So deinstalliert man EvilQuest Ransomware von einem Computer
Verfasst von Tomas Meskauskas am (aktualisiert)
Was ist EvilQuest Ransomware?
Die Person, die EvilQuest entdeckt hat, ist Dinesh_Devadoss. Wie viele andere bösartige Programme dieser Art verschlüsselt EvilQuest die Dateien der Opfer und erstellt eine Lösegeldforderung.
In den meisten Fällen verändert Malware dieses Typs die Namen der verschlüsselten Dateien durch Anhängen einer bestimmten Erweiterung, obwohl diese Ransomware sie unverändert lässt. Sie legt die "READ_ME_NOW.txt" in jedem Ordner ab, der verschlüsselte Daten enthält, und zeigt eine weitere Lösegeldforderung in einem Dialogfenster an.
Darüber hinaus ist diese Malware in der Lage, zu erkennen, ob bestimmte Dateien auf einem Computer gespeichert sind, als Keylogger zu fungieren und einige Befehle vom Command & Control-Server zu empfangen.
Wie in den Nachrichten von EvilQuest erläutert, stellt diese Ransomware sicher, dass die Opfer keinen Zugang zu Dokumenten, Fotos, Videos, Bildern und anderen Dateien haben, indem sie diese mit dem AES-256-Algorithmus verschlüsselt. Um wieder auf ihre Dateien zugreifen zu können, müssen Opfer, die einen Entschlüsselungsdienst nutzen sollen, der 50 Dollar kostet, eine Zahlung durch Überweisung des entsprechenden Betrags an Bitcoin an die angegebene BTC-Brieftaschenadresse leisten.
Es wird angegeben, dass die Opfer 72 Stunden Zeit haben, um eine Zahlung zu tätigen, danach wird es nicht mehr möglich sein, verschlüsselte Dateien zu entschlüsseln. Die Dateien sollten innerhalb von 2 Stunden nach einer Zahlung entschlüsselt werden.
Zusammenfassend wird den Opfern mitgeteilt, dass es unmöglich ist, Dateien zu entschlüsseln, ohne ein Lösegeld zahlen zu müssen. Leider ist es wahr: Die meisten Programme vom Typ Ransomware verschlüsseln Dateien mit starken Verschlüsselungsalgorithmen, und Cyberkriminelle dahinter sind die einzigen, die über die Werkzeuge verfügen, mit denen die Dateien der Opfer entschlüsselt werden können.
Es wird jedoch dringend empfohlen, weder diesen noch anderen Cyberkriminellen hinter Ransoware-Angriffen zu vertrauen - die Opfer, die ein Lösegeld zahlen, erhalten in den meisten Fällen keine Gegenleistung. Mit anderen Worten, sie werden betrogen.
In solchen Fällen besteht die einzige und kostenlose Möglichkeit, Dateien wiederherzustellen, darin, sie von einer Datensicherung wiederherzustellen. Es ist auch möglich zu verhindern, dass installierte Ransomware weitere Verschlüsselungen (Verschlüsselung unverschlüsselter Dateien) verursachet, indem man sie deinstalliert.
Verschlüsselte Dateien bleiben jedoch auch nach ihrer Deinstallation unzugänglich. Wie in der Einführung erwähnt, kann EvilQuest einige Dateien erkennen, wie z.B. wallet.pdf, wallet.png, *.p12 und key.png.
Außerdem kann sie Befehle vom Command & Control-Server empfangen und ausführen, Tastatureingaben protokollieren und Module direkt aus dem Speicher ausführen. Die Keylogging-Funktion ermöglicht es Cyberkriminellen, gedrückte Tasten aufzuzeichnen, was bedeutet, dass EvilQuest dazu benutzt werden kann, getippte sensible Informationen wie Kreditkartendetails, Benutzernamen, Passwörter und so weiter zu stehlen.
Solche Informationen können zum Diebstahl von Identitäten, Konten, betrügerischen Transaktionen, Einkäufen und für andere böswillige Zwecke missbraucht werden.
