Comment désinstaller le rançongiciel EvilQuest d'un ordinateur ?

Aussi connu comme: Virus EvilQuest
Distribution: Bas
Niveau de dommage: Sévère

Comment supprimer EvilQuest d'un Mac ?

Qu'est-ce que le rançongiciel EvilQuest ?

La personne qui a découvert EvilQuest est Dinesh_Devadoss. Comme beaucoup d'autres programmes malveillants de ce type, EvilQuest crypte les fichiers des victimes et crée une demande de rançon. Dans la plupart des cas, les maliciels de ce type modifient les noms des fichiers cryptés en y ajoutant une certaine extension, bien que ce rançongiciel les laisse inchangés. Il dépose le fichier "READ_ME_NOW.txt" dans chaque dossier contenant des données cryptées et affiche une demande de rançon dans une fenêtre pop-up. En outre, ce maliciel est capable de détecter si certains fichiers sont stockés sur un ordinateur, fonctionne comme un enregistreur de frappe et reçoit certaines commandes du serveur Command & Control.

EvilQuest ransom note (pop-up window)

Comme l'expliquent les notes de rançon EvilQuest, ce rançongiciel garantit que les victimes ne pourront plus accéder aux documents, photos, vidéos, images et autres fichiers en les cryptant selon l'algorithme AES-256. Pour pouvoir à nouveau accéder à leurs fichiers, les victimes sont censées utiliser le service de décryptage qui coûte 50 dollars, un paiement doit être effectué en transférant l'équivalent en Bitcoin à l'adresse de portefeuille BTC fournie. Il est indiqué que les victimes ont 72 heures pour effectuer un paiement, après quoi il ne sera plus possible de décrypter les fichiers cryptés. Les fichiers doivent être décryptés dans les 2 heures suivant un paiement. Pour résumer, les victimes sont informées qu'il est impossible de décrypter les fichiers sans devoir payer une rançon. Malheureusement, c'est vrai : la plupart des programmes de type rançongiciels cryptent les fichiers avec des algorithmes de cryptage puissants et les cybercriminels derrière eux sont les seuls à disposer des outils permettant de décrypter les fichiers des victimes. Il est toutefois fortement recommandé de ne pas faire confiance à ces programmes ni aux autres cybercriminels qui se cachent derrière les attaques par rançongiciels - la plupart du temps, les victimes qui paient une rançon ne reçoivent rien en retour. En d'autres termes, elles se font arnaquer. Dans de tels cas, le seul moyen gratuit de récupérer les fichiers est de les restaurer à partir d'une sauvegarde. Il est également possible d'empêcher les rançongiciels installés de provoquer d'autres cryptages (chiffrement de fichiers non chiffrés) en les désinstallant. Cependant, les fichiers cryptés restent inaccessibles même après leur désinstallation. Comme mentionné dans l'introduction, EvilQuest peut détecter certains fichiers, tels que .wallet.pdf, wallet.png, *.p12 et key.png. Il peut également recevoir des commandes du serveur Command & Control et les exécuter, enregistrer les frappes au clavier et exécuter des modules directement depuis la mémoire. La fonction d'enregistrement des touches permet aux cybercriminels d'enregistrer les touches pressées, ce qui signifie qu'EvilQuest peut être utilisé pour voler des informations sensibles tapées à la machine, telles que des détails de carte de crédit, des noms d'utilisateur, des mots de passe, etc. Ces informations peuvent être utilisées à mauvais escient pour voler des identités, des comptes, effectuer des transactions frauduleuses, des achats et à d'autres fins malveillantes.

Résumé de la Menace :
Nom Virus EvilQuest
Type de Menace Rançongiciel, Crypto Virus, Bloqueur de fichiers
Message de Demande de Rançon READ_ME_NOW.txt, fenêtre pop-up
Montant de la Rançon $50 en Bitcoins
Adresse du Portefeuille BTC 13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Noms de Détection Ad-Aware (Trojan.GenericKD.34092962), BitDefender (Trojan.GenericKD.34092962), ESET-NOD32 (OSX/Filecoder.I), Microsoft (Ransom:MacOS/Filecoder.YA!MTB), Liste complète des détections (VirusTotal)
Symptômes Impossible d'ouvrir les fichiers stockés sur votre ordinateur, les fichiers précédemment fonctionnels ont maintenant une extension différente (par exemple, my.docx.locked). Un message de demande de rançon s'affiche sur votre bureau. Les cybercriminels exigent le paiement d'une rançon (généralement sous forme de bitcoins) pour déverrouiller vos fichiers.
Information Additionelle Il n'y a aucun moyen de contacter les cybercriminels qui se cachent derrière ces rançongiciels
Méthodes de Distribution Pièces jointes de courriel infectées (macros), sites web de torrents, publicités malveillantes.
Dommages Tous les fichiers sont cryptés et ne peuvent être ouverts sans payer une rançon. Il est possible d'installer des chevaux de Troie voleurs de mots de passe et des maliciels supplémentaires en même temps qu'une infection par un rançongiciel.
Suppression

Pour éliminer Virus EvilQuest, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Combo Cleaner.
▼ Télécharger Combo Cleaner
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible.

