitHub de SentinelOne .

Eliminació automàtica instantània de malware de Mac: L'eliminació manual d'amenaces pot ser un procés llarg i complicat que requereix coneixements informàtics avançats. Combo Cleaner és una eina professional d’eliminació automàtica de programari maliciós que es recomana per eliminar el programari maliciós de Mac. Baixeu-lo fent clic al botó següent:
▼ DESCÀRREGA Combo Cleaner per a Mac En descarregar qualsevol programari que apareix en aquest lloc web, accepteu el nostre Política de privacitat i Condicions d'ús . Per utilitzar un producte amb totes les funcions, heu de comprar una llicència per a Combo Cleaner. Prova gratuïta limitada de tres dies.

Menú ràpid:

Vídeo que mostra com eliminar els segrestadors de programes publicitaris i de navegadors d'un equip Mac:

Eliminació d'aplicacions potencialment no desitjades:

Elimineu les aplicacions potencialment no desitjades del vostre ' Aplicacions carpeta:

eliminació del segrestador del navegador Mac de la carpeta d

Feu clic a Icona del cercador. A la finestra del Finder, seleccioneu ' Aplicacions '. A la carpeta d'aplicacions, cerqueu ' MPlayerX ',' NicePlayer ', o altres aplicacions sospitoses i arrossegueu-les a la paperera. Després d’eliminar les aplicacions potencialment no desitjades que causen anuncis en línia, escaneu el Mac per trobar qualsevol component no desitjat que quedi.

▼ DESCÀRREGA eliminador per a
Infeccions de malware per a Mac

Combo Cleaner comprova si el vostre equip està infectat amb programari maliciós. Per utilitzar un producte amb totes les funcions, heu de comprar una llicència per a Combo Cleaner. Prova gratuïta limitada de tres dies.

Elimineu els fitxers i carpetes relacionats amb el virus evilquest:

Cercador vés a l

Feu clic a Cercador , des de la barra de menú. Trieu Vaja, i feu clic a Ves a la carpeta ...

Pas 1Comproveu si hi ha fitxers generats per adware a la carpeta / Library / LaunchAgents:

eliminació de l’adware de la carpeta d’agents de llançament pas 1

A la Ves a la carpeta ... barra, escriviu: / Library / LaunchAgents

eliminació de l
Al ' LaunchAgents ', Cerqueu els fitxers sospitosos afegits recentment i moveu-los a la paperera . Exemples de fitxers generats per adware - ' installmac.AppRemoval.plist ',' myppes.download.plist ',' mykotlerino.ltvbit.plist ',' kuklorest.update.plist ”, Etc. Adware sol instal·lar diversos fitxers amb la mateixa cadena.

pas2Comproveu si hi ha fitxers generats per adware al fitxer / Biblioteca / Suport d'aplicacions carpeta:

eliminació de l

A la Ves a la carpeta ... barra, escriviu: / Biblioteca / Suport d'aplicacions

eliminació de l
Al ' Suport d’aplicacions ”, Cerqueu les carpetes sospitoses afegides recentment. Per exemple, ' MplayerX 'O' NicePlayer ”, I moveu aquestes carpetes a la paperera .

pas 3Comproveu si hi ha fitxers generats per adware al fitxer ~ / Library / LaunchAgents carpeta:

eliminació de l


A la barra Vés a la carpeta, escriviu: ~ / Library / LaunchAgents

eliminació de l

Al ' LaunchAgents ', Cerqueu els fitxers sospitosos afegits recentment i moveu-los a la paperera . Exemples de fitxers generats per adware - ' installmac.AppRemoval.plist ',' myppes.download.plist ',' mykotlerino.ltvbit.plist ',' kuklorest.update.plist ”, Etc. Adware sol instal·lar diversos fitxers amb la mateixa cadena.

pas 4Comproveu si hi ha fitxers generats per adware al fitxer / Library / LaunchDaemons carpeta:

eliminació de l
A la Ves a la carpeta ... barra, escriviu: / Library / LaunchDaemons

eliminació de l
Al ' LaunchDaemons ”, Cerqueu fitxers sospitosos afegits recentment. Per exemple ' com.aoudad.net-preferences.plist ',' com.myppes.net-preferences.plist ', ' com.kuklorest.net-preferences.plist ',' com.avickUpd.plist ”, Etc., i moveu-los a la paperera .

