랜섬웨어보다 더 나쁜 것은? 랜섬웨어로 위장하지만 백그라운드에서 다른 멀웨어로 작동하는 멀웨어입니다. 이러한 유형의 맬웨어는 잘못된 방향 구성 요소로 인해 매우 교활합니다. 피해자가 랜섬웨어 감염을 해결하는 방법을 찾기 위해 분주하지만 실제 악성코드는 탐지되지 않고 백그라운드에서 자유롭게 제 작업을 수행할 수 있습니다.
이것은 EvilQuest 랜섬웨어의 경우입니다. Mac에 EvilQuest 랜섬웨어가 있을 때 탐지하기 쉽기 때문에 사용자가 연막 랜섬웨어에 집중하기 때문에 실제 맬웨어가 작동하기 쉽습니다.
Mac의 EvilQuest Ransomware란 무엇입니까
ThiefQuest라고도 알려진 EvilQuest 랜섬웨어는 2020년 6월에 발견된 최신 랜섬웨어 변종 중 하나입니다. 일반적으로 Little Snitch, Mixed in Key 및 Ableton Live를 비롯한 인기 있는 Mac 애플리케이션의 불법 복제 복사본과 함께 번들로 제공됩니다. 앱 번들 외에도 Google 소프트웨어 업데이트 프로그램으로 역겨운 것으로 밝혀졌습니다.
EvilQuest는 강력한 암호화 알고리즘을 사용하여 피해자의 문서와 파일을 암호화하여 작동합니다. 다음 팝업 메시지가 표시되면 랜섬웨어가 있음을 알려줍니다.
파일이 암호화됩니다.
많은 중요한 문서, 사진, 동영상, 이미지 및 기타 파일이 암호화되어 더 이상 액세스할 수 없습니다.
파일 복구 방법을 찾기 위해 바쁘겠지만 시간을 낭비하지 마십시오. 우리의 암호 해독 서비스 없이는 누구도 파일을 복구할 수 없습니다.
하지만 파일을 안전하고 쉽게 복구할 수 있으며 추가 비용 없이 50달러의 비용이 듭니다.
저희 제안은 3일 동안 유효합니다(지금부터!). 전체 세부정보는 데스크톱에 있는 READ_ME_NOW.txt 파일에서 찾을 수 있습니다.
또한 READ_ME_NOW.txt라는 이름의 몸값 메모를 삭제합니다. 메모는 팝업 메시지에 이미 언급된 내용을 반복한 다음 지불에 대한 자세한 내용을 추가합니다.
우리는 256비트 AES 알고리즘을 사용하므로 키를 모른 채 이 암호화를 해제하는 데 10억 년 이상이 걸립니다(AES에 대한 Wikipedia를 읽을 수 있는 경우 이 말을 믿지 마세요).
어쨌든 파일을 안전하고 쉽게 복구할 수 있음을 보증합니다. 이를 위해서는 처리 능력, 전기 및 저장 장치를 당사 측에서 사용해야 하므로 고정 처리 수수료가 미화 50달러입니다. 일회성 결제이며 추가 비용은 포함되어 있지 않습니다.
이 제안을 수락하려면 이 메시지를 받은 후 72시간(3일) 이내에 입금해야 합니다. 파일을 영원히 보관할 수 있습니다.
결제는 결제 시점의 비트코인/USD 환율을 기준으로 비트코인으로 입금되어야 합니다. 지불해야 하는 주소는 다음과 같습니다.
13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
암호 해독은 결제가 처리된 후 2시간 이내에 자동으로 시작되며 컴퓨터의 처리 능력에 따라 2~5시간이 소요됩니다. 그 후에 모든 파일이 복원됩니다.
이 제안은 이 메시지를 받은 후 72시간 동안 유효합니다.
랜섬웨어 이상
랜섬 노트를 보면 매우 낮은 랜섬 요금을 즉시 알 수 있습니다. STOP/Djvu 랜섬웨어 제품군의 랜섬웨어 변종에서 요구하는 980달러의 랜섬 요금이나 Locky 악성코드의 4,000~8,000달러의 랜섬 요금에 비하면 매우 미미한 수준입니다. 또한 메모에는 연락처 정보가 기재되어 있지 않으므로 피해자가 공격자에게 연락할 방법이 없습니다.
이것은 공격자가 전체에 대해 진지한 것인지 궁금하게 만듭니다. 몸값으로 50달러를 요구하는 것은 농담처럼 들리므로 많은 보안 전문가가 이 멀웨어의 본질에 대해 의구심을 갖게 됩니다. 그리고 추가 분석을 통해 보안 연구원들은 EvilQuest Ransomware가 단순한 랜섬웨어가 아님을 확인할 수 있었습니다.
그것은 파일을 암호화하고 그 값비싼 몸값을 요구하는 것 이상의 기능과 능력을 가지고 있습니다. 자세히 살펴보면 EvilQuest에는 키로깅 및 데이터 도용 기능도 함께 제공됩니다. 이미지, 다양한 유형의 텍스트 문서, 데이터베이스, 프레젠테이션, 스프레드시트, 암호화 지갑, 백업 및 기타 민감한 데이터를 수집할 수 있습니다. 멀웨어는 또한 현재 가상 머신에서 실행 중인지 여부와 현재 설치된 보안 솔루션을 확인할 수 있어 다양한 지속성 전략을 구현할 수 있습니다.
랜섬웨어가 시스템을 스캔하고 데이터 형식과 일치하는 데이터를 찾으면 리버스 셸을 열어 즉시 명령 서비스에 은밀하게 연결합니다. 멀웨어는 이를 백도어로 사용하여 Mac에 추가 파일을 다운로드하고 사용자 모르게 수집된 데이터를 내보냅니다. 멀웨어는 동시에 일부 시스템 파일을 잠그면서 실제로 수행하는 작업에서 사용자의 주의를 분산시킵니다.
다음은 이 랜섬웨어에 의해 암호화된 확장 기능 중 일부입니다.
.pdf, .doc, .txt, .jpg, .pem, .pages, .cer, .py, .h, .webarchive, .zip, .xsl, .xslx, .docx, .ppt, .keynote, .js , .crt, .php, .m, .hpp, .pptx, .cpp, .cs, .sqlite3, .pl, .p, .p3, .wallet, .html, .dat 등.
Mac에서 EvilQuest Ransomware를 제거하는 방법
다행히 많은 보안 소프트웨어가 이제 EvilQuest 랜섬웨어를 탐지하고 Mac에서 제거할 수 있습니다. 바이러스 백신 프로그램을 사용하여 컴퓨터에서 랜섬웨어와 "추가" 기능(역 쉘 및 키로거 기능)을 모두 삭제할 수 있습니다. Malwarebytes는 EvilQuest Mac 랜섬웨어를 제거하는 효과적인 도구 중 하나입니다. Wardle의 몸값어디? 이 도구는 EvilQuest 랜섬웨어에 의한 악성 암호화 프로세스를 탐지하고 중지할 수도 있습니다. 유감스럽게도 이러한 도구를 사용하면 파일 백업이 없는 경우 상당한 데이터 손실이 발생할 수 있습니다.
파일 사본이 없는 경우 최근 SentinelOne에서 출시한 EvilQuest 암호 해독기를 사용할 수 있습니다. 여기에서 데모 비디오를 확인하여 사용 방법을 알아낼 수 있습니다. 그러나 이 암호 해독기를 사용하기 전에 컴퓨터에서 랜섬웨어를 제거하고 Mac을 정리해야 합니다. 이렇게 하면 파일만 잠금 해제되고 맬웨어는 제거되지 않기 때문입니다.
요약
요즘 악성코드가 점점 더 창의적이고 정교해지면서 카테고리에 엄밀히 정의하기가 어려워졌습니다. EvilQuest 랜섬웨어가 이러한 상황의 좋은 예입니다. 따라서 Mac이 모든 유형의 맬웨어에 감염되었다는 알림을 받은 경우에는 그대로 두십시오. 컴퓨터를 철저히 검사하고 시스템에서 악성 멀웨어의 흔적을 모두 제거하십시오.