Il est intéressant de mentionner que dans la plupart des cas, les rançongiciels visent les systèmes d'exploitation Windows, voici quelques exemples d'autres maliciels de ce type : Lxhlp, Zida et .HOW. Généralement, il crypte les fichiers et les affiche et/ou crée une demande de rançon. Les seules différences principales sont le prix du décryptage (montant de la rançon) et l'algorithme de cryptage (symétrique ou asymétrique) que le logiciel de rançon utilise pour rendre les fichiers inaccessibles. Les victimes peuvent restaurer les fichiers gratuitement/sans avoir à contacter et à payer les cybercriminels uniquement lorsque les rançongiciels présentent certaines vulnérabilités (bogues, failles). Malheureusement, cela n'arrive pas souvent et la seule façon de récupérer des fichiers après une attaque par un rançongiciel est de les restaurer à partir d'une sauvegarde. Il est donc recommandé de toujours avoir une sauvegarde des données et de la conserver sur un serveur distant (comme le Cloud) ou sur un périphérique de stockage débranché.

Comment les rançongiciels se sont-ils installés sur mon ordinateur ?

Les recherches montrent que ce rançongiciel particulier est distribué par le biais de versions piratées de logiciels macOS populaires, l'un des exemples étant la version piratée du logiciel Mix In Key. En général, les logiciels piratés sont disponibles en téléchargement sur divers sites de torrents et autres pages de téléchargement peu fiables. Les autres moyens utilisés par les cybercriminels pour faire proliférer les rançongiciels (et autres maliciels) sont les campagnes de spam, les chevaux de Troie, les fausses mises à jour de logiciels, les autres sources/canaux de téléchargement de logiciels douteux ou les outils de "craquage" de logiciels. Dans le premier cas, ils envoient des courriels contenant des pièces jointes malveillantes ou des liens web conçus pour télécharger des fichiers malveillants. Leur principal objectif est de tromper les destinataires pour qu'ils ouvrent une pièce jointe ou un fichier malveillant qui entraînerait l'installation d'un logiciel malveillant. Parmi les exemples de fichiers que les cybercriminels joignent à leurs courriels, on trouve des fichiers malveillants de Microsoft Office, des documents PDF, des fichiers d'archives (comme RAR, ZIP), des fichiers exécutables (comme .exe) et des fichiers JavaScript. Les chevaux de Troie sont des programmes malveillants qui peuvent causer des dommages en installant simplement un autre maliciel - après l'installation, ils provoquent des infections en chaîne. Les fausses mises à jour de logiciels (non officielles) sont causées par l'installation de programmes malveillants au lieu des mises à jour correctives, ou par l'exploitation de bogues, c'est-à-dire de défauts de logiciels obsolètes installés sur l'ordinateur de l'utilisateur. Des exemples de chaînes de téléchargement de fichiers et de logiciels non fiables sont les réseaux Peer-to-Peer (comme eMule), les sites d'hébergement de fichiers gratuits, les pages de téléchargement de logiciels gratuits, les téléchargeurs tiers et d'autres sources de ce type. En règle générale, les fichiers malveillants sont déguisés en fichiers ordinaires, inoffensifs. Lorsque les utilisateurs les téléchargent et les exécutent, ils infectent les ordinateurs avec certains maliciels. Les outils de "craquage" de logiciels sont des programmes censés aider leurs utilisateurs à contourner l'activation de certains logiciels sous licence (l'activer gratuitement). Cependant, le plus souvent, ces outils n'activent aucun logiciel. Au lieu de cela, ils se contentent d'installer certains logiciels malveillants, par exemple des rançongiciels.

Comment éviter l'installation de logiciels malveillants ?

Il est fortement recommandé de ne pas faire confiance aux courriels non pertinents qui sont reçus d'adresses inconnues et suspectes. S'ils contiennent des pièces jointes (ou des liens web), il ne faut pas les ouvrir. Il est utile de mentionner que les courriels envoyés par des cybercriminels sont souvent déguisés en messages importants, officiels et légitimes. De plus, il est important de mettre à jour et/ou d'activer les logiciels installés uniquement avec les fonctions ou les outils mis en œuvre par les développeurs de logiciels officiels. La plupart du temps, les utilisateurs qui utilisent des activateurs ou des mises à jour non officiels infectent leur ordinateur avec des maliciels. Un autre problème avec les activateurs non officiels (outils de "craquage") est qu'il n'est pas légal de les utiliser pour activer un logiciel sous licence. Un autre moyen d'éviter l'installation de logiciels malveillants consiste à télécharger des fichiers, des programmes uniquement à partir de sites web officiels. Les téléchargeurs (et installateurs) tiers, les pages non officielles, les réseaux Peer-to-Peer ne doivent pas être pris en considération. Enfin, tout ordinateur doit être régulièrement scanné avec un logiciel anti-espion ou une suite antivirus réputés, ces logiciels devant être toujours à jour. Si votre ordinateur est déjà infecté par des PUA, nous vous recommandons de lancer un scan avec Combo Cleaner pour les éliminer automatiquement.

Texte dans une fenêtre pop-up :

Your files are encrypted

 

Many of your important documents, photos, videos, images and other files are no longer accessible because they have been encrypted.

 

Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
We guarantee however that you can recover your files safely and easily and this will cost you 50 USD without any additional fees.

 

Our offer is valid FOR 3 DAYS (starting now!). Full details can be found in the file:  READ_ME_NOW.txt  located on your Desktop

Capture d'écran de la note de rançon "READ_ME_NOW.txt" :

EvilQuest ransom note (READ_ME_NOW.txt)

Texte de la note :

YOUR IMPORTANT FILES ARE ENCRYPTED

 

Many of your documents, photos, videos, images and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your file without our decryption service.

 

We use 256-bit AES algorithm so it will take you more than a billion years to break this encryption without knowing the key (you can read Wikipedia about AES if you don't believe this statement).
Anyways, we guarantee that you can recover your files safely and easily. This will require us to use some processing power, electricity and storage on our side, so there's a fixed processing fee of 50 USD. This is a one-time payment, no additional fees included.
In order to accept this offer, you have to deposit payment within 72 hours (3 days) after receiving this message, otherwise this offer will expire and you will lose your files forever.
Payment has to be deposited in Bitcoin based on Bitcoin/USD exchange rate at the moment of payment. The address you have to make payment is:

                    13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7

 

Decryption will start automatically within 2 hours after the payment has been processed and will take from 2 to 5 hours depending on the processing power of your computer. After that all of your files will be restored.

 

THIS OFFER IS VALID FOR 72 HOURS AFTER RECEIVING THIS MESSAGE

Capture d'écran des fichiers cryptés par EvilQuest :

Files encrypted by EvilQuest ransomware

Installateur malveillant conçu pour installer EvilQuest :

evilquest ransomware installer

Liste des fichiers relatifs à cet installateur :

  • ~/Library/mixednkey/toolroomd
  • ~/Library/AppQuest/com.apple.questd
  • ~/Library/LaunchAgents/com.apple.questd.plist


N'oubliez pas que le téléchargement de logiciels à partir de sites Torrent douteux (tels que ThePirateBay) est très susceptible d'entraîner diverses infections du système :

EvilQuest ransomware distributed via Torrent sites

Suppression instantanée automatique de Virus EvilQuest: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Combo Cleaner est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Virus EvilQuest. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Combo Cleaner (Mac) Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide : 

Suppression d'applications potentiellement non désirées :

Supprimez les demandes potentiellement indésirables de votre dossier "Applications" :

mac browser hijacker removal from applications folder

Cliquez sur l'icône Finder. Dans la fenêtre du Finder, sélectionnez "Applications". Dans le dossier des applications, recherchez "MPlayerX", "NicePlayer" ou d'autres applications suspectes et faites-les glisser vers la Corbeille. Après avoir supprimé la ou les applications potentiellement indésirables qui sont à l'origine des publicités en ligne, scannez votre Mac à la recherche de tout composant indésirable restant.

Suppression des fichiers et dossiers reliés au virus evilquest:

Trouver la commande pour aller au dossier

Cliquer l'Icône Trouver, dans la barre des menus, choisissez Aller, et cliquer Aller au dossier...

step1Rechercher les fichiers générés par le logiciel de publicité dans le dossier Library/LaunchAgents:

Supprimer le logiciel de publicité à partir du dossier lancerlesagents étape 1

Dans la barre Aller au dossier... taper: Library/LaunchAgents

Supprimer le logiciel de publicité à partir du dossier lancerlesagents étape 2Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.

step2Rechercher les fichiers générés dans le dossier de /Library/Application Support :

Suppression du logiciel de publicité à partir du dossier soutien d'application étape 1

Dans la barreAller au dossier..., taper: /Library/Application Support

Suppression du logiciel de publicité à partir du dossier soutien d'application étape 2Dans le dossier “Application Support” , rechercher tous les dossiers suspects récemment ajoutés. Par exemple, “MplayerX” or “NicePlayer”, et déplacer ces dossiers dans la Corbeille.

step3Rechercher les fichiers générés par le logiciel de publicité dans le dossier ~/Library/LaunchAgents:

Supprimer le logiciel de publicité à partir du - dossier lancerlesagents étape 1


Dans la barre Aller au dossier, taper : ~/Library/LaunchAgents

Supprimer le logiciel de publicité à partir du - dossier lancerlesagents étape 2

Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.

step4Rechercher les fichiers générés par le logiciel de publicité dans le dossier /Library/LaunchDaemons:

Supprimer le logiciel de publicité à partir du dossier lancerlesagents étape 1Dans la barre Aller au dossier, taper : /Library/LaunchDaemons

Supprimer le logiciel de publicité à partir du dossier lancerlesagents étape 2Dans le dossier “LaunchDaemons” , rechercher tous les fichiers suspects récemment ajoutés . Par exemple, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., et déplacez-les dans la Corbeille.

5 Scanner votre Mac avec Combo Cleaner:

Si vous avez suivi toutes les étapes dans le bon ordre votre Mac devrait être libre de toutes infections. Pour être sûr que votre système n’est pas infecté exécuté un scan avec l’antivirus Combo Cleaner. Télécharger ICI. Après avoir téléchargé le fichier double cliqué sur combocleaner.dmg installer, dans la fenêtre ouverte glisser et déposer l’icône Combo Cleaner sur le dessus de l’icône Applications. Maintenant ouvrez votre launchpad et cliquer sur l’icône Combo Cleaner. Attendez jusqu’à Combo Cleaner mette à jour sa banque de données de définition de virus et cliquer sur le bouton 'Démarrez Combo Cleaner'.

scan-with-combo-cleaner-1

Combo Cleaner scanner votre Mac à la recherche d’infections de logiciels malveillants. Si le scan de l’antivirus affiche 'aucune menace trouvée' – cela signifie que vous pouvez continuez avec le guide de suppression, autrement il est recommandé de supprimer toute infection avant de continuer.

scan-with-combo-cleaner-2

Après avoir supprimé les fichiers et les dossiers générés par le logiciel de publicité, continuer pour supprimer les extensions escrocs de vos navigateurs internet.

Suppression du virus evilquest dans les navigateurs Internet :

safari browser iconSuppression des extensions malicieuses dans Safari:

Suppression des extensions reliées à virus evilquest dans Safari :

préférences du navigateur safari

Ouvrez le navigateur Safari. Dans la barre menu, sélectionner "Safari" et cliquer "Préférences...".

fenêtre des extensions de safari

Dans la fenêtre préférences, sélectionner "Extensions" et rechercher tous les extensions suspectes récemment installées. Quand vous l'avez trouvée, cliquer le bouton "Désinstaller" à côté de celle (s)-ci. Noter que vous pouvez désinstaller de façon sécuritaire les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.

  • Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Safari.

firefox browser iconSupprimer les plug-ins malicieux dans Mozilla Firefox:

Supprimer les ajouts reliés à virus evilquest dans Mozilla Firefox :

accéder aux ajouts de mozilla firefox

Ouvrez votre navigateur Mozilla Firefox. Dans le coin supérieur droit de l'écran, cliquer le bouton "Ouvrir le Menu" (trois lignes horizontales). Dans le menu ouvert, choisissez "Ajouts".

Suppression des ajouts malicieux dans mozilla firefox

Choisissez l'onglet "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Supprimer" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Mozilla Firefox - aucune n'est cruciale au fonctionnement normal du navigateur.

  • Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Mozilla Firefox.

chrome-browser-iconSuppression des extensions malicieuses dans Google Chrome :

Suppression des ajouts reliés à virus evilquest dans Google Chrome :

Suppression des extensions malicieuses dans Google Chrome étape 1

Ouvrez Google Chrome et cliquer le bouton "menu Chrome" (trois lignes horizontales) localisé dans le coin supérieur droit de la fenêtre du navigateur. À partir du menu déroulant, cliquer "Plus d'outils" et sélectionner "Extensions".

Suppression des extensions malicieuses dans Google Chrome étape 2

Dans la fenêtre "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Corbeille" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.

  • Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Google Chrome.

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
Virus EvilQuest Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du Virus EvilQuest sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de Virus EvilQuest aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Combo Cleaner (Mac)

Plateforme: macOS

Note de l’éditeur pour Combo Cleaner:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible.