มีอะไรเลวร้ายไปกว่าแรนซัมแวร์? มัลแวร์ที่แอบอ้างเป็นแรนซัมแวร์แต่ทำงานเป็นมัลแวร์อื่นในเบื้องหลัง มัลแวร์ประเภทนี้ร้ายกาจมากเนื่องจากมีองค์ประกอบที่ชี้ทางผิด ในขณะที่เหยื่อกำลังยุ่งอยู่กับการพยายามหาวิธีแก้ไขการติดมัลแวร์เรียกค่าไถ่ มัลแวร์ตัวจริงสามารถทำสิ่งนั้นได้อย่างอิสระในเบื้องหลังโดยไม่ถูกตรวจจับ
นี่เป็นกรณีของ EvilQuest ransomware เนื่องจากง่ายต่อการตรวจจับเมื่อ Mac มี EvilQuest ransomware จึงง่ายกว่าสำหรับมัลแวร์จริงที่จะทำงาน เนื่องจากผู้ใช้มุ่งเน้นไปที่ ransomware แบบ Smokescreen
EvilQuest Ransomware บน Mac คืออะไร
EvilQuest ransomware หรือที่รู้จักในชื่อ ThiefQuest เป็นหนึ่งใน ransomware สายพันธุ์ใหม่ล่าสุดที่ค้นพบเมื่อเดือนมิถุนายน 2020 ที่ผ่านมา โดยปกติแล้วจะมาพร้อมกับสำเนาของแอพพลิเคชั่น Mac ยอดนิยมที่ละเมิดลิขสิทธิ์ รวมถึง Little Snitch, Mixed in Key และ Ableton Live นอกจากการรวมกลุ่มแอปแล้ว ยังพบว่าโปรแกรม Google Software Update น่ารังเกียจอีกด้วย
EvilQuest ทำงานโดยเข้ารหัสเอกสารและไฟล์ของเหยื่อโดยใช้อัลกอริธึมการเข้ารหัสที่แข็งแกร่ง คุณจะได้รับการแจ้งเตือนเมื่อมี ransomware เมื่อคุณได้รับข้อความป๊อปอัปนี้:
ไฟล์ของคุณได้รับการเข้ารหัส
เอกสาร รูปภาพ วิดีโอ รูปภาพ และไฟล์อื่นๆ ที่สำคัญของคุณไม่สามารถเข้าถึงได้อีกต่อไปเนื่องจากได้รับการเข้ารหัสแล้ว
บางทีคุณอาจกำลังยุ่งอยู่กับการค้นหาวิธีกู้คืนไฟล์ของคุณ แต่อย่าเสียเวลา ไม่มีใครสามารถกู้คืนไฟล์ของคุณได้หากไม่มีบริการถอดรหัสของเรา
อย่างไรก็ตาม เรารับประกันว่าคุณสามารถกู้คืนไฟล์ของคุณได้อย่างปลอดภัยและง่ายดาย ซึ่งจะมีค่าใช้จ่าย 50 USD โดยไม่มีค่าธรรมเนียมเพิ่มเติม
ข้อเสนอของเรามีอายุ 3 วัน (เริ่มตั้งแต่วันนี้!) รายละเอียดทั้งหมดสามารถพบได้ในไฟล์:READ_ME_NOW.txt ที่อยู่บนเดสก์ท็อปของคุณ
นอกจากนี้ยังมีข้อความเรียกค่าไถ่ชื่อ READ_ME_NOW.txt บันทึกย่อจะย้ำถึงสิ่งที่กล่าวไปแล้วในข้อความป๊อปอัป จากนั้นจึงเพิ่มรายละเอียดเพิ่มเติมเกี่ยวกับการชำระเงิน:
เราใช้อัลกอริทึม AES 256 บิต ดังนั้นคุณจะใช้เวลามากกว่าหนึ่งพันล้านปีในการทำลายการเข้ารหัสนี้โดยไม่ทราบคีย์ (คุณสามารถอ่าน Wikipedia เกี่ยวกับ AES ได้หากคุณ อย่าเชื่อคำกล่าวนี้)
อย่างไรก็ตาม เรารับประกันว่าคุณสามารถกู้คืนไฟล์ของคุณได้อย่างปลอดภัยและง่ายดาย การดำเนินการนี้จะทำให้เราต้องใช้พลังงานในการประมวลผล ไฟฟ้า และการจัดเก็บบางส่วน ดังนั้นจึงมีค่าธรรมเนียมการดำเนินการคงที่ 50 USD นี่คือการชำระเงินแบบครั้งเดียว ไม่รวมค่าธรรมเนียมเพิ่มเติม
ในการยอมรับข้อเสนอนี้ คุณต้องฝากเงินภายใน 72 ชั่วโมง (3 วัน) หลังจากได้รับข้อความนี้ มิฉะนั้น ข้อเสนอนี้จะหมดอายุและคุณจะสูญเสีย ไฟล์ตลอดไป
ต้องชำระเงินเป็น Bitcoin ตามอัตราแลกเปลี่ยน Bitcoin/USD ในขณะที่ชำระเงิน ที่อยู่ที่ท่านต้องชำระเงินคือ:
13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
การถอดรหัสจะเริ่มโดยอัตโนมัติภายใน 2 ชั่วโมงหลังจากดำเนินการชำระเงินแล้ว และจะใช้เวลา 2 ถึง 5 ชั่วโมงขึ้นอยู่กับกำลังประมวลผลของคอมพิวเตอร์ของคุณ หลังจากนั้นไฟล์ทั้งหมดของคุณจะถูกกู้คืน
ข้อเสนอนี้ใช้ได้เป็นเวลา 72 ชั่วโมงหลังจากได้รับข้อความนี้
มากกว่าแรนซัมแวร์
เมื่อคุณดูที่หมายเหตุเรียกค่าไถ่ คุณจะสังเกตเห็นค่าไถ่ที่ต่ำมากในทันที มันเล็กน้อยมากเมื่อเทียบกับค่าไถ่ 980 ดอลลาร์ที่เรียกร้องโดยแรนซัมแวร์ตัวแปรจากตระกูลแรนซัมแวร์ STOP/Djvu หรือค่าไถ่ 4,000 ถึง 8,000 ดอลลาร์ของมัลแวร์ Locky นอกจากนี้ คุณจะสังเกตเห็นว่าไม่มีข้อมูลติดต่อในบันทึกย่อ ดังนั้นจึงไม่มีทางที่เหยื่อจะติดต่อกับผู้โจมตีได้
สิ่งนี้ทำให้คุณสงสัยว่าผู้โจมตีจริงจังกับเรื่องทั้งหมดหรือไม่ การขอค่าไถ่ 50 เหรียญดูเหมือนเป็นเรื่องตลก ทำให้ผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากสงสัยเกี่ยวกับลักษณะที่แท้จริงของมัลแวร์นี้ และหลังจากการวิเคราะห์เพิ่มเติม นักวิจัยด้านความปลอดภัยก็สามารถยืนยันได้ว่า EvilQuest Ransomware เป็นมากกว่าแรนซัมแวร์
มันมีฟังก์ชั่นและความสามารถที่เหนือกว่าการเข้ารหัสไฟล์และขอค่าไถ่ที่เลวทรามต่ำช้า เมื่อมองใกล้ขึ้น ปรากฎว่า EvilQuest ยังมาพร้อมกับฟังก์ชันการล็อกคีย์และการขโมยข้อมูล มันสามารถรวบรวมรูปภาพของคุณ เอกสารข้อความประเภทต่างๆ ฐานข้อมูล การนำเสนอ สเปรดชีต กระเป๋าเงินคริปโต การสำรองข้อมูล และข้อมูลสำคัญอื่นๆ มัลแวร์ยังสามารถระบุได้ด้วยว่ากำลังทำงานอยู่ในเครื่องเสมือนหรือไม่ และมีการติดตั้งโซลูชันการรักษาความปลอดภัยใดอยู่ ทำให้สามารถใช้กลยุทธ์การคงอยู่ที่หลากหลายได้
เมื่อแรนซัมแวร์สแกนระบบของคุณและพบข้อมูลที่ตรงกับรูปแบบข้อมูลใดๆ แรนซัมแวร์จะเชื่อมต่ออย่างลับๆ กับบริการคำสั่งของตนโดยเปิดเชลล์แบบย้อนกลับ มัลแวร์ใช้สิ่งนี้เป็นแบ็คดอร์เพื่อดาวน์โหลดไฟล์เพิ่มเติมบน Mac ของคุณและส่งออกข้อมูลที่รวบรวมโดยที่คุณไม่รู้ตัว มัลแวร์ทำเช่นนี้ในขณะที่ล็อกไฟล์ระบบบางไฟล์พร้อมกัน ทำให้เบี่ยงเบนความสนใจของคุณไปจากสิ่งที่ทำอยู่จริง
นี่คือส่วนขยายบางส่วนที่เข้ารหัสโดยแรนซัมแวร์นี้:
.pdf, .doc, .txt, .jpg, .pem, .pages, .cer, .py, .h, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .keynote, .js , .crt, .php, .m, .hpp, .pptx, .cpp, .cs, .sqlite3, .pl, .p, .p3, .wallet, .html, .dat และอื่นๆ
วิธีการลบ EvilQuest Ransomware จาก Mac
โชคดีที่ตอนนี้ซอฟต์แวร์รักษาความปลอดภัยจำนวนมากสามารถตรวจจับแรนซัมแวร์ EvilQuest และล้างข้อมูลออกจาก Mac ของคุณได้ คุณสามารถใช้โปรแกรมป้องกันไวรัสเพื่อลบทั้งแรนซัมแวร์และฟังก์ชัน "พิเศษ" (ฟังก์ชันเชลล์ย้อนกลับและคีย์ล็อกเกอร์) ออกจากคอมพิวเตอร์ของคุณ Malwarebytes เป็นหนึ่งในเครื่องมือที่มีประสิทธิภาพในการลบ EvilQuest Mac ransomware ค่าไถ่ของ Wardle ที่ไหน? เครื่องมือยังสามารถตรวจจับและหยุดกระบวนการเข้ารหัสที่เป็นอันตรายโดย EvilQuest ransomware ขออภัย การใช้เครื่องมือเหล่านี้อาจทำให้ข้อมูลสูญหายได้อย่างมาก หากคุณไม่มีไฟล์สำรอง
หากคุณไม่มีสำเนาของไฟล์ คุณสามารถใช้ตัวถอดรหัส EvilQuest ที่เพิ่งเปิดตัวโดย SentinelOne คุณสามารถดูวิดีโอสาธิตได้ที่นี่เพื่อช่วยให้คุณทราบวิธีใช้งาน อย่างไรก็ตาม คุณยังต้องลบแรนซัมแวร์ออกจากคอมพิวเตอร์ของคุณและล้างข้อมูล Mac ของคุณก่อนที่จะใช้ตัวถอดรหัสลับนี้ เนื่องจากจะเป็นการปลดล็อกไฟล์ของคุณเท่านั้นและจะไม่ลบมัลแวร์ออก
สรุป
มัลแวร์มีความคิดสร้างสรรค์และซับซ้อนมากขึ้นในทุกวันนี้ ซึ่งเป็นเรื่องยากที่จะจัดตามหมวดหมู่อย่างเคร่งครัด EvilQuest ransomware เป็นตัวอย่างที่ดีของสถานการณ์นี้ ดังนั้น หากคุณได้รับการแจ้งเตือนว่า Mac ของคุณติดมัลแวร์ประเภทใดก็ตาม ตรวจสอบให้แน่ใจว่าคุณได้สแกนคอมพิวเตอร์ของคุณอย่างละเอียดและลบร่องรอยของมัลแวร์ที่เป็นอันตรายทั้งหมดในระบบของคุณ