FacebookTwitterLinkedIn

Como desinstalar o ransomware EvilQuest de um computaodor?

Também Conhecido Como: vírus EvilQuest
Nível de Estragos: Grave

Como remover EvilQuest do Mac?

O que é ransomware EvilQuest?

A pessoa que descobriu o EvilQuest é Dinesh_Devadoss. Como muitos outros programas maliciosos deste tipo, o EvilQuest encripta os ficheiros das vítimas e cria uma nota de resgate. Na maioria dos casos, malware deste tipo modifica os nomes dos ficheiros encriptados ao anexar uma certa extensão, embora este ransomware os mantenha inalterados. liberta o "READ_ME_NOW.txt" em todas as pastas que contêm dados encriptados e exibe outra nota de resgate numa janela pop-up. Além disso, este malware é capaz de detectar se determinados ficheiros estão armazenados num computador, operar como um keylogger e receber alguns comandos do servidor Command & Control.

Nota de resgate do EvilQuest (janela pop-up)

Conforme explicado nas notas do resgate do EvilQuest, este ransomware garante que as vítimas não possam aceder documentos, fotos, vídeos, imagens e outros ficheiros ao encriptá-los no algoritmo AES-256. Para poder aceder os seus ficheiros novamente, as vítimas supostamente usam o serviço de desencriptação que custa $50, um pagamento deve ser feito transferindo a quantidade equivalente de Bitcoin para o endereço da carteira BTC fornecido. Afirma-se que as vítimas têm 72 horas para efetuar um pagamento; depois disso, não será mais possível desencriptar os ficheiros encriptados. Os ficheiros devem ser desencriptados dentro de 2 horas após o pagamento. Para resumir, as vítimas são informadas que é impossível desencriptar os ficheiros sem ter que pagar um resgate. Infelizmente, é verdade: a maioria dos programas do tipo ransomware encripta ficheiros com fortes algoritmos de encriptação e criminosos cibernéticos por trás dsão os únicos que têm as ferramentas que podem desencriptar os ficheiros das vítimas. No entanto, é altamente recomendável não confiar nem nestes nem noutros criminosos cibernéticos por trás do ataque de ransomware - na maioria das vezes as vítimas que pagam um resgate não recebem nada em troca. Por outras palavras, são enganados. Nestes casos, a única maneira gratuita de recuperar os ficheiros é restaurá-los a partir de uma cópia de segurança. Além disso, é possível impedir que o ransomware instalado cause mais encriptações (ao encriptar os ficheiros não encriptados) desao instalar-o. No entanto, os ficheiros encriptados permanecem inacessíveis, mesmo após a desinstalação. Conforme mencionado na introdução, o EvilQuest pode detectar alguns ficheiros, como .wallet.pdf, wallet.png, * .p12 e key.png. Além disso, é possível receber comandos do servidor Command & Control e executá-los, registar teclas premidass e executar módulos diretamente da memória. O recurso de registo de chaves permite que criminosos cibernéticos gravem teclas premidas, o que significa que o EvilQuest pode ser usado para roubar informações confidenciais digitadas, como detalhes de cartão de crédito, nomes de utilizador, palavras-passe e assim por diante. Essas informações podem ser usadas indevidamente para roubar identidades, contas, fazer transações fraudulentas, compras e para outros fins maliciosos.

Resumo da Ameaça:
Nome vírus EvilQuest
Tipo de Ameaça Ransomware, Vírus Crypto, Arquivo de Ficheiros
Mensagem de Resgate Exigente READ_ME_NOW.txt, janela pop-up
Montante do Resgate $50 em Bitcoins
Endereço da carteira BTC 13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Nomes de Detecção Ad-Aware (Trojan.GenericKD.34092962), BitDefender (Trojan.GenericKD.34092962), ESET-NOD32 (OSX/Filecoder.I), Microsoft (Ransom:MacOS/Filecoder.YA!MTB), Lista Completa de Detecções (VirusTotal)
Sintomas Não é possível abrir os ficheiros armazenados no seu computador; os ficheiros anteriormente funcionais têm agora uma extensão diferente (por exemplo, my.docx.locked). Uma mensagem de pedido de resgate é exibida na sua área de trabalho. Os criminosos cibernéticos exigem o pagamento de um resgate (geralmente em bitcoins) para desbloquear os seus ficheiros.
Informação Adicional Não há como entrar em contato com criminosos cibernéticos por trás deste ransomware
Métodos de Distribuição Anexos de email infectados (macros), sites de torrent, os anúncios maliciosos.
Danos Todos os ficheiros foram encriptados e não podem ser abertos sem pagar um resgate. Os trojans adicionais para roubar palavras-passe e infecções por malware podem ser instalados juntamente com uma infecção por ransomware.
Remoção do Malware (Mac)

Para eliminar possíveis infecções por malware, verifique o seu Mac com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner.
▼ Descarregar Combo Cleaner para Mac
O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias de teste grátis limitado disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.

Vale ressalvar que, na maioria dos casos, o ransomware tem como alvo os sistemas operativos Windows, eis alguns exemplos de outros malwares deste tipo: Lxhlp, Zida e .HOW. Normalmente, encripta ficheiros e exibe e/ou cria algumas notas de resgate e as únicas diferenças principais são o preço de uma desencriptação (tamanho de um resgate) e o algoritmo de encriptação (simétrica ou assimétrica) que o ransomware usa para tornar os ficheiros inacessíveis. As vítimas podem restaurar ficheiros gratuitamente/sem ter que entrar em contato e pagar criminosos cibernéticos somente quando o ransomware tiver algumas vulnerabilidades (bugs, falhas). Infelizmente, isso não acontece com frequência e a única maneira de recuperar os ficheiros após o ataque ao ransomware é restaurá-los a partir de uma cópia de segurança. Portanto, é recomendável sempre ter uma cópia de segurança de dados e mantê-lo armazenado num servidor remoto (como Cloud) ou dispositivo de armazenamento desconectado.

Como é que o ransomware foi instalado no meu computador?

As pesquisas demonstram que este ransomware específico é distribuído através de versões piratas do popular software macOS, um dos exemplos é a versão pirata do software Mix In Key. Normalmente, o software pirata está disponível para descarregamento em vários sites de torrent e outras páginas de descarregamento não confiáveis. Outras maneiras populares que os criminosos cibernéticos usam para proliferar ransomware (e outros malwares) são campanhas de spam, trojans, atualizadores de software falsos, outras fontes/canais de descarregamento de software questionáveis ou ferramentas de 'cracking' de software para isso. No primeiro caso, enviam e-mails que contêm anexos maliciosos ou links da Web projetados para descarregar ficheiros maliciosos. O seu principal objetivo é enganar os destinatários para abrir um ficheiro/anexo malicioso que causaria a instalação de um software malicioso. Alguns exemplos de ficheiros que os criminosos cibernéticos anexam aos seus e-mails são Microsoft Office, documentos PDF maliciosos, ficheiros compactados (como RAR, ZIP), ficheiros executáveis (como .exe) e ficheiros JavaScript. Os trojans são programas maliciosos que podem causar danos, basta instalar outros malwares - após a instalação, causam infecções em cadeia. Os atualizadores de software falsos (não oficiais) são causados pela instalação de programas maliciosos em vez das correções das atualizações ou pela exploração de bugs, falhas de software desatualizado instalado no computador do utilizador. Exemplos de ficheiros não confiáveis, canais de descarregamento de software são sites de hospedagem de ficheiros gratuitos de redes peer-to-peer (como o eMule), páginas de descarregamento de freeware, descarregamento de terceiros e outras fontes deste tipo. Regra geral, ficheiros maliciosos são disfarçados como regulares, inofensivos. Quando os utilizadores os descarregam e os executam, infectam os computadores com algum malware. As ferramentas de 'cracking' de software são programas que deveriam ajudar os seus utilizadores a ignorar a ativação de algum software licenciado (ativá-lo gratuitamente). No entanto, na maioria das vezes, essas ferramentas não ativam nenhum software. Em vez de fazer isso, simplesmente instalam algum software malicioso, por exemplo, ransomware.

Como evitar a instalação de malware?

É altamente recomendável não confiar em emails irrelevantes recebidos de endereços desconhecidos e suspeitos. Se contiverem anexos (ou links da web), não deverão ser abertos. Vale ressalvar que os e-mails enviados por criminosos cibernéticos geralmente são disfarçados de importantes, oficiais e legítimos. Além disso, é importante atualizar e/ou ativar o software instalado apenas com funções ou ferramentas implementadas por desenvolvedores oficiais de software. Na maioria das vezes, os utilizadores que usam ativadores ou atualizadores não oficiais infectam os seus computadores com algum malware. Outro problema com ativadores não oficiais (ferramentas de 'cracking') é que não é legal usá-los para ativar qualquer software licenciado. Outra maneira de evitar a instalação de software malicioso é descarregar ficheiros, os programas apenas de sites oficiais. Descarregadores (e instaladores) de terceiros, páginas não oficiais e redes peer-to-peer não devem ser confiáveis. E, finalmente, qualquer computador deve ser verificado regularmente com um conjunto anti-spyware ou antivírus respeitável; este software deve estar sempre atualizado. Se o seu computador já estiver infectado com APIs, recomendamos executar uma verificação com Combo Cleaner para eliminá-las automaticamente.

Texto numa janela pop-up:

Your files are encrypted

Many of your important documents, photos, videos, images and other files are no longer accessible because they have been encrypted.

Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
We guarantee however that you can recover your files safely and easily and this will cost you 50 USD without any additional fees.

Our offer is valid FOR 3 DAYS (starting now!). Full details can be found in the file:  READ_ME_NOW.txt  located on your Desktop

Screenshot da nota de resgate "READ_ME_NOW.txt":

Nota de resgate do EvilQuest (READ_ME_NOW.txt)

Texto nesta nota:

YOUR IMPORTANT FILES ARE ENCRYPTED

 

Many of your documents, photos, videos, images and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your file without our decryption service.

We use 256-bit AES algorithm so it will take you more than a billion years to break this encryption without knowing the key (you can read Wikipedia about AES if you don't believe this statement).
Anyways, we guarantee that you can recover your files safely and easily. This will require us to use some processing power, electricity and storage on our side, so there's a fixed processing fee of 50 USD. This is a one-time payment, no additional fees included.
In order to accept this offer, you have to deposit payment within 72 hours (3 days) after receiving this message, otherwise this offer will expire and you will lose your files forever.
Payment has to be deposited in Bitcoin based on Bitcoin/USD exchange rate at the moment of payment. The address you have to make payment is:

 

                    13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7

 

Decryption will start automatically within 2 hours after the payment has been processed and will take from 2 to 5 hours depending on the processing power of your computer. After that all of your files will be restored.

 

THIS OFFER IS VALID FOR 72 HOURS AFTER RECEIVING THIS MESSAGE

Screenshot dos ficheiros encriptados pelo EvilQuest:

Ficheiros encriptados pelo ransomware EvilQuest

Instalador malicioso projetado para instalar EvilQuest:

instalador do ransomware evilquest

Lista de ficheiros relacionados a este instalador:

  • ~/Library/mixednkey/toolroomd
  • ~/Library/AppQuest/com.apple.questd
  • ~/Library/LaunchAgents/com.apple.questd.plist

Lembre-se que o descarregamento de software de sites questionáveis de Torrent (como ThePirateBay) provavelmente leva a várias infecções do sistema:

ransomware EvilQuest distribuído através de sites de Torrent

Remoção automática instantânea do malware Mac: A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware Mac. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner para Mac O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias de teste grátis limitado disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Remoção das aplicações potencialmente indesejadas:

Remova as aplicações potencialmente indesejadas da pasta "Aplicações":

Remoção do sequestrador de navegador mac da pasta de aplicações

Clique no ícone do Finder. Na janela do Finder, selecione "Aplicações". Na pasta de aplicações, procure por "MPlayerX", "NicePlayer" ou outras aplicações suspeitas e arraste-as para a Reciclagem. Depois de remover as aplicações potencialmente indesejadas que causam anúncios on-line, verifique se há componentes indesejados restantes no seu Mac.

Remova os ficheiros e pastas relacionados a vírus evilquest:

Ir a Finder na pasta de comandos

Clique no ícone do Finder, no menu de barras. Escolha Ir, e clique em Ir para Pasta...

step1Verifique por ficheiros gerados por adware na pasta /Library/LaunchAgents:

remoção do adware da pasta launch agents passo 1

Na pasta Ir para...barra, tipo: /Library/LaunchAgents

remoção do adware da pasta launch agents passo 2Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.

step2Verifique para adware gerado por ficheiros na pasta /Library/Application Support:

remoção do adware da aplicação support folder passo 1

Na pasta Ir para...barra, tipo: /Library/Application Support

remoção do adware da aplicação support folder passo 2Na pasta "Application Support", procure qualquer pasta suspeita recém-adicionada. Por exemplo, "MPlayerX" ou tese "NicePlayer" e mova as pastas para a Reciclagem.

step3Verifique por ficheiros gerados por adware na pasta ~/Library/LaunchAgents:

remoção do adware da pasta ~launch agents passo 1


Na barra Ir para Pasta, escreva: ~/Library/LaunchAgents

remoção do adware da pasta ~launch agents passo 2

Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.

step4Verifique por ficheiros gerados por adware na pasta /Library/LaunchDaemons:

remoção do adware da pasta launch daemons passo 1Na pasta Ir para...barra, tipo: /Library/LaunchDaemons

remoção do adware da pasta launch daemons passo 2

Na pasta "LaunchDaemons", procure qualquer ficheiro suspeito recém-adicionado. Por exemplo “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., e mova-os para a Reciclagem.

step 5 Verifique o seu Mac com o Combo Cleaner:

Se seguiu todas as etapas na ordem correta, o Mac deve estar livre de infecções. Para ter certeza de que seu sistema não está infectado, execute uma verificação com o Combo Cleaner Antivirus. Descarregue-o AQUI. Depois de descarregar o ficheiro, clique duas vezes no instalador combocleaner.dmg, na janela aberta, arraste e solte o ícone Combo Cleaner no topo do ícone Applications. Agora abra a sua barra de lançamento e clique no ícone Combo Cleaner. Aguarde até que o Combo Cleaner atualize seu banco de dados de definições de vírus e clique no botão "Start Combo Scan".

scan-with-combo-cleaner-1

O Combo Cleaner irá analisar o seu Mac em pesquisa de infecções por malware. Se a verificação antivírus exibir "nenhuma ameaça encontrada", isso significa que pode continuar com o guia de remoção, caso contrário, é recomendável remover todas as infecções encontradas antes de continuar.

scan-with-combo-cleaner-2

Depois de remover os ficheiros e pastas gerados pelo adware, continue a remover extensões fraudulentas dos seus navegadores de Internet.

Remoção do vírus evilquest dos navegadores de Internet:

safari browser iconRemova extensões fraudulentas do Safari:

Remova vírus evilquest as extensões relacionada ao Safari:

preferências do navegador Safari

Abra o navegador Safari, a partir do menu de barra, selecione "Safari" e clique em "Preferências ...".

janela de extensões Safari

Na janela de preferências, selecione "Extensões" e procure por qualquer extensão suspeita recém-instalada. Quando localizada clique no botão "Desinstalar" ao lado dela/delas. Note que pode desinstalar seguramente todas as extensões do seu navegador Safari - não são cruciais para o funcionamento normal do navegador.

  • Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Safari.

firefox browser iconRemova os plugins fraudulentos do Mozilla Firefox:

Remova vírus evilquest add-ons relacionados ao Mozilla Firefox:

Acedendo aos add-ons de Mozilla Firefox

Abra o navegador Mozilla Firefox. No canto superior direito do ecrã, clique no botão "Abrir Menu" (três linhas horizontais). No menu aberto, escolha "Add-ons".

Remova os add-ons fraudulentos do Mozilla Firefox

Escolha o separador "Extensões" e procure os complementos suspeitos recém-instalados. Quando localizado clique no botão "Desinstalar" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Mozilla Firefox - não são cruciais para o funcionamento normal do navegador.

Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Mozilla Firefox.

chrome-browser-iconRemova as extensões fraudulentas do Google Chrome:

Remova vírus evilquest add-ons relacionados ao Google Chrome:

removendo as extensões fraudulentas do Google Chrome passo 1

Abra o Google Chrome e clique no botão "menu Chrome" (três linhas horizontais), localizado no canto superior direito da janela do navegador. A partir do menu flutuante, escolha "Mais Ferramentas" e selecione "Extensões".

removendo as extensões fraudulentas do Google Chrome passo 2

Escolha a janela "Extensões" e procure os add-ons suspeitos recém-instalados. Quando localizado clique no botão "Reciclagem" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Google Chrome - não são cruciais para o funcionamento normal do navegador.

Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Google Chrome.

▼ Mostrar comentários

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Sobre nós

O PCrisk é um portal de cibersegurança, que informa os utilizadores da Internet sobre as últimas ameaças digitais. O nosso conteúdo é fornecido por especialistas em segurança e investigadores profissionais de malware. Leia mais sobre nós.

Instruções de remoção em outras línguas
Code QR
vírus EvilQuest Code QR
Digitalize o código QR para ter um guia de remoção de acesso fácil de vírus EvilQuest no seu dispositivo móvel.
Nós recomendamos:

Livre-se hoje das infecções por malware Mac:

▼ REMOVER AGORA
Descarregar Combo Cleaner para Mac

Plataforma: macOS

Classificação do editor para Combo Cleaner:
ClassificaçãoExcelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias de teste grátis limitado disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais.