FacebookTwitterLinkedIn

Hoe verwijdert u de EvilQuest ransomware van uw computer?

Ook bekend als: EvilQuest virus
Type: Mac Virus
Schadeniveau: Ernstig

Tomas Meskauskas Geschreven door op (bijgewerkt)

Hoe verwijdert u EvilQuest van een Mac?

What is EvilQuest ransomware?

De ontdekker van EvilQuest is Dinesh_Devadoss. Net als veel andere kwaadaardige programma's van dit type versleutelt ook EvilQuest de bestanden van zijn slachtoffers en toont hen een bericht met de vraag om losgeld. In de meeste gevallen wijzigt dit soort malware de namen van gecodeerde bestanden door er een bepaalde extensie aan toe te voegen, maar deze ransomware laat de bestandsnamen ongewijzigd laat. Het plaatst het bestand "READ_ME_NOW.txt" in elke map die versleutelde gegevens bevat en toont een bericht met de vraag om losgeld in een pop-upvenster. Bovendien kan deze malware detecteren of er bepaalde bestanden op uw computer zijn opgeslagen, alle toetsaanslagen registreren en een aantal opdrachten ontvangen van een Command & Control-server.

EvilQuest ransom note (pop-up window)

Zoals wordt uitgelegd in het losgeldbericht van EvilQuest zorgt deze ransomware ervoor dat slachtoffers geen toegang meer hebben tot hun documenten, foto's, video's, afbeeldingen en andere bestanden door deze te versleutelen met het AES-256 algoritme. Om weer toegang te krijgen tot hun bestanden, moeten slachtoffers een decoderingsservice gebruiken die 50 dollar kost. Ter betaling moet dit bedrag in Bitcoin worden verstuurd naar een BTC-adres. Er wordt gemeld dat slachtoffers 72 uur de tijd hebben om te betalen, daarna is het niet meer mogelijk om versleutelde bestanden te decoderen. Bestanden zouden binnen 2 uur na betaling worden gedecodeerd. Met andere woorden, er wordt aan slachtoffers verteld dat het onmogelijk is om bestanden te ontsleutelen zonder losgeld te betalen. Helaas is dit waar: de meeste ransomware-programma's versleutelen bestanden met sterke versleutelingsalgoritmen en de cybercriminelen zijn de enigen die de tools hebben die de bestanden van slachtoffers kunnen ontsleutelen. Het is ecther sterk aanbevolen om cybercriminelen niet te vertrouwen na een ransomware-aanval. Slachtoffers die losgeld betalen krijgen meestal niets in ruil. Met andere woorden, ze worden opgelicht. In dergelijke gevallen is de enige en gratis manier om bestanden te herstellen via een back-up. Het is ook mogelijk om te voorkomen dat geïnstalleerde ransomware verdere versleuteling veroorzaakt (van nog niet-versleutelde bestanden) door de ransomware te verwijderen. De gecodeerde bestanden blijven dan echter ontoegankelijk, zelfs nadat ze zijn verwijderd. Zoals vermeld in de inleiding, kan EvilQuest bestanden detecteren, zoals .wallet.pdf, wallet.png, * .p12 en key.png. Het kan ook opdrachten van de Command & Control-server ontvangen en deze uitvoeren, toetsaanslagen registreren en modules rechtstreeks vanuit het geheugen uitvoeren. De zogenaamde 'keylogging'-functie stelt cybercriminelen in staat om toetsaanslagen te registreren, wat betekent dat EvilQuest kan worden gebruikt om gevoelige informatie zoals creditcardgegevens, gebruikersnamen, wachtwoorden enzovoort te stelen. Dergelijke informatie kan worden misbruikt om identiteiten, accounts te stelen, frauduleuze transacties en aankopen te doen en voor allerlei andere kwaadaardige doeleinden.

