Comment désinstaller le rançongiciel EvilQuest d'un ordinateur ?
Écrit par Tomas Meskauskas le (mis à jour)
Comment supprimer EvilQuest d'un Mac ?
Qu'est-ce que le rançongiciel EvilQuest ?
La personne qui a découvert EvilQuest est Dinesh_Devadoss. Comme beaucoup d'autres programmes malveillants de ce type, EvilQuest crypte les fichiers des victimes et crée une demande de rançon. Dans la plupart des cas, les maliciels de ce type modifient les noms des fichiers cryptés en y ajoutant une certaine extension, bien que ce rançongiciel les laisse inchangés. Il dépose le fichier "READ_ME_NOW.txt" dans chaque dossier contenant des données cryptées et affiche une demande de rançon dans une fenêtre pop-up. En outre, ce maliciel est capable de détecter si certains fichiers sont stockés sur un ordinateur, fonctionne comme un enregistreur de frappe et reçoit certaines commandes du serveur Command & Control.
Comme l'expliquent les notes de rançon EvilQuest, ce rançongiciel garantit que les victimes ne pourront plus accéder aux documents, photos, vidéos, images et autres fichiers en les cryptant selon l'algorithme AES-256. Pour pouvoir à nouveau accéder à leurs fichiers, les victimes sont censées utiliser le service de décryptage qui coûte 50 dollars, un paiement doit être effectué en transférant l'équivalent en Bitcoin à l'adresse de portefeuille BTC fournie. Il est indiqué que les victimes ont 72 heures pour effectuer un paiement, après quoi il ne sera plus possible de décrypter les fichiers cryptés. Les fichiers doivent être décryptés dans les 2 heures suivant un paiement. Pour résumer, les victimes sont informées qu'il est impossible de décrypter les fichiers sans devoir payer une rançon. Malheureusement, c'est vrai : la plupart des programmes de type rançongiciels cryptent les fichiers avec des algorithmes de cryptage puissants et les cybercriminels derrière eux sont les seuls à disposer des outils permettant de décrypter les fichiers des victimes. Il est toutefois fortement recommandé de ne pas faire confiance à ces programmes ni aux autres cybercriminels qui se cachent derrière les attaques par rançongiciels - la plupart du temps, les victimes qui paient une rançon ne reçoivent rien en retour. En d'autres termes, elles se font arnaquer. Dans de tels cas, le seul moyen gratuit de récupérer les fichiers est de les restaurer à partir d'une sauvegarde. Il est également possible d'empêcher les rançongiciels installés de provoquer d'autres cryptages (chiffrement de fichiers non chiffrés) en les désinstallant. Cependant, les fichiers cryptés restent inaccessibles même après leur désinstallation. Comme mentionné dans l'introduction, EvilQuest peut détecter certains fichiers, tels que .wallet.pdf, wallet.png, *.p12 et key.png. Il peut également recevoir des commandes du serveur Command & Control et les exécuter, enregistrer les frappes au clavier et exécuter des modules directement depuis la mémoire. La fonction d'enregistrement des touches permet aux cybercriminels d'enregistrer les touches pressées, ce qui signifie qu'EvilQuest peut être utilisé pour voler des informations sensibles tapées à la machine, telles que des détails de carte de crédit, des noms d'utilisateur, des mots de passe, etc. Ces informations peuvent être utilisées à mauvais escient pour voler des identités, des comptes, effectuer des transactions frauduleuses, des achats et à d'autres fins malveillantes.
| Nom | Virus EvilQuest |
| Type de Menace | Rançongiciel, Crypto Virus, Bloqueur de fichiers |
| Message de Demande de Rançon | READ_ME_NOW.txt, fenêtre pop-up |
| Montant de la Rançon | $50 en Bitcoins |
| Adresse du Portefeuille BTC | 13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7 |
| Noms de Détection | Ad-Aware (Trojan.GenericKD.34092962), BitDefender (Trojan.GenericKD.34092962), ESET-NOD32 (OSX/Filecoder.I), Microsoft (Ransom:MacOS/Filecoder.YA!MTB), Liste complète des détections (VirusTotal) |
| Symptômes | Impossible d'ouvrir les fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente (par exemple, my.docx.locked). Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels exigent le paiement d'une rançon (généralement sous forme de bitcoins) pour déverrouiller vos fichiers. |
| Information Additionelle | Il n'y a aucun moyen de contacter les cybercriminels qui se cachent derrière ces rançongiciels |
| Méthodes de Distribution | Pièces jointes de courriel infectées (macros), sites web de torrents, publicités malveillantes. |
| Dommages | Tous les fichiers sont cryptés et ne peuvent être ouverts sans payer une rançon. Il est possible d'installer des chevaux de Troie voleurs de mots de passe et des maliciels supplémentaires en même temps qu'une infection par un rançongiciel. |
| Suppression des maliciels (Mac) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre Mac avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Il est intéressant de mentionner que dans la plupart des cas, les rançongiciels visent les systèmes d'exploitation Windows, voici quelques exemples d'autres maliciels de ce type : Lxhlp, Zida et .HOW. Généralement, il crypte les fichiers et les affiche et/ou crée une demande de rançon. Les seules différences principales sont le prix du décryptage (montant de la rançon) et l'algorithme de cryptage (symétrique ou asymétrique) que le logiciel de rançon utilise pour rendre les fichiers inaccessibles. Les victimes peuvent restaurer les fichiers gratuitement/sans avoir à contacter et à payer les cybercriminels uniquement lorsque les rançongiciels présentent certaines vulnérabilités (bogues, failles). Malheureusement, cela n'arrive pas souvent et la seule façon de récupérer des fichiers après une attaque par un rançongiciel est de les restaurer à partir d'une sauvegarde. Il est donc recommandé de toujours avoir une sauvegarde des données et de la conserver sur un serveur distant (comme le Cloud) ou sur un périphérique de stockage débranché.
Comment les rançongiciels se sont-ils installés sur mon ordinateur ?
Les recherches montrent que ce rançongiciel particulier est distribué par le biais de versions piratées de logiciels macOS populaires, l'un des exemples étant la version piratée du logiciel Mix In Key. En général, les logiciels piratés sont disponibles en téléchargement sur divers sites de torrents et autres pages de téléchargement peu fiables. Les autres moyens utilisés par les cybercriminels pour faire proliférer les rançongiciels (et autres maliciels) sont les campagnes de spam, les chevaux de Troie, les fausses mises à jour de logiciels, les autres sources/canaux de téléchargement de logiciels douteux ou les outils de "craquage" de logiciels. Dans le premier cas, ils envoient des courriels contenant des pièces jointes malveillantes ou des liens web conçus pour télécharger des fichiers malveillants. Leur principal objectif est de tromper les destinataires pour qu'ils ouvrent une pièce jointe ou un fichier malveillant qui entraînerait l'installation d'un logiciel malveillant. Parmi les exemples de fichiers que les cybercriminels joignent à leurs courriels, on trouve des fichiers malveillants de Microsoft Office, des documents PDF, des fichiers d'archives (comme RAR, ZIP), des fichiers exécutables (comme .exe) et des fichiers JavaScript. Les chevaux de Troie sont des programmes malveillants qui peuvent causer des dommages en installant simplement un autre maliciel - après l'installation, ils provoquent des infections en chaîne. Les fausses mises à jour de logiciels (non officielles) sont causées par l'installation de programmes malveillants au lieu des mises à jour correctives, ou par l'exploitation de bogues, c'est-à-dire de défauts de logiciels obsolètes installés sur l'ordinateur de l'utilisateur. Des exemples de chaînes de téléchargement de fichiers et de logiciels non fiables sont les réseaux Peer-to-Peer (comme eMule), les sites d'hébergement de fichiers gratuits, les pages de téléchargement de logiciels gratuits, les téléchargeurs tiers et d'autres sources de ce type. En règle générale, les fichiers malveillants sont déguisés en fichiers ordinaires, inoffensifs. Lorsque les utilisateurs les téléchargent et les exécutent, ils infectent les ordinateurs avec certains maliciels. Les outils de "craquage" de logiciels sont des programmes censés aider leurs utilisateurs à contourner l'activation de certains logiciels sous licence (l'activer gratuitement). Cependant, le plus souvent, ces outils n'activent aucun logiciel. Au lieu de cela, ils se contentent d'installer certains logiciels malveillants, par exemple des rançongiciels.
Comment éviter l'installation de logiciels malveillants ?
Il est fortement recommandé de ne pas faire confiance aux courriels non pertinents qui sont reçus d'adresses inconnues et suspectes. S'ils contiennent des pièces jointes (ou des liens web), il ne faut pas les ouvrir. Il est utile de mentionner que les courriels envoyés par des cybercriminels sont souvent déguisés en messages importants, officiels et légitimes. De plus, il est important de mettre à jour et/ou d'activer les logiciels installés uniquement avec les fonctions ou les outils mis en œuvre par les développeurs de logiciels officiels. La plupart du temps, les utilisateurs qui utilisent des activateurs ou des mises à jour non officiels infectent leur ordinateur avec des maliciels. Un autre problème avec les activateurs non officiels (outils de "craquage") est qu'il n'est pas légal de les utiliser pour activer un logiciel sous licence. Un autre moyen d'éviter l'installation de logiciels malveillants consiste à télécharger des fichiers, des programmes uniquement à partir de sites web officiels. Les téléchargeurs (et installateurs) tiers, les pages non officielles, les réseaux Peer-to-Peer ne doivent pas être pris en considération. Enfin, tout ordinateur doit être régulièrement scanné avec un logiciel anti-espion ou une suite antivirus réputés, ces logiciels devant être toujours à jour. Si votre ordinateur est déjà infecté par des PUA, nous vous recommandons de lancer un scan avec Combo Cleaner pour les éliminer automatiquement.
Texte dans une fenêtre pop-up :
Your files are encrypted
Many of your important documents, photos, videos, images and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
We guarantee however that you can recover your files safely and easily and this will cost you 50 USD without any additional fees.
Our offer is valid FOR 3 DAYS (starting now!). Full details can be found in the file: READ_ME_NOW.txt located on your Desktop
Capture d'écran de la note de rançon "READ_ME_NOW.txt" :
Texte de la note :
YOUR IMPORTANT FILES ARE ENCRYPTED
Many of your documents, photos, videos, images and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your file without our decryption service.
We use 256-bit AES algorithm so it will take you more than a billion years to break this encryption without knowing the key (you can read Wikipedia about AES if you don't believe this statement).
Anyways, we guarantee that you can recover your files safely and easily. This will require us to use some processing power, electricity and storage on our side, so there's a fixed processing fee of 50 USD. This is a one-time payment, no additional fees included.
In order to accept this offer, you have to deposit payment within 72 hours (3 days) after receiving this message, otherwise this offer will expire and you will lose your files forever.
Payment has to be deposited in Bitcoin based on Bitcoin/USD exchange rate at the moment of payment. The address you have to make payment is:13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Decryption will start automatically within 2 hours after the payment has been processed and will take from 2 to 5 hours depending on the processing power of your computer. After that all of your files will be restored.
THIS OFFER IS VALID FOR 72 HOURS AFTER RECEIVING THIS MESSAGE
Capture d'écran des fichiers cryptés par EvilQuest :
Installateur malveillant conçu pour installer EvilQuest :
Liste des fichiers relatifs à cet installateur :
- ~/Library/mixednkey/toolroomd
- ~/Library/AppQuest/com.apple.questd
- ~/Library/LaunchAgents/com.apple.questd.plist
N'oubliez pas que le téléchargement de logiciels à partir de sites Torrent douteux (tels que ThePirateBay) est très susceptible d'entraîner diverses infections du système :
Suppression instantanée et automatique des maliciels sur Mac :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels recommandé pour supprimer les maliciels Mac. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner pour Mac
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
- Qu'est-ce que le rançongiciel EvilQuest ?
- ETAPE 1. Supprimer les fichiers et dossiers liés au PUA d'OSX.
- ETAPE 2. Supprimer les extensions malhonnêtes de Safari.
- ETAPE 3. Supprimer les add-ons malhonnêtes de Google Chrome.
- ETAPE 4. Supprimer les plug-ins potentiellement indésirables de Mozilla Firefox.
Suppression d'applications potentiellement non désirées :
Supprimez les demandes potentiellement indésirables de votre dossier "Applications" :
Cliquez sur l'icône Finder. Dans la fenêtre du Finder, sélectionnez "Applications". Dans le dossier des applications, recherchez "MPlayerX", "NicePlayer" ou d'autres applications suspectes et faites-les glisser vers la Corbeille. Après avoir supprimé la ou les applications potentiellement indésirables qui sont à l'origine des publicités en ligne, scannez votre Mac à la recherche de tout composant indésirable restant.
Suppression des fichiers et dossiers reliés au virus evilquest:
Cliquer l'Icône Trouver, dans la barre des menus, choisissez Aller, et cliquer Aller au dossier...
Rechercher les fichiers générés par le logiciel de publicité dans le dossier Library/LaunchAgents:
Dans la barre Aller au dossier... taper: Library/LaunchAgents
Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.
Rechercher les fichiers générés dans le dossier de /Library/Application Support :
Dans la barreAller au dossier..., taper: /Library/Application Support
Dans le dossier “Application Support” , rechercher tous les dossiers suspects récemment ajoutés. Par exemple, “MplayerX” or “NicePlayer”, et déplacer ces dossiers dans la Corbeille.
Rechercher les fichiers générés par le logiciel de publicité dans le dossier ~/Library/LaunchAgents:
Dans la barre Aller au dossier, taper : ~/Library/LaunchAgents
Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.
Rechercher les fichiers générés par le logiciel de publicité dans le dossier /Library/LaunchDaemons:
Dans la barre Aller au dossier, taper : /Library/LaunchDaemons
Dans le dossier “LaunchDaemons” , rechercher tous les fichiers suspects récemment ajoutés . Par exemple, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., et déplacez-les dans la Corbeille.
Scanner votre Mac avec Combo Cleaner:
Si vous avez suivi toutes les étapes dans le bon ordre votre Mac devrait être libre de toutes infections. Pour être sûr que votre système n’est pas infecté exécuté un scan avec l’antivirus Combo Cleaner. Télécharger ICI. Après avoir téléchargé le fichier double cliqué sur combocleaner.dmg installer, dans la fenêtre ouverte glisser et déposer l’icône Combo Cleaner sur le dessus de l’icône Applications. Maintenant ouvrez votre launchpad et cliquer sur l’icône Combo Cleaner. Attendez jusqu’à Combo Cleaner mette à jour sa banque de données de définition de virus et cliquer sur le bouton 'Démarrez Combo Cleaner'.
Combo Cleaner scanner votre Mac à la recherche d’infections de logiciels malveillants. Si le scan de l’antivirus affiche 'aucune menace trouvée' – cela signifie que vous pouvez continuez avec le guide de suppression, autrement il est recommandé de supprimer toute infection avant de continuer.
Après avoir supprimé les fichiers et les dossiers générés par le logiciel de publicité, continuer pour supprimer les extensions escrocs de vos navigateurs internet.
Suppression du virus evilquest dans les navigateurs Internet :
Suppression des extensions malicieuses dans Safari:
Suppression des extensions reliées à virus evilquest dans Safari :
Ouvrez le navigateur Safari. Dans la barre menu, sélectionner "Safari" et cliquer "Préférences...".
Dans la fenêtre préférences, sélectionner "Extensions" et rechercher tous les extensions suspectes récemment installées. Quand vous l'avez trouvée, cliquer le bouton "Désinstaller" à côté de celle (s)-ci. Noter que vous pouvez désinstaller de façon sécuritaire les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Safari.
Supprimer les plug-ins malicieux dans Mozilla Firefox:
Supprimer les ajouts reliés à virus evilquest dans Mozilla Firefox :
Ouvrez votre navigateur Mozilla Firefox. Dans le coin supérieur droit de l'écran, cliquer le bouton "Ouvrir le Menu" (trois lignes horizontales). Dans le menu ouvert, choisissez "Ajouts".
Choisissez l'onglet "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Supprimer" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Mozilla Firefox - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Mozilla Firefox.
Suppression des extensions malicieuses dans Google Chrome :
Suppression des ajouts reliés à virus evilquest dans Google Chrome :
Ouvrez Google Chrome et cliquer le bouton "menu Chrome" (trois lignes horizontales) localisé dans le coin supérieur droit de la fenêtre du navigateur. À partir du menu déroulant, cliquer "Plus d'outils" et sélectionner "Extensions".
Dans la fenêtre "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Corbeille" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Google Chrome.
!Remarquable!
▼ Montrer la discussion