pas 5 Escaneja el Mac amb Combo Cleaner:

Si heu seguit tots els passos en l’ordre correcte, el Mac hauria d’estar net d’infeccions. Per assegurar-vos que el vostre sistema no està infectat, feu una exploració amb Combo Cleaner Antivirus. Descarregueu-lo AQUÍ . Després de descarregar el fitxer, feu doble clic combocleaner.dmg instal·lador, a la finestra oberta, arrossegueu i deixeu anar la icona Combo Cleaner a la part superior de la icona Aplicacions. Ara obriu el launchpad i feu clic a la icona Combo Cleaner. Espereu fins que Combo Cleaner actualitzi la base de dades de definició de virus i feu clic a 'Inicia l'exploració combinada' botó.

escaneja-amb-netejador-combinat-1

Combo Cleaner explorarà el vostre Mac per detectar infeccions de programari maliciós. Si l'exploració antivirus mostra 'no s'han trobat amenaces'; això vol dir que podeu continuar amb la guia d'eliminació; en cas contrari, es recomana eliminar totes les infeccions trobades abans de continuar.

escaneja-amb-netejador-combinat-2

Després d’eliminar fitxers i carpetes generats per l’adware, continueu eliminant les extensions falses dels vostres navegadors d’Internet.

Eliminació del virus EvilQuest dels navegadors d'Internet:

icona del navegador safariElimineu les extensions malicioses de Safari:

Elimineu les extensions de Safari relacionades amb el virus evilquest:

preferències del navegador safari

Obriu el navegador Safari, a la barra de menú, seleccioneu ' Safari 'i feu clic a' Preferències ... .

com netejar altres emmagatzematges al macbook

finestra d

A la finestra de preferències, seleccioneu ' Extensions 'i cerqueu qualsevol extensió sospitosa instal·lada recentment. Quan estigueu ubicat, feu clic a ' Desinstal·la 'botó al costat / ells. Tingueu en compte que podeu desinstal·lar de manera segura totes les extensions del navegador Safari; cap és crucial per al funcionament normal del navegador.

  • Si continueu tenint problemes amb les redireccions del navegador i els anuncis no desitjats - Restableix Safari .

icona del navegador FirefoxElimineu els connectors maliciosos de Mozilla Firefox:

Elimineu els complements de Mozilla Firefox relacionats amb el virus evilquest:

accedint als complements Mozilla Firefox

Obriu el navegador Mozilla Firefox. A l'extrem superior dret de la pantalla, feu clic a ' Obre el menú '(tres línies horitzontals). Al menú obert, trieu ' Complements '.

eliminació de complements malintencionats de Mozilla Firefox

Escull el ' Extensions 'i cerqueu qualsevol complement sospitós instal·lat recentment. Quan estigueu ubicat, feu clic a ' Elimina 'botó al costat / ells. Tingueu en compte que podeu desinstal·lar de forma segura totes les extensions del navegador Mozilla Firefox; cap és crucial per al funcionament normal del navegador.

  • Si continueu tenint problemes amb les redireccions del navegador i els anuncis no desitjats - Restableix Mozilla Firefox .

icona-navegador-cromElimineu les extensions malicioses de Google Chrome:

Elimineu els complements de Google Chrome relacionats amb el virus evilquest:

eliminació de les extensions malicioses de Google Chrome pas 1

Obriu Google Chrome i feu clic a ' Menú Chrome '(tres línies horitzontals) situat a l'extrem superior dret de la finestra del navegador. Al menú desplegable, trieu ' Més eines 'i selecciona' Extensions '.

eliminació de les extensions malicioses de Google Chrome pas 2

Al ' Extensions 'window, cerqueu qualsevol complement sospitós instal·lat recentment. Quan estigueu ubicat, feu clic a ' Paperera 'botó al costat / ells. Tingueu en compte que podeu desinstal·lar de forma segura totes les extensions del navegador Google Chrome; cap és crucial per al funcionament normal del navegador.

  • Si continueu tenint problemes amb les redireccions del navegador i els anuncis no desitjats - Restableix Google Chrome .