Samenvatting bedreiging:
Naam EvilQuest virus
Type bedreiging Ransomware, cryptovirus, bestandslocker
Bericht met de vraag om losgeld  READ_ME_NOW.txt, pop-up-venster
Losgeldbedrag $50 in Bitcoins
BTC Wallet-adres 13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Detectienamen Ad-Aware (Trojan.GenericKD.34092962), BitDefender (Trojan.GenericKD.34092962), ESET-NOD32 (OSX/Filecoder.I), Microsoft (Ransom:MacOS/Filecoder.YA!MTB), volledige detectielijst (VirusTotal)
Symptomen U kunt bestanden op uw computer niet meer openen, bestanden hebben een andere extensie gekregen (zoals my.docx.locked). Er verschijnt een bericht op uw bureaublad waarin cybercriminelen u vragen om een losgeld te betalen (gewoonlijk in bitcoin) om uw bestanden te ontsleutelen.
Bijkomende informatie Het is onmogelijk om contact op te nemen met de verantwoordelijke cybercriminelen
Distributiemethodes Besmette e-mailbijlagen (macros), torrentwebsites, kwaadaardige advertenties.
Schade Alle bestanden zijn gecodeerd en ze kunnen niet worden geopend zonder losgeld te betalen. Extra trojans, wachtwoordstelers en andere malware-infecties kunnen samen met een ransomware-infectie worden geïnstalleerd.
Malware verwijderen (Mac)

Om mogelijke malware-infecties te verwijderen, scant u uw Mac met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken.
▼ Combo Cleaner voor Mac Downloaden
Gratis scanner die controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.

Het is de moeite waard om te vermelden dat zich in de meeste gevallen op Windows-besturingssystemen richt. Dit zijn enkele voorbeelden van andere malware van dit type: Lxhlp, Zida en .HOW. Doorgaans worden bestanden versleuteld en vervolgens een losgeldbericht weergegeven. De enige grote verschillen zijn de prijs van de decoderingstool (bedrag van het losgeld) en het versleutelingsalgoritme (symmetrisch of asymmetrisch) dat de ransomware gebruikt om bestanden ontoegankelijk te maken. Slachtoffers kunnen hun bestanden enkel gratis herstellen zonder contact te moeten opnemen met de cybercriminelen als de ransomware bugs of fouten bevat. Helaas gebeurt dit niet vaak en de enige manier om bestanden te herstellen na een ransomware-aanval is vanaf een back-up. Daarom wordt aanbevolen om altijd een gegevensback-up te maken en deze op een externe server (zoals in de cloud) of op een niet-aangesloten opslagapparaat te bewaren.

Hoe besmette ransomware mijn computer?

Onderzoek toont aan dat deze specifieke ransomware wordt verspreid via illegale versies van populaire macOS-software, een voorbeeld is de illegale versie van de Mix In Key-software. Doorgaans is illegale software beschikbaar op allerlei torrent-websites en andere onbetrouwbare downloadpagina's. Andere populaire manieren die cybercriminelen gebruiken om ransomware (en andere malware) te verspreiden, zijn spamcampagnes, trojans, valse software-updaters en tal van andere dubieuze downloadbronnen, evenals 'cracks'. In het eerste geval sturen ze e-mails met schadelijke bijlagen of weblinks daarin. Het belangrijkste doel is de ontvangers te misleiden zodat deze een ​​schadelijke bijlage (bestand) openen waarmee schadelijke software wordt geïnstalleerd. Enkele voorbeelden van bestanden die cybercriminelen bij hun e-mails voegen, zijn schadelijke Microsoft Office-, PDF-documenten, archiefbestanden (zoals RAR, ZIP), uitvoerbare bestanden (zoals .exe) en JavaScript-bestanden. Trojans zijn schadelijke programma's die andere malware kunnen installeren door het veroorzaken ze kettinginfecties. Valse (onofficiële) software-updaters installeren schadelijke programma's in plaats van updates of ze maken misbruik van bugs en fouten in verouderde software die op de computer van de gebruiker is geïnstalleerd. Voorbeelden van onbetrouwbare bestanden en softwaredownloadkanalen zijn: peer-to-peer-netwerken (zoals eMule) gratis bestandshostingwebsites, freeware downloadpagina's, externe downloaders enz. Vaak worden schadelijke bestanden vermomd als legitieme of onschadelijke bestanden. Wanneer gebruikers deze downloaden en uitvoeren, besmetten ze hun computers met malware. Softwarecracks zijn programma's die hun gebruikers zouden moeten helpen om de activering van betaalde software te omzeilen (gratis activeren). Meestal activeren dergelijke tools echter geen software. In plaats daarvan installeren ze gewoon schadelijke software zoals ransomware.