Name | EvilQuest Virus |
Art der Bedrohung | Ransomware, Krypto-Virus, FileLocker |
Lösegeldfordernde Nachricht | READ_ME_NOW.txt, Dialogfenster |
Höhe des Lösegelds | $50 in Bitcoin |
BTC Wallet Adresse | 13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7 |
Erkennungsnamen | Ad-Aware (Trojan.GenericKD.34092962), BitDefender (Trojan.GenericKD.34092962), ESET-NOD32 (OSX/Filecoder.I), Microsoft (Ransom:MacOS/Filecoder.YA!MTB), vollständige Liste von Erkennungen (VirusTotal) |
Symptome | Dateien, die auf Ihrem Computer gespeichert sind, können nicht geöffnet werden; zuvor funktionierende Dateien haben jetzt eine andere Erweiterung (z.B. my.docx.locked). Eine Nachricht über die Ransomware wird auf Ihrem Desktop angezeigt. Cyberkriminelle verlangen die Zahlung eines Lösegeldes (normalerweise in Form von Bitcoins), um Ihre Dateien freizuschalten. |
Zusätzliche Informationen | Es gibt keine Möglichkeit, Cyberkriminelle hinter dieser Ransomware zu kontaktieren |
Verbreitungsmethoden | Infizierte E-Mail-Anhänge (Makros), Torrent-Webseiten, bösartige Werbung. |
Schaden | Alle Dateien sind verschlüsselt und können nicht ohne Zahlung eines Lösegeldes geöffnet werden. Zusätzliche kennwortgeschützte Trojaner und Malware-Infektionen können zusammen mit einer Ransomware-Infektion installiert werden. |
Malware-Entfernung (Mac) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Mac mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Es ist erwähnenswert, dass Ransomware in den meisten Fällen auf Windows-Betriebssysteme abzielt, hier sind einige Beispiele für andere Malware dieser Art: Lxhlp, Zida und .HOW. Typischerweise verschlüsselt sie Dateien und zeigt und/oder erstellt eine Lösegeldforderung, und die einzigen Hauptunterschiede sind der Preis einer Entschlüsselung (Höhe des Lösegelds) und der Verschlüsselungsalgorithmus (symmetrisch oder asymmetrisch), den Ransomware verwendet, um Dateien unzugänglich zu machen.
Die Opfer können Dateien nur dann kostenlos/ohne Kontakt zu Cyberkriminellen wiederherstellen und bezahlen, wenn die Ransomware einige Schwachstellen (Bugs, Mängel) aufweist. Leider kommt dies nicht oft vor, und die einzige Möglichkeit, Dateien nach einem Ransomware-Angriff wiederherzustellen, besteht darin, sie von einer Datensicherung wiederherzustellen.
Es wird daher empfohlen, immer eine Datensicherung zu haben und diese auf einem externen Server (wie Cloud) oder einem nicht angeschlossenen Speichergerät zu speichern.
Wie wurde Ransomware auf meinem Computer installiert?
Die Forschung zeigt, dass diese spezielle Ransomware über raubkopierte Versionen populärer MacOS-Software vertrieben wird. Eines der Beispiele ist die raubkopierte Version der Mix In Key-Software.
Raubkopien von Software stehen in der Regel auf verschiedenen Torrent-Webseiten und anderen unzuverlässigen Downloadseiten zum Herunterladen zur Verfügung. Andere beliebte Methoden, die Cyberkriminelle zur Verbreitung von Ransomware (und anderer Malware) nutzen, sind Spam-Kampagnen, Trojaner, gefälschte Software-Updateprogramme, andere fragwürdige Software-Downloadquellen/Kanäle oder Software-"Knack"-Werkzeuge dafür.
Im ersten Fall versenden sie E-Mails, die bösartige Anhänge oder Internetlinks zum Herunterladen bösartiger Dateien enthalten. Ihr Hauptziel ist es, die Empfänger zu täuschen, damit sie einen bösartigen Anhang bzw. eine bösartige Datei öffnen, die die Installation einer bösartigen Software verursachen würde.
Einige Beispiele für Dateien, die Cyberkriminelle an ihre E-Mails anhängen, sind bösartige Microsoft Office-Dateien, PDF-Dokumente, Archivdateien (wie RAR, ZIP), ausführbare Dateien (wie .exe) und JavaScript-Dateien. Trojaner sind bösartige Programme, die Schaden anrichten können, indem sie einfach eine andere Malware installieren - nach der Installation verursachen sie Ketteninfektionen.
Gefälschte (inoffizielle) Software-Updateprogramme verursachen durch die Installation bösartiger Programme anstelle der Aktualisierungskorrekturen oder durch das Ausnutzen von Fehlern, Mängeln veralteter Software, die auf dem Computer des Benutzers installiert ist, Schaden. Beispiele für unzuverlässige Datei- und Software-Downloadkanäle sind Peer-to-Peer-Netzwerke (wie eMule), Webseiten mit kostenlosem Datei-Hosting, Freeware-Downloadseiten, Drittanbieter-Downloadprogramme und andere Quellen dieser Art.
In der Regel werden bösartige Dateien als normale, harmlose Dateien getarnt. Wenn Benutzer sie herunterladen und ausführen, infizieren sie Computer mit einer gewissen Malware. Software-'Cracking'-Werkzeuge sind Programme, die ihren Benutzern helfen sollen, die Aktivierung einer lizenzierten Software zu umgehen (sie kostenlos zu aktivieren). In den meisten Fällen aktivieren solche Werkzeuge jedoch keine Software. Anstatt dies zu tun, installieren sie einfach irgendeine bösartige Software, z.B. Ransomware.
Wie lässt sich die Installation von Malware vermeiden?
Es wird dringend empfohlen, irrelevanten E-Mails, die von unbekannten, verdächtigen Adressen eingehen, nicht zu trauen. Wenn sie Anhänge (oder Internetlinks) enthalten, sollten sie nicht geöffnet werden.
Es ist erwähnenswert, dass von Cyberkriminellen versandte E-Mails oft als wichtig, offiziell, legitim getarnt sind. Darüber hinaus ist es wichtig, installierte Software nur mit implementierten Funktionen oder Werkzeugen von offiziellen Software-Entwicklern zu aktualisieren und/oder zu aktivieren.
In den meisten Fällen infizieren Benutzer, die inoffizielle Aktivierungsprogramme oder Updateprogramme verwenden, ihre Computer mit irgendeiner Malware. Ein weiteres Problem mit inoffiziellen Aktivatoren ("Cracking"-Werkzeuge) besteht darin, dass es nicht legal ist, sie zur Aktivierung lizenzierter Software zu verwenden.
Eine andere Möglichkeit, die Installation bösartiger Software zu vermeiden, besteht darin, Dateien herunterzuladen, Programme nur von offiziellen Webseiten. Downloadprogramme (und Installationsprogramme) von Dritten, inoffizielle Seiten, Peer-to-Peer-Netzwerke sollten nicht vertrauenswürdig sein.
Und schließlich sollte jeder Computer regelmäßig mit einer seriösen Anti-Spyware- oder Antivirus-Suite gescannt werden, diese Software sollte immer auf dem neuesten Stand sein. Wenn Ihr Computer bereits mit PUAs infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um diese automatisch zu eliminieren.
Text in einem Dialogfenster:
Your files are encrypted
Many of your important documents, photos, videos, images and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
We guarantee however that you can recover your files safely and easily and this will cost you 50 USD without any additional fees.Our offer is valid FOR 3 DAYS (starting now!). Full details can be found in the file: READ_ME_NOW.txt located on your Desktop
Screenshot der Lösegeldforderung "READ_ME_NOW.txt":
Text in dieser Nachricht:
YOUR IMPORTANT FILES ARE ENCRYPTED
Many of your documents, photos, videos, images and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your file without our decryption service.
We use 256-bit AES algorithm so it will take you more than a billion years to break this encryption without knowing the key (you can read Wikipedia about AES if you don't believe this statement).
Anyways, we guarantee that you can recover your files safely and easily. This will require us to use some processing power, electricity and storage on our side, so there's a fixed processing fee of 50 USD. This is a one-time payment, no additional fees included.
In order to accept this offer, you have to deposit payment within 72 hours (3 days) after receiving this message, otherwise this offer will expire and you will lose your files forever.
Payment has to be deposited in Bitcoin based on Bitcoin/USD exchange rate at the moment of payment. The address you have to make payment is:13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Decryption will start automatically within 2 hours after the payment has been processed and will take from 2 to 5 hours depending on the processing power of your computer. After that all of your files will be restored.
THIS OFFER IS VALID FOR 72 HOURS AFTER RECEIVING THIS MESSAGE
Screenshot der von EvilQuest verschlüsselten Dateien:
Bösartiges Installationsprogramm zur Installation von EvilQuest:
Liste der mit diesem Installationsprogramm verbundenen Dateien:
- ~/Library/mixednkey/toolroomd
- ~/Library/AppQuest/com.apple.questd
- ~/Library/LaunchAgents/com.apple.questd.plist
Denken Sie daran, dass das Herunterladen von Software von fragwürdigen Torrent-Sites (wie ThePirateBay) mit hoher Wahrscheinlichkeit zu verschiedenen Systeminfektionen führen kann:
Umgehende automatische Entfernung von Mac-Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Mac-Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter (Mac)
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist EvilQuest ransomware?
- SCHRITT 1. Mit PUAs verwandte Dateien und Ordner von OSX entfernen.
- SCHRITT 2. Betrügerische Erweiterungen von Safari entfernen.
- SCHRITT 3. Betrügerische Add-ons von Google Chrome entfernen.
- SCHRITT 4. Potenziell unerwünschte Plug-ins von Mozilla Firefox entfernen.
Entfernung potenziell unerwünschter Anwendungen:
Potenziell unerwünschte Anwendungen von Ihrem "Programme" Ordner entfernen:
Klicken Sie auf das Finder Symbol. Im Finder Fenster, wählen Sie "Programme". Im Anwendungen Ordner, suchen Sie nach “MPlayerX”, “NicePlayer”, oder anderen verdächtigen Anwendungen und ziehen sie diese in den Papierkorb. Nachdem Sie die potenziell unerwünschte(n) Anwendung(en) entfernt haben, die online Werbung verursachen, scannen Sie Ihren Mac auf verbleibende, unerwünschte Komponenten.
EvilQuest Virus bezogene Dateien und Ordner entfernen:
Klicken Sie auf das Finder Symbol aus der Menüleiste, wählen Sie Gehen und klicken Sie auf Zum Ordner gehen...
Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchAgents Ordner:
Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/LaunchAgents
Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.
Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/Application Support Ordner:
Im Gehen zu Ordner...Leiste, geben Sie ein: /Library/Application Support
Im "Application Support" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Ordnern. Zum Beispiel "MplayerX" oder "NicePlayer" und bewegen Sie diese Ordner in den Papierkorb.
Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im ~/Library/LaunchAgents Ordner:
Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchAgents
Im "LaunchAgents" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien und bewegen Sie diese Ordner in den Papierkorb. Beispiele für Dateien, die von werbefinanzierter Software erzeugt wurden - "installmac.AppRemoval.plist", "myppes.download.plist", "mykotlerino.ltvbit.plist", "kuklorest.update.plist", etc. Werbefinanzierte Software installiert häufig mehrere Dateien zur gleichen Zeit.
Suchen Sie nach Dateien, die von werbefinanzierter Software erzeugt wurden im /Library/LaunchDaemons Ordner:
Im Gehen zu Ordner Leiste, geben Sie ein: ~/Library/LaunchDaemons
Im "LaunchDaemons" Ordner, suchen Sie nach allen kürzlich hinzugefügten, verdächtigen Dateien. Zum Beispiel "com.aoudad.net-preferences.plist", "com.myppes.net-preferences.plist", "com.kuklorest.net-preferences.plist", "com.avickUpd.plist", etc., und bewegen Sie diese in den Papierkorb.
Scannen Sie Ihren Computer mit Combo Cleaner:
Wenn Sie alle Schritte in der richtigen Reihenfolge befolgt haben, sollte Ihr Mac frei von Infektionen sein. Um sicherzustellen, dass Ihr System nicht infiziert ist, scannen Sie es mit Combo Cleaner Antivirus. HIER herunterladen. Nach dem Herunterladen der Datei, klicken Sie auf das Installationsprogramm combocleaner.dmg. Ziehen Sie im geöffneten Fenster das Symbol Combo Cleaner auf das Symbol Anwendungen und legen Sie es dort ab. Öffnen Sie jetzt Ihr Launchpad und klicken Sie auf das Symbol Combo Cleaner. Warten Sie, bis Combo Cleaner seine Virendatenbank aktualisiert hat und klicken Sie auf die Schaltfläche „Combo Scan starten“.
Combo Cleaner scannt Ihren Mac jetzt auf Infektionen mit Malware. Wenn der Antivirus-Scan „Keine Bedrohungen gefunden“ anzeigt, heißt das, dass Sie mit dem Entfernungsleitfaden fortfahren können. Andernfalls wird empfohlen, alle gefundenen Infektionen vorher zu entfernen.
Nachdem Dateien und Ordner entfernt wurden, die von dieser werbefinanzierten Software erzeugt wurden, entfernen Sie weiter falsche Erweiterungen von Ihren Internetbrowsern.
EvilQuest Virus Startseiten und Standard Internetsuchmaschinen von Internetbrowsern:
Bösartige Erweiterungen von Safari entfernen:
EvilQuest Virus bezogene Safari Erweiterungen entfernen:
Öffnen Sie den Safari Browser. Aus der Menüleiste wählen Sie "Safari" und klicken Sie auf "Benutzereinstellungen...".
Im Benutzereinstellungen Fenster wählen Sie "Erweiterungen" und suchen Sie nach kürzlich installierten, verdächtigen Erweiterungen. Wenn Sie sie gefunden haben, klicken Sie auf "Deinstallieren" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von ihrem Safari Browser deinstallieren können. Keine davon sind unabdingbar für die normale Funktion des Browsers.
- Falls Sie weiterhin Probleme mit Browserweiterleitungen und unerwünschter Werbung haben - Safari zurücksetzen.
Bösartige Programmerweiterungen von Mozilla Firefox entfernen:
EvilQuest Virus bezogene Mozilla Firefox Zusätze entfernen:
Öffen Sie Ihren Mozilla Firefox Browser. In der oberen rechten Ecke des Bildschirms, klicken Sie auf das "Menü öffnen" (drei horizontale Linien) Symbol. Aus dem geöffneten Menü wählen Sie "Zusätze".
Wählen Sie den "Erweiterungen" Reiter und suchen Sie nach allen kürzlich installierten, verdächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Entfernen" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen deinstallieren von Ihrem Mozilla Firefox Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.
- Falls Sie weiterhin Probleme mit Browserweiterleitungen und unerwünschter Werbung haben - Mozilla Firefox zurücksetzen.
Bösartige Erweiterungen von Google Chrome entfernen:
EvilQuest Virus bezogene Google Chrome Zusätze entfernen:
Öffnen Sie Google Chrome und klicken Sie auf das "Chrome Menü" (drei horizontale Linien) Symbol, das sich in der rechten oberen Ecke des Browserfensters befindet. Vom Klappmenü wählen Sie "Mehr Hilfsmittel" und wählen Sie "Erweiterungen".
Im "Erweiterungen" Fenster, suchen Sie nach allen kürzlich installierten, versächtigen Zusätzen. Wenn Sie sie gefunden haben, klicken Sie auf das "Papierkorb" Symbol daneben. Beachten Sie, dass Sie alle Erweiterungen sicher von Ihrem Google Chrome Browser entfernen können - keine davon sind unabdingbar für die normale Funktion des Browsers.
- IFalls Sie weiterhin Probleme mit Browserweiterleitungen und unerwünschter Werbung haben - Google Chrome zurücksetzen.
▼ Diskussion einblenden