Как бороться с программой-вымогателем EvilQuest для Mac (04.28.24)

Что может быть хуже программ-вымогателей? Вредоносная программа, которая выдает себя за вымогателя, но работает в фоновом режиме как другое вредоносное ПО. Этот тип вредоносного ПО настолько коварен из-за его компонента, который вводит в заблуждение. Пока жертва пытается выяснить, как устранить заражение программой-вымогателем, настоящая вредоносная программа может свободно выполнять свою задачу в фоновом режиме, не будучи обнаруженной.

Это как раз тот случай, когда программа-вымогатель EvilQuest. Поскольку обнаружить, что на Mac установлена ​​программа-вымогатель EvilQuest, легко обнаружить, что фактическая вредоносная программа работает легче, пользователь сосредоточен на программе-вымогателе с дымовой завесой.

Что такое программа-вымогатель EvilQuest на Mac ThiefQuest - это одна из новейших разновидностей программ-вымогателей, обнаруженных в июне 2020 года. Обычно она поставляется в комплекте с пиратскими копиями популярных приложений для Mac, включая Little Snitch, Mixed in Key и Ableton Live. Помимо объединения приложений, она также оказалась отвратительной, как программа Google Software Update.

EvilQuest шифрует документы и файлы жертвы с помощью надежного криптографического алгоритма. Вы будете предупреждены о наличии программы-вымогателя, когда получите это всплывающее сообщение:

Ваши файлы зашифрованы

Многие из ваших важных документов, фотографий, видео, изображений и другие файлы больше не доступны, потому что они были зашифрованы.

Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте зря время. Никто не сможет восстановить ваши файлы без нашей службы дешифрования.

Однако мы гарантируем, что вы сможете восстановить свои файлы легко и безопасно, и это будет стоить вам 50 долларов США без каких-либо дополнительных сборов.

Наше предложение действительно 3 ДНЯ (уже сейчас!). Полную информацию можно найти в файле: READ_ME_NOW.txt, расположенном на вашем рабочем столе.

Он также содержит записку о выкупе под названием READ_ME_NOW.txt. В примечании повторяется то, что уже упоминалось во всплывающем сообщении, а затем добавляются дополнительные сведения о платеже:

Мы используем 256-битный алгоритм AES, поэтому вам понадобится более миллиарда лет, чтобы взломать это шифрование без знания ключа (вы можете прочитать Википедию об AES, если не верите этому утверждению).

В любом случае, мы гарантируем, что вы сможете легко и безопасно восстановить свои файлы. Это потребует от нас использования некоторой вычислительной мощности, электроэнергии и хранилища на нашей стороне, поэтому существует фиксированная плата за обработку в размере 50 долларов США. Это единовременный платеж, без дополнительных комиссий.

Чтобы принять это предложение, вы должны внести платеж в течение 72 часов (3 дней) после получения этого сообщения, в противном случае срок действия этого предложения истечет и вы потеряете свои файлы навсегда.

Платеж должен быть внесен в биткойны по обменному курсу биткойн / доллар США на момент платежа. Адрес для совершения платежа:

13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7

Расшифровка начнется автоматически в течение 2 часов после обработки платежа и займет от 2 до 5 часов в зависимости от вычислительной мощности вашего компьютера. После этого все ваши файлы будут восстановлены.

ЭТО ПРЕДЛОЖЕНИЕ ДЕЙСТВИТЕЛЬНО 72 ЧАСА ПОСЛЕ ПОЛУЧЕНИЯ СООБЩЕНИЯ

Больше, чем программа-вымогатель

Когда вы посмотрите записку с требованием выкупа, вы сразу обратите внимание на очень низкую плату за выкуп. Это настолько ничтожно по сравнению с выкупом в размере 980 долларов, который требуют варианты программ-вымогателей из семейства вымогателей STOP / Djvu, или с выплатой выкупа от 4000 до 8000 долларов за вредоносное ПО Locky. Кроме того, вы заметите, что в записке нет контактной информации, поэтому жертва не может связаться с злоумышленником.

Это заставляет задуматься, серьезно ли злоумышленники относятся ко всему этому. Требование выкупа в размере 50 долларов кажется шуткой, заставляя многих экспертов по безопасности сомневаться в истинной природе этого вредоносного ПО. И после дальнейшего анализа исследователи безопасности смогли подтвердить, что EvilQuest Ransomware - это больше, чем просто программа-вымогатель.

У него есть функции и возможности, которые выходят за рамки шифрования файлов и запроса этого жалкого выкупа. При ближайшем рассмотрении оказывается, что EvilQuest также имеет функции кейлоггинга и кражи данных. Он может собирать ваши изображения, различные типы текстовых документов, базы данных, презентации, электронные таблицы, криптокошельки, резервные копии и другие конфиденциальные данные. Вредоносная программа также может определять, работает ли она в настоящее время на виртуальной машине и какие решения безопасности установлены в настоящее время, что позволяет реализовать различные стратегии сохранения.

Когда программа-вымогатель сканирует вашу систему и находит данные, соответствующие любому из форматов данных, она немедленно незаметно подключается к своей командной службе, открывая обратную оболочку. Вредоносная программа использует это как бэкдор для загрузки дополнительных файлов на ваш Mac и экспорта собранных данных без вашего ведома. Вредоносная программа делает это, одновременно блокируя некоторые системные файлы, отвлекая ваше внимание от того, что она делает на самом деле.

Вот некоторые из расширений, зашифрованных этим вымогателем:

.pdf, .doc, .txt, .jpg, .pem, .pages, .cer, .py, .h, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .keynote , .js, .crt, .php, .m, .hpp, .pptx, .cpp, .cs, .sqlite3, .pl, .p, .p3, .wallet, .html, .dat и другие.

Как удалить программу-вымогатель EvilQuest с Mac

К счастью, многие программы безопасности теперь могут обнаруживать программу-вымогатель EvilQuest и удалять ее с вашего Mac. Вы можете использовать свою антивирусную программу, чтобы удалить с вашего компьютера программы-вымогатели и «дополнительные» функции (обратная оболочка и функция кейлоггера). Malwarebytes - один из эффективных инструментов для удаления программы-вымогателя EvilQuest Mac. Выкуп Уордла Где? инструмент также может обнаруживать и останавливать вредоносные процессы шифрования, производимые программой-вымогателем EvilQuest. К сожалению, использование этих инструментов приведет к значительной потере данных, если у вас нет резервной копии ваших файлов.

Если у вас нет копии ваших файлов, вы можете использовать недавно выпущенный дешифратор EvilQuest. пользователя SentinelOne. Вы можете посмотреть демонстрационное видео здесь, чтобы понять, как его использовать. Однако вам все равно необходимо удалить программу-вымогатель с вашего компьютера и очистить ваш Mac перед использованием этого дешифратора, потому что это только разблокирует ваши файлы, но не удалит вредоносное ПО.

Резюме

В наши дни вредоносные программы становятся все более креативными и изощренными, и теперь их становится сложно категоризировать строго по категории. Программа-вымогатель EvilQuest - хороший пример такой ситуации. Поэтому, если вы получили уведомление о том, что ваш Mac заражен каким-либо вредоносным ПО, отнеситесь к нему с недоверием. Убедитесь, что вы провели тщательное сканирование своего компьютера и удалили все следы вредоносных программ в вашей системе.

YouTube видео: Как бороться с программой-вымогателем EvilQuest для Mac

04, 2024