Как бороться с программой-вымогателем EvilQuest Mac

Что может быть хуже программ-вымогателей? Вредоносная программа, которая выдает себя за программу-вымогатель, но в фоновом режиме работает как другая вредоносная программа. Этот тип вредоносного ПО настолько коварен из-за его неправильного компонента. Пока жертва занята попытками выяснить, как устранить заражение программой-вымогателем, настоящая вредоносная программа может свободно выполнять свою работу в фоновом режиме, не будучи обнаруженной.

Именно так обстоит дело с программой-вымогателем EvilQuest. Поскольку легко обнаружить, когда на Mac есть программа-вымогатель EvilQuest, фактическому вредоносному ПО легче работать, потому что пользователь сосредоточен на программе-вымогателе дымовой завесы.

Что такое программа-вымогатель EvilQuest на Mac

Программа-вымогатель EvilQuest, также известная как ThiefQuest, является одной из новейших разновидностей программ-вымогателей, обнаруженных в июне 2020 года. Обычно она поставляется в комплекте с пиратскими копиями популярных приложений для Mac, включая Little Snitch, Mixed in Key и Ableton Live. Помимо объединения приложений, он также был признан отвратительным, как программа обновления программного обеспечения Google.

EvilQuest шифрует документы и файлы жертвы с помощью надежного криптографического алгоритма. Вы будете предупреждены о наличии программы-вымогателя, когда получите следующее всплывающее сообщение:

Ваши файлы зашифрованы

Многие из ваших важных документов, фотографий, видео, изображений и других файлов больше недоступны, поскольку они были зашифрованы.

Возможно, вы заняты поиском способа восстановить свои файлы, но не тратьте время зря. Никто не сможет восстановить ваши файлы без нашей службы расшифровки.

Однако мы гарантируем, что вы сможете безопасно и легко восстановить свои файлы, и это будет стоить вам 50 долларов США без каких-либо дополнительных сборов.

Наше предложение действует 3 ДНЯ (начиная с сегодняшнего дня!). Полную информацию можно найти в файле: READ_ME_NOW.txt, расположенном на вашем рабочем столе.

Он также оставляет записку о выкупе под названием READ_ME_NOW.txt. В примечании повторяется то, что уже упоминалось во всплывающем сообщении, а затем добавляется дополнительная информация о платеже:

Мы используем 256-битный алгоритм AES, поэтому вам понадобится более миллиарда лет, чтобы взломать это шифрование, не зная ключа (вы можете прочитать Википедию об AES, если не верите этому утверждению).

В любом случае, мы гарантируем, что вы сможете безопасно и легко восстановить свои файлы. Это потребует от нас использования некоторой вычислительной мощности, электроэнергии и хранилища на нашей стороне, поэтому фиксированная плата за обработку составляет 50 долларов США. Это единоразовый платеж, никаких дополнительных комиссий не предусмотрено.

Чтобы принять это предложение, вы должны внести платеж в течение 72 часов (3 дней) после получения этого сообщения, в противном случае срок действия этого предложения истечет, и вы навсегда потеряете свои файлы.

Оплата должна быть внесена в биткойнах по обменному курсу биткойн/доллар США на момент оплаты. Адрес, по которому необходимо произвести оплату:

13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7

Расшифровка начнется автоматически в течение 2 часов после обработки платежа и займет от 2 до 5 часов в зависимости от вычислительной мощности вашего компьютера. После этого все ваши файлы будут восстановлены.

ДАННОЕ ПРЕДЛОЖЕНИЕ ДЕЙСТВУЕТ В ТЕЧЕНИЕ 72 ЧАСОВ ПОСЛЕ ПОЛУЧЕНИЯ ЭТОГО СООБЩЕНИЯ

Больше, чем программа-вымогатель

Когда вы посмотрите на записку о выкупе, вы сразу заметите очень низкую плату за выкуп. Это настолько ничтожно мало по сравнению с выкупом в размере 980 долларов США, который требуют варианты программ-вымогателей из семейства программ-вымогателей STOP/Djvu, или платой за выкуп в размере от 4000 до 8000 долларов США за вредоносное ПО Locky. Кроме того, вы заметите, что в заметке не указана контактная информация, поэтому у жертвы нет возможности связаться со злоумышленником.

Это заставляет вас задаться вопросом, серьезно ли злоумышленники относятся ко всему этому. Требование 50 долларов в качестве выкупа кажется шуткой, что заставляет многих экспертов по безопасности сомневаться в истинной природе этой вредоносной программы. И после дальнейшего анализа исследователи безопасности смогли подтвердить, что EvilQuest Ransomware — это больше, чем просто программа-вымогатель.

У него есть функции и возможности, которые выходят за рамки шифрования файлов и запроса этого ничтожного выкупа. При ближайшем рассмотрении оказывается, что EvilQuest также имеет функции кейлогинга и кражи данных. Он может собирать ваши изображения, различные типы текстовых документов, базы данных, презентации, электронные таблицы, криптокошельки, резервные копии и другие конфиденциальные данные. Вредоносное ПО также может определить, запущено ли оно в настоящее время на виртуальной машине и какие решения безопасности в настоящее время установлены, что позволяет ему реализовывать различные стратегии сохранения.

Когда программа-вымогатель сканирует вашу систему и находит данные, соответствующие любому из форматов данных, она немедленно незаметно подключается к своей командной службе, открывая обратную оболочку. Вредоносное ПО использует это как бэкдор для загрузки дополнительных файлов на ваш Mac и экспорта собранных данных без вашего ведома. Вредоносная программа делает это, одновременно блокируя некоторые системные файлы, отвлекая ваше внимание от того, что она на самом деле делает.

Вот некоторые из расширений, зашифрованных этим вымогателем:

.pdf, .doc, .txt, .jpg, .pem, .pages, .cer, .py, .h, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .keynote, .js , .crt, .php, .m, .hpp, .pptx, .cpp, .cs, .sqlite3, .pl, .p, .p3, .wallet, .html, .dat и другие.

Как удалить программу-вымогатель EvilQuest с Mac

К счастью, многие программы безопасности теперь могут обнаруживать программы-вымогатели EvilQuest и удалять их с вашего Mac. Вы можете использовать свою антивирусную программу для удаления с вашего компьютера как программы-вымогателя, так и «дополнительных» функций (функции обратной оболочки и кейлоггера). Malwarebytes — один из эффективных инструментов для удаления программ-вымогателей EvilQuest Mac. Выкуп УордлаГде? инструмент также может обнаруживать и останавливать вредоносные процессы шифрования с помощью программы-вымогателя EvilQuest. К сожалению, использование этих инструментов приведет к значительной потере данных, если у вас нет резервной копии ваших файлов.

Если у вас нет копии ваших файлов, вы можете использовать Расшифровщик EvilQuest недавно выпущенный SentinelOne. Вы можете проверить демонстрационное видео здесь чтобы помочь вам понять, как его использовать. Однако вам все равно необходимо удалить программу-вымогатель со своего компьютера и очистить свой Mac перед использованием этого дешифратора, потому что это только разблокирует ваши файлы, но не удалит вредоносное ПО.

Резюме

В наши дни вредоносные программы становятся все более изобретательными и изощренными, поэтому их стало трудно классифицировать строго по категориям. Программа-вымогатель EvilQuest — хороший пример такой ситуации. Поэтому, если вы получили уведомление о том, что ваш Mac заражен каким-либо вредоносным ПО, отнеситесь к этому с недоверием. Убедитесь, что вы тщательно просканировали свой компьютер и удалили все следы вредоносных программ в вашей системе.

Продолжить чтение

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *