Come disinstallare EvilQuest ransomware da un computer?
Scitto da Tomas Meskauskas il (aggiornato)
Come disinstallare EvilQuest ransomware dal Mac?
Cos'è EvilQuest ransomware?
A scoprire EvilQuest è stato Dinesh_Devadoss. Come molti altri programmi dannosi di questo tipo, EvilQuest crittografa i file delle vittime e crea una richiesta di riscatto. Nella maggior parte dei casi malware di questo tipo modificano i nomi dei file crittografati aggiungendo una determinata estensione, sebbene questo ransomware li lasci invariati. Inserisce il file "READ_ME_NOW.txt" in ogni cartella che contiene dati crittografati e visualizza un'altra nota di riscatto in una finestra pop-up. Inoltre, questo malware è in grado di rilevare se alcuni file sono memorizzati su un computer, funzionano come keylogger e ricevono alcuni comandi dal server Command & Control.
Come spiegato nelle note di riscatto di EvilQuest, questo ransomware garantisce che le vittime non possano accedere a documenti, foto, video, immagini e altri file crittografandoli con l'algoritmo AES-256. Per poter accedere nuovamente ai propri file, le vittime che dovrebbero utilizzare il servizio di decodifica che costa $ 50, devono essere effettuati un pagamento trasferendo la quantità equivalente di Bitcoin all'indirizzo del portafoglio BTC fornito. Si afferma che le vittime hanno 72 ore per effettuare un pagamento, dopodiché non sarà più possibile decrittografare i file crittografati. I file devono essere decifrati entro 2 ore dopo un pagamento. Riassumendo, le vittime sono informate che è impossibile decrittografare i file senza dover pagare un riscatto. Sfortunatamente, è vero: la maggior parte dei programmi di tipo ransomware crittografa i file con algoritmi di crittografia avanzata e i criminali informatici dietro di loro sono gli unici che hanno gli strumenti in grado di decrittografare i file delle vittime. Tuttavia, si consiglia vivamente di non fidarsi né di questi né di altri criminali informatici dietro l'attacco di ransomware - il più delle volte le vittime che pagano un riscatto non ricevono nulla in cambio. In altre parole, vengono truffati. In questi casi, l'unico modo gratuito per recuperare i file è ripristinarli da un backup. Inoltre, è possibile impedire che i ransomware installati causino ulteriori crittografie (crittografia dei file non crittografati) disinstallandolo. Tuttavia, i file crittografati rimangono inaccessibili anche dopo la sua disinstallazione. Come menzionato nell'introduzione, EvilQuest è in grado di rilevare alcuni file, come .wallet.pdf, wallet.png, * .p12 e key.png. Inoltre, può ricevere comandi dal server Command & Control ed eseguirli, registrare le sequenze di tasti ed eseguire i moduli direttamente dalla memoria. La funzione di keylogging consente ai criminali informatici di registrare i tasti premuti, il che significa che EvilQuest può essere utilizzato per rubare informazioni sensibili digitate come dettagli della carta di credito, nomi utente, password e così via. Tali informazioni possono essere utilizzate in modo improprio per rubare identità, account, effettuare transazioni fraudolente, acquisti e per altri scopi dannosi.
Nome | EvilQuest virus |
Tipo di minaccia | Ransomware, Crypto Virus, Files locker |
Messaggio di richiesta riscatto | READ_ME_NOW.txt, finestra pop-up |
Ammontare del riscatto | $50 in Bitcoins |
Indirizzo BTC Wallet | 13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7 |
Nomi rilevati | Ad-Aware (Trojan.GenericKD.34092962), BitDefender (Trojan.GenericKD.34092962), ESET-NOD32 (OSX/Filecoder.I), Microsoft (Ransom:MacOS/Filecoder.YA!MTB), Lista completa (VirusTotal) |
Sintomi | Impossibile aprire i file memorizzati sul tuo computer, i file precedentemente funzionanti ora hanno un'estensione diversa (ad esempio my.docx.locked). Sul desktop viene visualizzato un messaggio di richiesta di riscatto. I criminali informatici richiedono il pagamento di un riscatto (di solito in bitcoin) per sbloccare i tuoi file. |
Info aggiuntive | Non c'è modo di contattare i criminali informatici dietro questo ransomware |
Metodi distributivi | Allegati email (macro) infetti, siti Web torrent, annunci dannosi. |
Danni | Tutti i file sono crittografati e non possono essere aperti senza un riscatto. È possibile installare ulteriori trojan e infezioni da malware che rubano la password insieme a un'infezione da ransomware. |
Rimozione dei malware (Mac) | Per eliminare possibili infezioni malware, scansiona il tuo Mac con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
Vale la pena ricordare che nella maggior parte dei casi il ransomware è destinato ai sistemi operativi Windows, ecco alcuni esempi di altri malware di questo tipo: Lxhlp, Zida e .HOW. In genere, crittografa i file e visualizza e crea una nota di riscatto e le uniche differenze principali sono il prezzo di una decrittazione (dimensione di un riscatto) e un algoritmo di crittografia (simmetrico o asimmetrico) che il ransomware utilizza per rendere i file inaccessibili. Le vittime possono ripristinare i file gratuitamente e senza dover contattare e pagare i cyber criminali solo quando il ransomware presenta alcune vulnerabilità (bug, difetti). Sfortunatamente, non succede spesso e l'unico modo per recuperare i file dopo l'attacco di ransomware è ripristinarli da un backup. Pertanto, si consiglia di disporre sempre di un backup dei dati e di conservarlo su un server remoto (come Cloud) o su un dispositivo di archiviazione non collegato.
Come è stato installato ransomware sul mio computer?
La ricerca mostra che questo particolare ransomware è distribuito attraverso versioni piratate del popolare software macOS, uno degli esempi è la versione piratata del software Mix In Key. In genere, il software piratato è disponibile per il download su vari siti Web torrent e altre pagine di download inaffidabili. Altri modi popolari che i criminali informatici utilizzano per proliferare ransomware (e altri malware) sono campagne spam, trojan, aggiornamenti software falsi, altre fonti o canali di download di software discutibili o strumenti di cracking del software per questo. Nel primo caso inviano e-mail che contengono allegati dannosi o collegamenti Web progettati per scaricare file dannosi. Il loro obiettivo principale è ingannare i destinatari nell'apertura di un file o allegato dannoso che causerebbe l'installazione di un software dannoso. Alcuni esempi di file che i cyber criminali allegano alle loro e-mail sono Microsoft Office dannoso, documenti PDF, file di archivio (come RAR, ZIP), file eseguibili (come .exe) e file JavaScript. I trojan sono programmi dannosi che possono causare danni semplicemente installando altri malware: dopo l'installazione causano infezioni a catena. Gli aggiornamenti software (non ufficiali) falsi causano l'installazione di programmi dannosi anziché le correzioni degli aggiornamenti o lo sfruttamento di bug, difetti di software obsoleto installato sul computer dell'utente. Esempi di file inaffidabili, canali di download del software sono le reti peer-to-peer (come eMule) siti Web di hosting di file gratuiti, pagine di download di freeware, downloader di terze parti e altre fonti di questo tipo. Di norma, i file dannosi vengono mascherati come normali, innocui. Quando gli utenti scaricano ed eseguono, infettano i computer con malware. Gli strumenti di "cracking" del software sono programmi che dovrebbero aiutare i loro utenti a bypassare l'attivazione di alcuni software con licenza (attivarlo gratuitamente). Tuttavia, il più delle volte tali strumenti non attivano alcun software. Invece di farlo, installano semplicemente alcuni software dannosi, ad esempio ransomware.
Come evitare l'installazione di malware?
Si consiglia vivamente di non fidarsi delle email irrilevanti ricevute da indirizzi sconosciuti e sospetti. Se contengono allegati (o collegamenti Web), non devono essere aperti. Vale la pena ricordare che le e-mail inviate da cyber criminali sono spesso mascherate da importanti, ufficiali, legittime. Inoltre, è importante aggiornare e attivare il software installato solo con funzioni o strumenti implementati dagli sviluppatori di software ufficiali. Il più delle volte gli utenti che usano attivatori o programmi di aggiornamento non ufficiali infettano i loro computer con malware. Un altro problema con attivatori non ufficiali (strumenti di "cracking") è che non è legale usarli per attivare alcun software concesso in licenza. Un altro modo per evitare l'installazione di software dannoso è scaricare file, programmi solo da siti Web ufficiali. Downloader di terze parti (e installatori), pagine non ufficiali, reti peer-to-peer non dovrebbero essere attendibili. E infine, ogni computer dovrebbe essere regolarmente scansionato con una rispettabile suite anti-spyware o antivirus, tale software dovrebbe essere sempre aggiornato. Se il tuo computer è già infetto da PUA, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminarli automaticamente.
Testo in una finestra pop-up:
Your files are encrypted
Many of your important documents, photos, videos, images and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
We guarantee however that you can recover your files safely and easily and this will cost you 50 USD without any additional fees.Our offer is valid FOR 3 DAYS (starting now!). Full details can be found in the file: READ_ME_NOW.txt located on your Desktop
Screenshot della nota di riscatto "READ_ME_NOW.txt":
Testo in questa nota:
YOUR IMPORTANT FILES ARE ENCRYPTED
Many of your documents, photos, videos, images and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your file without our decryption service.
We use 256-bit AES algorithm so it will take you more than a billion years to break this encryption without knowing the key (you can read Wikipedia about AES if you don't believe this statement).
Anyways, we guarantee that you can recover your files safely and easily. This will require us to use some processing power, electricity and storage on our side, so there's a fixed processing fee of 50 USD. This is a one-time payment, no additional fees included.
In order to accept this offer, you have to deposit payment within 72 hours (3 days) after receiving this message, otherwise this offer will expire and you will lose your files forever.
Payment has to be deposited in Bitcoin based on Bitcoin/USD exchange rate at the moment of payment. The address you have to make payment is:13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Decryption will start automatically within 2 hours after the payment has been processed and will take from 2 to 5 hours depending on the processing power of your computer. After that all of your files will be restored.
THIS OFFER IS VALID FOR 72 HOURS AFTER RECEIVING THIS MESSAGE
Schermata dei file crittografati da EvilQuest:
Programma di installazione dannoso progettato per installare EvilQuest:
Elenco dei file relativi a questo programma di installazione:
- ~/Library/mixednkey/toolroomd
- ~/Library/AppQuest/com.apple.questd
- ~/Library/LaunchAgents/com.apple.questd.plist
Tieni presente che il download di software da siti Torrent discutibili (come ThePirateBay) è molto probabile che porti a varie infezioni del sistema:
Rimozione automatica istantanea dei malware dal tuo Mac:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware dai Mac. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner per Mac
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 3 giorni di prova gratuita limitata. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu:
- Cos'è EvilQuest ransomware?
- STEP 1. Rimuovere i file e le cartelle legate ad una PUA da OSX.
- STEP 2. Rimuovere estensioni canaglia da Safari.
- STEP 3. Rimuovere componenti aggiuntivi malevoli da Google Chrome.
- STEP 4. Rimuovere plug in fasulli da Mozilla Firefox.
Rimozione di PUA:
Rimuovi le applicazioni potenzialmente indesiderate dalla cartella "Applicazioni":
Fare clic sull'icona del Finder. Nella finestra del Finder, selezionare "Applicazioni". Nella cartella applicazioni, cercare "MPlayerX", "NicePlayer", o altre applicazioni sospette e trascinarle nel Cestino. Dopo aver rimosso l'applicazione potenzialmente indesiderata che causa gli annunci online, eseguire la scansione del Mac per trovare tutti i componenti indesiderati rimanenti.
Rimuovere i file e le cartelle legate a evilquest virus:
Cliccare l'icona del Finder, dal menu a barre, scegliere Vai, e cliccare Vai alla Cartella...
Verificare la presenza di file generati da adware nella cartella / Library / LaunchAgents:
Nella barra Vai alla Cartella..., digita: /Library/LaunchAgents
Nella cartella "LaunchAgents", cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Gli Adware installano comunemente diversi file con la stessa stringa.
Verificare la presenza di file generati da adware nella cartella /Library/Application Support:
Nella barra Vai alla Cartella..., digita: /Library/Application Support
Nella cartella “Application Support”, lcercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware, “MplayerX” o “NicePlayer”,
Verificare la presenza di file generati da adware nella cartella ~/Library/LaunchAgents:
Nella barra Vai alla Cartella..., digita: ~/Library/LaunchAgents
Nella cartella "LaunchAgents", cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Gli Adware installano comunemente diversi file con la stessa stringa.
Verificare la presenza di file generati da adware nella cartella /Library/LaunchDaemons:
Nella barra Vai alla Cartella..., digita: /Library/LaunchDaemons
Nella cartella “LaunchDaemons”, cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc..
Scansiona il tuo Mac con Combo Cleaner:
Se hai seguito tutti i passaggi nell'ordine corretto, il Mac dovrebbe essere privo di infezioni. Per essere sicuro che il tuo sistema non sia infetto, esegui una scansione con Combo Cleaner Antivirus. Scaricalo QUI. Dopo aver scaricato il file fare doppio clic sul programma di installazione combocleaner.dmg, nella finestra aperta trascinare e rilasciare l'icona Combo Cleaner in cima all'icona Applicazioni. Ora apri il launchpad e fai clic sull'icona Combo Cleaner. Attendere fino a quando Combo Cleaner aggiorna il suo database delle definizioni dei virus e fare clic sul pulsante "Avvia scansione combinata".
Combo Cleaner eseguirà la scansione del tuo Mac alla ricerca di infezioni da malware. Se la scansione antivirus mostra "nessuna minaccia trovata", significa che è possibile continuare con la guida alla rimozione, altrimenti si consiglia di rimuovere eventuali infezioni trovate prima di continuare.
Dopo aver rimosso i file e le cartelle generati dal adware, continuare a rimuovere le estensioni canaglia dal vostro browser Internet.
EvilQuest virus rimozione da homepage e motore di ricerca degli Internet browsers:
Rimuovere le estensioni malevole da Safari:
Rimuovere le estensioni di evilquest virus da Safari:
Aprire Safari, Dalla barra del menu, selezionare "Safari" e clicare su "Preferenze...".
Nella finestra delle preferenze, selezionare "Estensioni" e cercare eventuali estensioni sospette recentemente installate. Quando le trovate, fare clic sul pulsante "Disinstalla". Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Safari - nessuna è fondamentale per il normale funzionamento del browser.
- Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Safari.
Rimuovere le estensioni malevole da Mozilla Firefox:
Rimuovere i componenti aggiuntivi legati a evilquest virus da Mozilla Firefox:
Aprire il browser Mozilla Firefox. In alto a destra dello schermo, fare clic sul pulsante (tre linee orizzontali) "Apri Menu". Dal menu aperto, scegliere "componenti aggiuntivi".
Scegliere la scheda "Estensioni" e cercare eventuali componenti aggiuntivi sospetti di recente installati. Quando vengono trovati, fare clic sul pulsante "Rimuovi" che si trova accanto. Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Mozilla Firefox - nessuna è cruciale per il normale funzionamento del browser.
- Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Mozilla Firefox.
Rimuovere estensioni pericolose da Google Chrome:
Rimuovere le estensioni di evilquest virus da Google Chrome:
Aprire Google Chrome e fare clic sul pulsante (tre linee orizzontali) "Menu Chrome" che si trova nell'angolo in alto a destra della finestra del browser. Dal menu a discesa, scegliere "Altri strumenti" e selezionare "Estensioni".
Nella finestra "Estensioni", cercare eventuali componenti aggiuntivi sospetti di recente installati. Quando li trovate, fate clic sul pulsante "Cestino" accanto. Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Google Chrome - non ce ne sono di fondamentali per il normale funzionamento del browser.
- Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Google Chrome.
▼ Mostra Discussione