FacebookTwitterLinkedIn

Come disinstallare EvilQuest ransomware da un computer?

Conosciuto inoltre come: EvilQuest virus
Livello di danno: Grave

Come disinstallare EvilQuest ransomware dal Mac?

Cos'è EvilQuest ransomware?

A scoprire EvilQuest è stato Dinesh_Devadoss. Come molti altri programmi dannosi di questo tipo, EvilQuest crittografa i file delle vittime e crea una richiesta di riscatto. Nella maggior parte dei casi malware di questo tipo modificano i nomi dei file crittografati aggiungendo una determinata estensione, sebbene questo ransomware li lasci invariati. Inserisce il file "READ_ME_NOW.txt" in ogni cartella che contiene dati crittografati e visualizza un'altra nota di riscatto in una finestra pop-up. Inoltre, questo malware è in grado di rilevare se alcuni file sono memorizzati su un computer, funzionano come keylogger e ricevono alcuni comandi dal server Command & Control.

EvilQuest ransom note (pop-up window)

Come spiegato nelle note di riscatto di EvilQuest, questo ransomware garantisce che le vittime non possano accedere a documenti, foto, video, immagini e altri file crittografandoli con l'algoritmo AES-256. Per poter accedere nuovamente ai propri file, le vittime che dovrebbero utilizzare il servizio di decodifica che costa $ 50, devono essere effettuati un pagamento trasferendo la quantità equivalente di Bitcoin all'indirizzo del portafoglio BTC fornito. Si afferma che le vittime hanno 72 ore per effettuare un pagamento, dopodiché non sarà più possibile decrittografare i file crittografati. I file devono essere decifrati entro 2 ore dopo un pagamento. Riassumendo, le vittime sono informate che è impossibile decrittografare i file senza dover pagare un riscatto. Sfortunatamente, è vero: la maggior parte dei programmi di tipo ransomware crittografa i file con algoritmi di crittografia avanzata e i criminali informatici dietro di loro sono gli unici che hanno gli strumenti in grado di decrittografare i file delle vittime. Tuttavia, si consiglia vivamente di non fidarsi né di questi né di altri criminali informatici dietro l'attacco di ransomware - il più delle volte le vittime che pagano un riscatto non ricevono nulla in cambio. In altre parole, vengono truffati. In questi casi, l'unico modo gratuito per recuperare i file è ripristinarli da un backup. Inoltre, è possibile impedire che i ransomware installati causino ulteriori crittografie (crittografia dei file non crittografati) disinstallandolo. Tuttavia, i file crittografati rimangono inaccessibili anche dopo la sua disinstallazione. Come menzionato nell'introduzione, EvilQuest è in grado di rilevare alcuni file, come .wallet.pdf, wallet.png, * .p12 e key.png. Inoltre, può ricevere comandi dal server Command & Control ed eseguirli, registrare le sequenze di tasti ed eseguire i moduli direttamente dalla memoria. La funzione di keylogging consente ai criminali informatici di registrare i tasti premuti, il che significa che EvilQuest può essere utilizzato per rubare informazioni sensibili digitate come dettagli della carta di credito, nomi utente, password e così via. Tali informazioni possono essere utilizzate in modo improprio per rubare identità, account, effettuare transazioni fraudolente, acquisti e per altri scopi dannosi.

Sommario:
Nome EvilQuest virus
Tipo di minaccia Ransomware, Crypto Virus, Files locker
Messaggio di richiesta riscatto READ_ME_NOW.txt, finestra pop-up 
Ammontare del riscatto $50 in Bitcoins
Indirizzo BTC Wallet 13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Nomi rilevati Ad-Aware (Trojan.GenericKD.34092962), BitDefender (Trojan.GenericKD.34092962), ESET-NOD32 (OSX/Filecoder.I), Microsoft (Ransom:MacOS/Filecoder.YA!MTB), Lista completa  (VirusTotal)
Sintomi Impossibile aprire i file memorizzati sul tuo computer, i file precedentemente funzionanti ora hanno un'estensione diversa (ad esempio my.docx.locked). Sul desktop viene visualizzato un messaggio di richiesta di riscatto. I criminali informatici richiedono il pagamento di un riscatto (di solito in bitcoin) per sbloccare i tuoi file.
Info aggiuntive Non c'è modo di contattare i criminali informatici dietro questo ransomware
Metodi distributivi Allegati email (macro) infetti, siti Web torrent, annunci dannosi.
Danni Tutti i file sono crittografati e non possono essere aperti senza un riscatto. È possibile installare ulteriori trojan e infezioni da malware che rubano la password insieme a un'infezione da ransomware.
Rimozione dei malware (Mac)

Per eliminare possibili infezioni malware, scansiona il tuo Mac con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner.
▼ Scarica Combo Cleaner per Mac
Lo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 3 giorni di prova gratuita limitata. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più.

Vale la pena ricordare che nella maggior parte dei casi il ransomware è destinato ai sistemi operativi Windows, ecco alcuni esempi di altri malware di questo tipo: Lxhlp, Zida e .HOW. In genere, crittografa i file e visualizza e crea una nota di riscatto e le uniche differenze principali sono il prezzo di una decrittazione (dimensione di un riscatto) e un algoritmo di crittografia (simmetrico o asimmetrico) che il ransomware utilizza per rendere i file inaccessibili. Le vittime possono ripristinare i file gratuitamente e senza dover contattare e pagare i cyber criminali solo quando il ransomware presenta alcune vulnerabilità (bug, difetti). Sfortunatamente, non succede spesso e l'unico modo per recuperare i file dopo l'attacco di ransomware è ripristinarli da un backup. Pertanto, si consiglia di disporre sempre di un backup dei dati e di conservarlo su un server remoto (come Cloud) o su un dispositivo di archiviazione non collegato.

Come è stato installato ransomware sul mio computer?

La ricerca mostra che questo particolare ransomware è distribuito attraverso versioni piratate del popolare software macOS, uno degli esempi è la versione piratata del software Mix In Key. In genere, il software piratato è disponibile per il download su vari siti Web torrent e altre pagine di download inaffidabili. Altri modi popolari che i criminali informatici utilizzano per proliferare ransomware (e altri malware) sono campagne spam, trojan, aggiornamenti software falsi, altre fonti o canali di download di software discutibili o strumenti di cracking del software per questo. Nel primo caso inviano e-mail che contengono allegati dannosi o collegamenti Web progettati per scaricare file dannosi. Il loro obiettivo principale è ingannare i destinatari nell'apertura di un file o allegato dannoso che causerebbe l'installazione di un software dannoso. Alcuni esempi di file che i cyber criminali allegano alle loro e-mail sono Microsoft Office dannoso, documenti PDF, file di archivio (come RAR, ZIP), file eseguibili (come .exe) e file JavaScript. I trojan sono programmi dannosi che possono causare danni semplicemente installando altri malware: dopo l'installazione causano infezioni a catena. Gli aggiornamenti software (non ufficiali) falsi causano l'installazione di programmi dannosi anziché le correzioni degli aggiornamenti o lo sfruttamento di bug, difetti di software obsoleto installato sul computer dell'utente. Esempi di file inaffidabili, canali di download del software sono le reti peer-to-peer (come eMule) siti Web di hosting di file gratuiti, pagine di download di freeware, downloader di terze parti e altre fonti di questo tipo. Di norma, i file dannosi vengono mascherati come normali, innocui. Quando gli utenti scaricano ed eseguono, infettano i computer con malware. Gli strumenti di "cracking" del software sono programmi che dovrebbero aiutare i loro utenti a bypassare l'attivazione di alcuni software con licenza (attivarlo gratuitamente). Tuttavia, il più delle volte tali strumenti non attivano alcun software. Invece di farlo, installano semplicemente alcuni software dannosi, ad esempio ransomware.

Come evitare l'installazione di malware?

Si consiglia vivamente di non fidarsi delle email irrilevanti ricevute da indirizzi sconosciuti e sospetti. Se contengono allegati (o collegamenti Web), non devono essere aperti. Vale la pena ricordare che le e-mail inviate da cyber criminali sono spesso mascherate da importanti, ufficiali, legittime. Inoltre, è importante aggiornare e attivare il software installato solo con funzioni o strumenti implementati dagli sviluppatori di software ufficiali. Il più delle volte gli utenti che usano attivatori o programmi di aggiornamento non ufficiali infettano i loro computer con malware. Un altro problema con attivatori non ufficiali (strumenti di "cracking") è che non è legale usarli per attivare alcun software concesso in licenza. Un altro modo per evitare l'installazione di software dannoso è scaricare file, programmi solo da siti Web ufficiali. Downloader di terze parti (e installatori), pagine non ufficiali, reti peer-to-peer non dovrebbero essere attendibili. E infine, ogni computer dovrebbe essere regolarmente scansionato con una rispettabile suite anti-spyware o antivirus, tale software dovrebbe essere sempre aggiornato. Se il tuo computer è già infetto da PUA, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminarli automaticamente.

Testo in una finestra pop-up:

Your files are encrypted

Many of your important documents, photos, videos, images and other files are no longer accessible because they have been encrypted.

Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
We guarantee however that you can recover your files safely and easily and this will cost you 50 USD without any additional fees.

Our offer is valid FOR 3 DAYS (starting now!). Full details can be found in the file:  READ_ME_NOW.txt  located on your Desktop

Screenshot della nota di riscatto "READ_ME_NOW.txt":

EvilQuest ransom note (READ_ME_NOW.txt)

Testo in questa nota:

YOUR IMPORTANT FILES ARE ENCRYPTED

 

Many of your documents, photos, videos, images and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your file without our decryption service.

 

We use 256-bit AES algorithm so it will take you more than a billion years to break this encryption without knowing the key (you can read Wikipedia about AES if you don't believe this statement).
Anyways, we guarantee that you can recover your files safely and easily. This will require us to use some processing power, electricity and storage on our side, so there's a fixed processing fee of 50 USD. This is a one-time payment, no additional fees included.
In order to accept this offer, you have to deposit payment within 72 hours (3 days) after receiving this message, otherwise this offer will expire and you will lose your files forever.
Payment has to be deposited in Bitcoin based on Bitcoin/USD exchange rate at the moment of payment. The address you have to make payment is:

                    13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7

 

Decryption will start automatically within 2 hours after the payment has been processed and will take from 2 to 5 hours depending on the processing power of your computer. After that all of your files will be restored.

 

THIS OFFER IS VALID FOR 72 HOURS AFTER RECEIVING THIS MESSAGE

Schermata dei file crittografati da EvilQuest:

Files encrypted by EvilQuest ransomware

Programma di installazione dannoso progettato per installare EvilQuest:

evilquest ransomware installer

Elenco dei file relativi a questo programma di installazione:

  • ~/Library/mixednkey/toolroomd
  • ~/Library/AppQuest/com.apple.questd
  • ~/Library/LaunchAgents/com.apple.questd.plist

Tieni presente che il download di software da siti Torrent discutibili (come ThePirateBay) è molto probabile che porti a varie infezioni del sistema:

EvilQuest ransomware distributed via Torrent sites

Rimozione automatica istantanea dei malware dal tuo Mac: La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware dai Mac. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner per Mac Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 3 giorni di prova gratuita limitata. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.

Menu:

Rimozione di PUA:

Rimuovi le applicazioni potenzialmente indesiderate dalla cartella "Applicazioni":

mac browser hijacker removal from applications folder

Fare clic sull'icona del Finder. Nella finestra del Finder, selezionare "Applicazioni". Nella cartella applicazioni, cercare "MPlayerX", "NicePlayer", o altre applicazioni sospette e trascinarle nel Cestino. Dopo aver rimosso l'applicazione potenzialmente indesiderata che causa gli annunci online, eseguire la scansione del Mac per trovare tutti i componenti indesiderati rimanenti.

Rimuovere i file e le cartelle legate a evilquest virus:

Finder go to folder command

Cliccare l'icona del Finder, dal menu a barre, scegliere Vai, e cliccare Vai alla Cartella...

step1Verificare la presenza di file generati da adware nella cartella / Library / LaunchAgents:

rimuovere adware dalla cartella launch agents step 1

Nella barra Vai alla Cartella..., digita: /Library/LaunchAgents

rimuovere adware dalla cartella launch agents step 2Nella cartella "LaunchAgents", cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Gli Adware installano comunemente diversi file con la stessa stringa.

step2Verificare la presenza di file generati da adware nella cartella /Library/Application Support:

Verificare la presenza di file generati da adware nella cartella /Library/Application Support step 1

Nella barra Vai alla Cartella..., digita: /Library/Application Support

Verificare la presenza di file generati da adware nella cartella /Library/Application Support step 2Nella cartella “Application Support”, lcercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware, “MplayerX” o “NicePlayer”,

step3Verificare la presenza di file generati da adware nella cartella ~/Library/LaunchAgents:

removing adware from ~launch agents folder step 1


Nella barra Vai alla Cartella..., digita: ~/Library/LaunchAgents

Verificare la presenza di file generati da adware nella cartella step 2

Nella cartella "LaunchAgents", cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Gli Adware installano comunemente diversi file con la stessa stringa.

step4Verificare la presenza di file generati da adware nella cartella /Library/LaunchDaemons:

Verificare la presenza di file generati da adware nella cartella launch daemons  step 1Nella barra Vai alla Cartella..., digita: /Library/LaunchDaemons

Verificare la presenza di file generati da adware nella cartella launch daemons  step 2Nella cartella “LaunchDaemons”, cercare eventuali file sospetti aggiunti di reente e spostarli nel Cestino. Esempi di file generati da adware, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc..

step 5 Scansiona il tuo Mac con Combo Cleaner:

Se hai seguito tutti i passaggi nell'ordine corretto, il Mac dovrebbe essere privo di infezioni. Per essere sicuro che il tuo sistema non sia infetto, esegui una scansione con Combo Cleaner Antivirus. Scaricalo QUI. Dopo aver scaricato il file fare doppio clic sul programma di installazione combocleaner.dmg, nella finestra aperta trascinare e rilasciare l'icona Combo Cleaner in cima all'icona Applicazioni. Ora apri il launchpad e fai clic sull'icona Combo Cleaner. Attendere fino a quando Combo Cleaner aggiorna il suo database delle definizioni dei virus e fare clic sul pulsante "Avvia scansione combinata".

scan-with-combo-cleaner-1

Combo Cleaner eseguirà la scansione del tuo Mac alla ricerca di infezioni da malware. Se la scansione antivirus mostra "nessuna minaccia trovata", significa che è possibile continuare con la guida alla rimozione, altrimenti si consiglia di rimuovere eventuali infezioni trovate prima di continuare.

scan-with-combo-cleaner-2

Dopo aver rimosso i file e le cartelle generati dal adware, continuare a rimuovere le estensioni canaglia dal vostro browser Internet.

EvilQuest virus rimozione da homepage e motore di ricerca degli Internet browsers:

safari browser iconRimuovere le estensioni malevole da Safari:

Rimuovere le estensioni di evilquest virus da Safari:

safari browser preferenze

Aprire Safari, Dalla barra del menu, selezionare "Safari" e clicare su "Preferenze...".

safari finestra estensioni

Nella finestra delle preferenze, selezionare "Estensioni" e cercare eventuali estensioni sospette recentemente installate. Quando le trovate, fare clic sul pulsante "Disinstalla". Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Safari - nessuna è fondamentale per il normale funzionamento del browser.

  • Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Safari.

firefox browser iconRimuovere le estensioni malevole da Mozilla Firefox:

Rimuovere i componenti aggiuntivi legati a evilquest virus da Mozilla Firefox:

accesso ai componenti aggiuntivi di mozilla firefox

Aprire il browser Mozilla Firefox. In alto a destra dello schermo, fare clic sul pulsante (tre linee orizzontali) "Apri Menu". Dal menu aperto, scegliere "componenti aggiuntivi".

rimozione dannosi componenti aggiuntivi di Mozilla Firefox

Scegliere la scheda "Estensioni" e cercare eventuali componenti aggiuntivi sospetti di recente installati. Quando vengono trovati, fare clic sul pulsante "Rimuovi" che si trova accanto. Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Mozilla Firefox - nessuna è cruciale per il normale funzionamento del browser.

  • Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Mozilla Firefox.

chrome-browser-iconRimuovere estensioni pericolose da Google Chrome:

Rimuovere le estensioni di evilquest virus da Google Chrome:

Rimuovere estensioni malevole da google chrome step 1

Aprire Google Chrome e fare clic sul pulsante (tre linee orizzontali) "Menu Chrome" che si trova nell'angolo in alto a destra della finestra del browser. Dal menu a discesa, scegliere "Altri strumenti" e selezionare "Estensioni".

Rimuovere estensioni malevole da google chrome step 2

Nella finestra "Estensioni", cercare eventuali componenti aggiuntivi sospetti di recente installati. Quando li trovate, fate clic sul pulsante "Cestino" accanto. Si noti che è possibile disinstallare in modo sicuro tutte le estensioni dal browser Google Chrome - non ce ne sono di fondamentali per il normale funzionamento del browser.

  • Se si continuano ad avere problemi come reindirizzamenti e pubblicità indesiderate - Reset Google Chrome.

▼ Mostra Discussione

Informazioni sull'autore:

Tomas Meskauskas

Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online. Leggi di più sull'autore.

Il portale per la sicurezza di PCrisk è creato grazie all'unione di ricercatori di sicurezza per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sugli autori ed i ricercatori che stanno lavorando su PCrisk possono essere trovate nella nosta pagina di contatti.

Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.

Chi siamo

PCrisk è un portale di sicurezza informatica, il suo scopo è informare gli utenti di Internet sulle ultime minacce digitali. I nostri contenuti sono forniti da esperti di sicurezza e ricercatori professionisti di malware. Leggi di più su di noi.

Istruzioni di rimozione in altre lingue
Codice QR
EvilQuest virus Codice QR
Eseguire la scansione di questo codice QR per avere un veloce accesso alla guida di rimozione di EvilQuest virus sul tuo dispositivo mobile.
Noi raccomandiamo:

Sbarazzati oggi stesso delle infezioni malware dai sistemi Mac:

▼ RIMUOVILO SUBITO
Scarica Combo Cleaner per Mac

Piattaforma: macOS

Valutazione degli Editori per Combo Cleaner:
ValutazioneEccezionale!

[Inizio pagina]

Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 3 giorni di prova gratuita limitata. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più.