Hoe voorkomt u de installatie van malware?

Het wordt ten zeerste aanbevolen om irrelevante e-mails die werden verzonden vanaf onbekende en verdachte adressen niet te vertrouwen. Als deze bijlagen (of weblinks) bevatten, dan mogen die niet worden geopend. Het is de moeite waard om te vermelden dat e-mails van cybercriminelen vaak worden vermomd als belangrijke, officiële en legitieme berichten. Verder is het belangrijk om geïnstalleerde software alleen te updaten of te activeren met behulp van geïmplementeerde functies of tools van officiële softwareontwikkelaars. Meestal infecteren gebruikers die niet-officiële activators of updaters gebruiken hun computer met malware. Een ander probleem met onofficiële activators ('cracks') is dat het niet legaal is om deze te gebruiken om gelicentieerde software te activeren. Een andere manier om de installatie van schadelijke software te voorkomen, is door bestanden en software enkel te downloaden vanaf officiële websites. Downloaders van derden (en installatieprogramma's), niet-officiële pagina's en peer-to-peer-netwerken mogen niet worden vertrouwd. Tot slot moet elke computer regelmatig worden gescand met een gerenommeerde antispyware- of antivirussoftware. Dergelijke software moet altijd up-to-date zijn. Als uw computer al is geïnfecteerd met ongewenste apps, dan raden we u aan een scan uit te voeren met Combo Cleaner om deze automatisch te verwijderen.

Tekst in het pop-upvenster:

Your files are encrypted

 

Many of your important documents, photos, videos, images and other files are no longer accessible because they have been encrypted.

 

Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
We guarantee however that you can recover your files safely and easily and this will cost you 50 USD without any additional fees.

 

Our offer is valid FOR 3 DAYS (starting now!). Full details can be found in the file:  READ_ME_NOW.txt  located on your Desktop

Screenshot van het losgeldbericht "READ_ME_NOW.txt":

EvilQuest ransom note (READ_ME_NOW.txt)

Tekst in dit bericht:

YOUR IMPORTANT FILES ARE ENCRYPTED

 

Many of your documents, photos, videos, images and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your file without our decryption service.

 

We use 256-bit AES algorithm so it will take you more than a billion years to break this encryption without knowing the key (you can read Wikipedia about AES if you don't believe this statement).
Anyways, we guarantee that you can recover your files safely and easily. This will require us to use some processing power, electricity and storage on our side, so there's a fixed processing fee of 50 USD. This is a one-time payment, no additional fees included.
In order to accept this offer, you have to deposit payment within 72 hours (3 days) after receiving this message, otherwise this offer will expire and you will lose your files forever.
Payment has to be deposited in Bitcoin based on Bitcoin/USD exchange rate at the moment of payment. The address you have to make payment is:

                    13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7

 

Decryption will start automatically within 2 hours after the payment has been processed and will take from 2 to 5 hours depending on the processing power of your computer. After that all of your files will be restored.

 

THIS OFFER IS VALID FOR 72 HOURS AFTER RECEIVING THIS MESSAGE

Screenshot van bestanden versleuteld door EvilQuest:

Files encrypted by EvilQuest ransomware

Kwaadaardige installer van EvilQuest:

evilquest ransomware installer

Aan deze installer gerelateerde bestanden:

  • ~/Library/mixednkey/toolroomd
  • ~/Library/AppQuest/com.apple.questd
  • ~/Library/LaunchAgents/com.apple.questd.plist

Onthoud dat het downloaden van software op verdachte websites zoals ThePirateBay kan leiden tot allerlei systeembesmettingen:

EvilQuest ransomware distributed via Torrent sites

Onmiddellijke automatische Mac malware verwijdering: Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om Mac malware te verwijderen. Download het door op de onderstaande knop te klikken:
 ▼ DOWNLOAD Combo Cleaner voor Mac De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.

Snelmenu:

Verwijderen van mogelijk ongewenste applicaties:

Verwijder mogelijk ongewenste applicaties uit uw map "Applicaties":

mac browser hijacker removal from applications folder

Klik op het pictogram Finder. Selecteer in het Finder-venster "Applicaties". Zoek in de map met toepassingen naar "MPlayerX", "NicePlayer", of andere verdachte toepassingen en sleep ze naar de prullenbak. Na het verwijderen van de potentieel ongewenste toepassing(en) die online advertenties veroorzaken, scant u uw Mac op eventuele resterende ongewenste componenten.

Verwijder aan de evilquest virus gerelateerde bestanden en mappen:

Klik op het ga naar map commando

Klik op het Finder icoon, vanuit de menubalk kies je Ga en klik je op Ga naar map...

step1Controleer of er zich door de adware aangemaakte bestanden bevinden in de map /Library/LaunchAgents folder:

adware verwijderen uit de map launch agents stap 1

In de Ga naar map...-balk typ je: /Library/LaunchAgents

adware verwijderen uit de launch agents map stap 2In de map “LaunchAgents” zoek je naar recent toegevoegde verdachte bestanden en je verplaatst deze naar de prullenbak. Voorbeelden van bestanden aangemaakt door adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, enz. Adware installeert vaak bestanden met hetzelfde bestandsnaampatroon.

step2Controleer of er zich door adware aangemaakte bestanden bevinden in de map /Library/Application Support:

verwijder adware uit de map application support stap 1

In de Ga naar map...-balk typ je: /Library/Application Support

verwijder adware uit de map application support stap 2In de map “Application Support” zoek je naar recent toegevoegde verdachte mappen. Bijvoorbeeld “MplayerX” or “NicePlayer”, en je verplaatst deze mappen naar de prullenbak.

step3Controleer of er zich door adware aangemaakte bestanden bevinden in de map ~/Library/LaunchAgents:

adware verwijderen uit de map ~launch agents stap 1


In de Ga naar map...-balk typ je: ~/Library/LaunchAgents

adware verwijderen uit de map ~launch agents stap 2

In de map “LaunchAgents” zoek je naar recent toegevoegde verdachte bestanden en je verplaatst deze naar de prullenbak. Voorbeelden van bestanden aangemaakt door adware: “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, enz. Adware installeert vaak verschillende bestanden met hetzelfde bestandsnaampatroon.

step4Controleer of er zich door adware aangemaakte bestanden bevinden in de map /Library/LaunchDaemons:

adware verwijderen uit de map launch daemons stap 1In de Ga naar map...-balk typ je: /Library/LaunchDaemons

Adware verwijderen uit de map launch daemons folder stap 2In de map “LaunchDaemons” zoek je naar recent toegevoegde verdachte bestanden. Voorbeelden zijn: “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., en je verplaatst deze naar de prullenbak.

step 5 Scan uw Mac met Combo Cleaner:

Als u alle stappen in de juiste volgorde hebt gevolgd dan zou uw Mac nu helemaal virus- en malwarevrij moeten zijn. Om zeker te weten of uw systeem niet langer besmet is voert u best een scan uit met Combo Cleaner Antivirus. Download dit programma HIER. Na het downloaden van het bestand moet u dubbelklikken op het combocleaner.dmg installatiebestand, in het geopende venster sleept u het Combo Cleaner-icoon naar het Applicaties-icoon. Nu opent u launchpad en klikt u op het Combo Cleaner-icoon. Wacht tot Combo Cleaner de virusdefinities heeft bijgewerkt en klik vervolgens op de knop 'Start Combo Scan'.

scan-with-combo-cleaner-1

Combo Cleaner zal uw Mac scannen op malwarebesmettingen. Als de scan meldt 'geen bedreigingen gevonden' - dan betekent dit dat u verder de verwijderingsgids kunt volgen. In het andere geval is het aanbevolen alle gevonden besmettingen te verwijderen voor u verder gaat.

scan-with-combo-cleaner-2

Na het verwijderen van bestanden en mappen die werden aangemaakt door deze adware ga je verder met het verwijderen van frauduleuze extensies uit je internetbrowsers.

EvilQuest virus verwijderen uit de internetbrowsers:

safari browser iconKwaadaardige extensies verwijderen uit Safari:

Verwijder aan evilquest virus gerelateerde Safari extensies:

safari browser voorkeuren

Open de Safari-browser, vanuit de menubalk selecteer je "Safari" en klik je op "Voorkeuren...".

safari extensies venster

In het scherm met de voorkeuren selecteer je "Extensies" en zoek je naar recent geïnstalleerde verdachte extensies. Als je die gevonden hebt klik je op de "Verwijderen"-knop er net naast. Merk op dat je veilig alle extensies kunt verwijderen uit de Safari-browser, ze zijn niet noodzakelijk voor een goede werking van de browser.

  • Als je problemen blijft hebben met browser doorverwijzingen en ongewenste advertenties lees je hier hoe Safari te resetten.

firefox browser iconKwaadaardige plug-ins verwijderen uit Mozilla Firefox:

Verwijder aan evilquest virus gerelateerde Mozilla Firefox add-ons:

toegang verkrijgen tot de mozilla firefox add-ons

Open je Mozilla Firefox-browser. In de rechterbovenhoek van het scherm klik je op de "Menu openen"-knop (met de drie horizontale lijnen). Uit het geopende menu selecteer je "Add-ons".

verwijder kwaadaardige add-ons uit mozilla firefox

Kies het tabblad "Extensies" en zoek naar recent geïnstalleerde verdachte add-ons. Eens gevonden klik je op de "Verwijderen"-knop er net naast. Merk op dat je veilig alle extensies uit je Mozilla Firefox-browser kunt verwijderen - ze zijn niet noodzakelijk voor de goede werking van de browser.

  • Als je problemen blijft ervaren met browser doorverwijzingen en ongewenste advertenties kun je ook Mozilla Firefox resetten.

chrome-browser-iconKwaadaardige extensies verwijderen uit Google Chrome:

Verwijder aan evilquest virus gerelateerde Google Chrome add-ons:

verwijder kwaadaardige extensies uit google chrome stap 1

Open Google Chrome en klik op de "Chrome menu"-knop (drie horizontale lijnen) gesitueerd in de rechterbovenhoek van het browserscherm. In het uitklapmenu selecteer je "Meer tools" en vervolgens "Extensies".

verwijder kwaadaardige extensies uit Google Chrome stap 2

In het scherm "Extensies" zoek je naar recent geïnstalleerde verdachte add-ons. Als je die gevonden hebt klik je op de "Prullenbak"-knop er net naast. Merk op dat je veilig alle extensies uit je Google Chrome-browser kunt verwijderen. Ze zijn niet noodzakelijk voor een goede werking van de browser.

  •  Als je problemen blijft ervaren met browser doorverwijzingen en ongewenste advertenties kun je ook Google Chrome resetten.

▼ Toon discussie

Over de auteur:

Tomas Meskauskas

Ik ben gepassioneerd door computerbeveiliging en -technologie. Ik ben al meer dan 10 jaar werkzaam in verschillende bedrijven die op zoek zijn naar oplossingen voor computertechnische problemen en internetbeveiliging. Ik werk sinds 2010 als auteur en redacteur voor PCrisk. Volg mij op Twitter en LinkedIn om op de hoogte te blijven van de nieuwste online beveiligingsrisico's. Lees meer over de auteur.

Het PCrisk-beveiligingsportal is een samenwerking van verschillende beveiligingsonderzoekers om computergebruikers te informeren over de nieuwste online beveiligingsrisico's. Meer informatie over de auteurs en onderzoekers van PCrisk vindt u op onze contact-pagina.

Onze richtlijnen voor het verwijderen van malware zijn gratis. Als u ons echter wilt steunen, kunt u ons een donatie sturen.

Over ons

PCrisk is een cyberbeveiligingsportaal dat internetgebruikers informeert over de nieuwste digitale bedreigingen. Onze inhoud wordt verstrekt door beveiligingsexperts en professionele malware onderzoekers. Lees meer over ons.

Verwijderingsinstructies in andere talen
Nieuwe virus verwijderingsrichtlijnen
Top virus verwijderingsrichtlijnen
QR Code
EvilQuest virus QR code
Scan deze QR code om een snelle toegang te hebben tot de verwijderingsgids van EvilQuest virus op je mobiele toestel.
Wij raden aan:

Verwijder vandaag nog Mac malware infecties:

▼ VERWIJDER HET NU
Download Combo Cleaner voor Mac

Platform: macOS

Beoordeling van de redactie voor Combo Cleaner:
Oordeel van de redactieUitmuntend!

[Terug naar boven]

De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer.