EvilQuest Mac ランサムウェアに対処する方法

ランサムウェアよりも悪いものは何ですか?ランサムウェアを装うが、バックグラウンドで別のマルウェアとして動作するマルウェア。このタイプのマルウェアは、そのミスディレクション コンポーネントのために非常に潜行性があります。被害者がランサムウェアの感染を解決する方法を見つけようとしている間、本物のマルウェアは検出されることなく、バックグラウンドで自由に行動できます。

これはまさに EvilQuest ランサムウェアの場合です。 Mac が EvilQuest ランサムウェアを持っている場合は簡単に検出できるため、ユーザーはスモークスクリーン ランサムウェアに注目しているため、実際のマルウェアが動作しやすくなります。

Mac 上の EvilQuest ランサムウェアとは

ThiefQuest としても知られる EvilQuest ランサムウェアは、2020 年 6 月に発見された最新のランサムウェアの 1 つです。通常、Little Snitch、Mixed in Key、Ableton Live などの人気のある Mac アプリケーションの海賊版にバンドルされています。アプリのバンドルは別として、それは Google ソフトウェア アップデート プログラムとしても嫌なものであることが判明しています。

EvilQuest は、強力な暗号化アルゴリズムを使用して被害者のドキュメントとファイルを暗号化することで機能します。このポップアップ メッセージが表示されると、ランサムウェアの存在が警告されます:

ファイルは暗号化されています

暗号化されているため、重要なドキュメント、写真、ビデオ、画像、その他のファイルの多くにアクセスできなくなりました.

ファイルを復元する方法を探すのに忙しいかもしれませんが、時間を無駄にしないでください。私たちの復号化サービスなしでは、誰もあなたのファイルを復元することはできません.

ただし、ファイルを安全かつ簡単に復元できることを保証します。これには追加料金なしで 50 米ドルかかります.

私たちのオファーは 3 日間有効です (今から!)。詳細については、デスクトップにある READ_ME_NOW.txt ファイルを参照してください。

また、READ_ME_NOW.txt というタイトルの身代金メモもドロップします。メモは、ポップアップ メッセージで既に言及されていることを繰り返し、次に支払いに関する詳細を追加します。

256 ビットの AES アルゴリズムを使用しているため、キーを知らずにこの暗号化を破るには 10 億年以上かかります (AES に関する Wikipedia を読むことができます)。この発言を信じないでください)。

とにかく、ファイルを安全かつ簡単に復元できることを保証します。これには、処理能力、電力、およびストレージを使用する必要があるため、50 米ドルの固定処理料金が発生します。これは 1 回限りの支払いであり、追加料金は含まれていません。

このオファーを受け入れるには、このメッセージを受け取ってから 72 時間 (3 日) 以内に支払いを入金する必要があります。

支払いは、支払い時のビットコイン/米ドルの為替レートに基づいて、ビットコインで入金する必要があります。お支払い先の住所は次のとおりです:

13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7

支払いが処理されてから 2 時間以内に復号化が自動的に開始され、コンピュータの処理能力に応じて 2 時間から 5 時間かかります。その後、すべてのファイルが復元されます。

このオファーは、このメッセージを受け取ってから 72 時間有効です

ランサムウェア以上

身代金メモを見ると、身代金が非常に低いことがすぐにわかります。 STOP/Djvu ランサムウェア ファミリーのランサムウェアの亜種が要求する 980 ドルの身代金や、Locky マルウェアの 4,000 ドルから 8,000 ドルの身代金に比べれば、取るに足らない額です。さらに、メモには連絡先情報が記載されていないため、被害者が攻撃者に連絡する方法がないことに気付くでしょう。

これにより、攻撃者が全体に真剣に取り組んでいるかどうか疑問に思う. 50 ドルの身代金を要求するのは冗談のように思えるため、多くのセキュリティ専門家はこのマルウェアの本質に疑問を抱いています。さらに分析した結果、セキュリティ研究者は EvilQuest ランサムウェアが単なるランサムウェアではないことを確認しました.

ファイルを暗号化し、そのわずかな身代金を要求する以上の機能と機能を備えています。よく見ると、EvilQuest にはキーロギングとデータ盗難機能も付いていることがわかります。画像、さまざまな種類のテキスト ドキュメント、データベース、プレゼンテーション、スプレッドシート、暗号ウォレット、バックアップ、およびその他の機密データを収集できます。このマルウェアは、現在仮想マシンで実行されているかどうか、および現在インストールされているセキュリティ ソリューションも判別できるため、さまざまな永続化戦略を実装できます。

ランサムウェアがシステムをスキャンし、いずれかのデータ形式に一致するデータを見つけると、リバース シェルを開いてコマンド サービスに密かに接続します。マルウェアはこれをバックドアとして使用して、Mac に追加のファイルをダウンロードし、知らないうちに収集したデータをエクスポートします。マルウェアは、システム ファイルの一部を同時にロックしながらこれを行い、実際に行っていることからユーザーの注意をそらします。

このランサムウェアによって暗号化された拡張機能の一部を以下に示します:

.pdf、.doc、.txt、.jpg、.pem、.pages、.cer、.py、.h、.webarchive、.zip、.xsl、.xslx、.docx、.ppt、.keynote、.js 、.crt、.php、.m、.hpp、.pptx、.cpp、.cs、.sqlite3、.pl、.p、.p3、.wallet、.html、.dat など。

Mac から EvilQuest ランサムウェアを削除する方法

幸いなことに、多くのセキュリティ ソフトウェアが EvilQuest ランサムウェアを検出し、Mac から駆除できるようになりました。ウイルス対策プログラムを使用して、ランサムウェアと「余分な」機能 (リバース シェルおよびキーロガー機能) の両方をコンピューターから削除できます。 Malwarebytes は、EvilQuest Mac ランサムウェアを削除する効果的なツールの 1 つです。ワードルの身代金どこ?ツールは、EvilQuest ランサムウェアによる悪意のある暗号化プロセスを検出して停止することもできます。残念ながら、ファイルのバックアップがない場合、これらのツールを使用すると、データが大幅に失われます。

ファイルのコピーがない場合は、SentinelOne が最近リリースした EvilQuest デクリプタを使用できます。ここでデモビデオをチェックして、使用方法を理解するのに役立てることができます。ただし、このデクリプターを使用する前に、コンピューターからランサムウェアを削除して Mac をクリーンアップする必要があります。これはファイルのロックを解除するだけで、マルウェアは削除されないためです。

まとめ

最近のマルウェアはますます巧妙化・巧妙化しており、厳密に分類することが難しくなっています。 EvilQuest ランサムウェアは、この状況の良い例です。そのため、Mac が何らかの種類のマルウェアに感染しているという通知を受け取った場合は、慎重に考えてください。コンピューターを完全にスキャンして、システム上の悪意のあるマルウェアの痕跡をすべて削除してください。