Como desinstalar o ransomware Ncov do computador?

Também Conhecido Como: vírus Ncov
Distribuição: Baixo
Nível de Estragos: Grave

Instruções de remoção do ransomware ncov

O que é Ncov?

Ncov faz parte da família do ransomware Dharma. encripta os ficheiros das vítimas, altera os nomes dos ficheiros, cria um ficheiro de texto e exibe uma janela pop-up. O Ncov renomeia os ficheiros encriptados adicionando o ID da vítima, o endereço de email coronavirus@qq.com e ao anexar a extensão ".ncov" aos nomes dos ficheiros. Por exemplo, renomeia um ficheiro denominado "1.jpg" para "1.jpg.id-1E857D00.[coronavirus@qq.com].ncov" e assim por diante. Além disso, o Ncov cria o ficheiro de texto "FILES ENCRYPTED.txt" e exibe outra nota de resgate numa janela pop-up. As variantes atualizadas deste ransomware usam a extensão ".[bitcoin@email.tg].ncov" para ficheiros encriptados.

Conforme explicado na nota de resgate mostrada numa janela pop-up, as vítimas de Ncov precisam enviar aos desenvolvedores o ID designado para coronavirus@qq.com e aguardar mais instruções. Também podem anexar um ficheiro encriptado, e os seus desenvolvedores se oferecem para desencriptá-lo gratuitamente. É mencionado que o preço de uma ferramenta de desencriptação depende da rapidez com que as vítimas entrarão em contato com estes criminosos cibernéticos. Além disso, são avisados para não tentar renomear ficheiros encriptados e/ou desencriptá-los com algum software de terceiros, pois isso pode causar a perda de dados permanente. Regra geral, os criminosos cibernéticos por trás de um ransomware específico são os únicos que possuem uma ferramenta de desencriptação e/ou chave que pode desencriptar os ficheiros encriptados por ele. Esse também é o caso de Ncov. O problema é que as vítimas que confiam em criminosos cibernéticos (pagos) geralmente são enganadas. Por outras palavras, as vítimas não recebem uma ferramenta de desencriptação (e/ou chave), mesmo que paguem um resgate. Portanto, não é possível confiar em criminosos cibernéticos. Infelizmente, não há outras ferramentas que possam desencriptar os ficheiros encriptados pelo Ncov, pelo menos não no momento. Isso significa que a única maneira de recuperá-los gratuitamente é restaurá-los a partir de uma cópia de segurança. Vale ressalvar que os ficheiros permanecem encriptados mesmo após a remoção do ransomware. Ao desinstalar o ransomware do sistema operativo, as vítimas apenas o impedem de causar mais encriptações.

Screenshot de uma mensagem a incentivar os utilizadores a pagar um resgate para desencriptar os seus dados comprometidos:

Instruções de desencriptação de Ncov (janela pop-up)

Mais exemplos do ransomware são Rooe, Polleryou e Prometey. O que a maioria dos programas deste tipo tem em comum é que são projetados para encriptar os dados da vítima e criar (e/ou exibir) uma nota de resgate. Normalmente, as duas variáveis principais e mais comuns são o tamanho de um resgate/preço de um algoritmo de desencriptação e encriptação (simétrica ou assimétrica) que o ransomware usa para bloquear/encriptar os ficheiros. É muito comum que os ficheiros não possam ser desencriptados sem uma ferramenta e/ou chave que possa ser fornecida apenas por criminosos cibernéticos que criaram ransomware. É possível desencriptar os ficheiros sem suas ferramentas apenas quando o ransomware tiver alguns bugs, falhas ou outras vulnerabilidades. Na maioria dos casos, a única maneira de recuperar os ficheiros sem interferência de criminosos cibernéticos é restaurá-los a partir de uma cópia de segurança. É por isso que é sempre uma boa ideia ter uma cópia de segurança de dados e mantê-lo armazenado em algum servidor de remoção, como Cloud ou dispositivo de armazenamento desligado.

Como é que o ransomware infectou o meu computador?

A maioria dos criminosos cibernéticos distribui malware por trojans, campanhas/e-mails de spam, canais de descarregamento não confiáveis, ferramentas de 'cracking' de software ou atualizadores de software falsos. Os trojans são programas maliciosos que podem infectar sistemas operativos apenas se já estiverem instalados. Muitas vezes, os trojans são projetados para instalar outros programas deste tipo (malware). Por outras palavras, causam infecções em cadeia. Além disso, os criminosos cibernéticos geralmente distribuem malware a enviar e-mails que contêm ficheiros maliciosos, como Microsoft Office, documentos PDF, ficheiros executáveis (comoexe), ficheiros como RAR, ZIP ou JavaScript. Eles enviam estes e-mails para muitas pessoas e esperam que alguém abra o anexo (ou ficheiro descarregue através de um link incluído no site). Se abertos, estes ficheiros infectam os sistemas com software malicioso. Outra maneira de distribuir malware é através de redes peer-to-peer, como clientes de torrent, eMule, sites de hospedagem de ficheiros gratuitos, descarregamento de terceiros, páginas de descarregamento de freeware, sites não oficiais e assim por diante. Os criminosos cibernéticos costumam usá-los para hospedar ficheiros maliciosos. Normalmente, disfarçam-nos como inofensivos, legítimos e esperam que alguém faça o descarregamento e os abra/execute. Quando abertos, estes ficheiros instalam malware. As ferramentas de ativação não oficial ('cracking') são programas que podem ser usados para ativar o software licenciado gratuitamente. No entanto, muitas vezes essas ferramentas são projetadas para infectar os computadores com malware de alto risco. Simplesmente dito, em vez de ignorar a ativação, instalam um programa malicioso. As ferramentas não oficiais de atualização de software infectam os sistemas ao descarregar (e ao instalar) malware em vez de atualizar o software instalado ou ao explorar bugs, falhas de algum software desatualizado.

Resumo da Ameaça:

Nome vírus Ncov
Tipo de Ameaça Ransomware, Vírus Crypto, Arquivo de Ficheiros
Extensão de Ficheiros Encriptados .ncov (juntamente com o endereço de e-mail dos desenvolvedores e o ID exclusivo da vítima).
Mensagem de Resgate Exigente FILES ENCRYPTED.txt e janela pop-up
Contato com Criminosos Cibernéticos coronavirus@qq.com, ncov2020@aol.com, coronavirus2@aol.com
Nomes de Detecção Avast (Win32:Trojan-gen), BitDefender (Trojan.GenericKD.33273618), ESET-NOD32 (A Variant Of Generik.EXYXUHZ), Kaspersky (Trojan.Win32.DelShad.cnt), Lista Completa de Detecções (VirusTotal)
Nome do Processo Fraudulento Epershand Sbrnes Validation Purely
Sintomas Não é possível abrir os ficheiros armazenados no seu computador; os ficheiros anteriormente funcionais têm agora uma extensão diferente (por exemplo, my.docx.locked). Uma mensagem de pedido de resgate é exibida na sua área de trabalho. Os criminosos cibernéticos exigem o pagamento de um resgate (geralmente em bitcoins) para desbloquear os seus ficheiros.
Métodos de Distribuição Anexos de email infectados (macros), sites de torrent, os anúncios maliciosos.
Danos Todos os ficheiros foram encriptados e não podem ser abertos sem pagar um resgate. Os trojans adicionais para roubar palavras-passe e infecções por malware podem ser instalados juntamente com uma infecção por ransomware.
Remoção

Para eliminar vírus Ncov, os nossos pesquisadores de malware recomendam que verifique o seu computador com Spyhunter.
▼ Descarregar Spyhunter
O verificador gratuito verifica se o seu computador está infectado. Para remover malware, precisa de comprar a versão completa de Spyhunter.

Como proteger-se de infecções por ransomware?

Anexos (e/ou links da Web) incluídos em emails irrelevantes recebidos de endereços desconhecidos e suspeitos não devem ser abertos. Há uma grande possibilidade que possam ser enviados por criminosos cibernéticos. O software instalado deve ser atualizado e ativado através de funções e/ou ferramentas implementadas projetadas por desenvolvedores oficiais. As ferramentas de terceiros podem ser projetadas para instalar software malicioso. Além disso, não é legal ativar o software licenciado com ferramentas de ativação não oficial ('cracking'). Todos os ficheiros devem ser descarregues de sites oficiais e confiáveis, e através de links diretos. Outras ferramentas podem ser e costumam ser usadas para proliferar software malicioso. Exemplos de ferramentas de descarregamento não confiáveis, fontes são fornecidas no parágrafo anterior. Uma coisa mais importante é verificar regularmente o sistema operativo quanto a ameaças com um software antivírus ou anti-spyware respeitável e remover as ameaças detectadas o mais rápido possível. Além disso, softwares deste tipo devem estar sempre atualizados. Se o seu computador já estiver infectado com o Ncov, recomendamos executar uma verificação com o Spyhunter para eliminar automaticamente este ransomware.

Texto apresentado na janela pop-up do ransomware Ncov:

Todos os seus ficheiros foram encriptados!
Todos os seus ficheiros foram encriptados devido a um problema de segurança no seu PC. Se deseja restaurá-los, escreva-nos para o e-mail coronavirus@qq.com
Escreva esta ID no título da sua mensagem 1E857D00
Em caso de não resposta em 24 horas, escreva-nos para estes e-mails: coronavirus@qq.com
Tem de pagar pela desencriptação em Bitcoins. O preço depende da rapidez com que nos escreve. Após o pagamento, enviaremos a ferramenta de desencriptação que desencriptará todos os seus ficheiros.
Desencriptação gratuita como garantia
Antes de pagar, pode enviar-nos até 1 ficheiro para desencriptação gratuita. O tamanho total dos ficheiros deve ser menor que 1Mb (não arquivado) e os ficheiros não devem conter informações valiosas. (bancos de dados, cópias de seguranças, grandes folhas de excel etc.)
Como obter Bitcoins
A maneira mais fácil de comprar bitcoins é o site LocalBitcoins. Precisa se registar, clicar em 'Comprar bitcoins' e selecionar o vendedor por método de pagamento e preço.
hxxps: //localbitcoins.com/buy_bitcoins
Além disso, pode encontrar outros lugares para comprar Bitcoins e separador para iniciantes aqui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/
Atenção!
Não renomeie os ficheiros encriptados.
Não tente desencriptar os seus dados a usar software de terceiros, pois isso pode causar a perda de dados permanente.
A desencriptação dos seus ficheiros com a ajuda de terceiros pode causar aumento de preço (adicionam a sua taxa à nossa) ou pode tornar-se vítima de uma fraude.

Screenshot do ficheiro de texto de Ncov ("FILES ENCRYPTED.txt"):

Ficheiro de texto do ransomware ncov (FILES ENCRYPTED.txt)

Texto neste ficheiro:

todos os seus dados foram bloqueados
Quer voltar?
Escreva um email coronavirus@qq.com

Screenshot dos ficheiros encriptados pelo Ncov (extensão ".ncov"):

Ficheiros encriptados pelo ransomware Ncov (extensãoncov)

Ncov em execução no Gestor  de Tarefas como "Epershand Sbrnes Validation Purely":

Processo malicioso Ncov no Gestor de Tarefas a executar como validação epershand sbrnes puramente processo

Atualização 25 de fevereiro de 2020 - Os criminosos lançaram recentemente uma variante atualizada do ransomware Ncov, que agora anexa ".NcOv" em vez de ".ncov". A janela pop-up também é um pouco diferente.

Screenshot da janela pop-up do ransomware Ncov atualizado:

Janela pop-up exibida pelo ransomware Ncov atualizado

Texto apresentado nesta janela:

OS SEUS FICHEIROS FORAM ENCRIPTADOS
Não se preocupe, pode recuperar todos os seus ficheiros!
Se deseja restaurá-los, siga este link: email ncov2020@aol.com SEU ID 1E857D00
Se não tiver sido respondido pelo link dentro de 12 horas, escreva-nos por e-mail: coronavirus2@aol.com
Atenção!
Não renomeie os ficheiros encriptados.
Não tente desencriptar os seus dados a usar software de terceiros, pois isso pode causar a perda de dados permanente.
A desencriptação dos seus ficheiros com a ajuda de terceiros pode causar aumento de preço (adicionam a sua taxa à nossa) ou pode tornar-se vítima de uma fraude.

Screenshot do ficheiro de texto do ransomware Ncov atualizado ("FILES ENCRYPTED.txt"):

Ficheiro de texto do ransomware Ncov atualizado - FILES ENCRYPTED.txt

Texto apresentado neste ficheiro:

todos os seus dados foram bloqueados
Quer voltar?
escreva o email ncov2020@aol.com ou coronavirus2@aol.com

Screenshot dos ficheiros encriptados pelo ransomware Ncov atualizado (extensão ".NcOv"):

Ficheiros encriptados pela extensão ransomware Ncov -NcOv atualizada

Remoção do ransomware Ncov:

Remoção imediata automática de vírus Ncov: A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Spyhunter é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de vírus Ncov. Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Spyhunter O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Passo 1

Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de reinício do seu computador pressione a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Rede da lista.

Modo de Segurança com Rede

O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede"

Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançado, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", selecione inicialização Avançada. Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização". Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Pressione F5 para iniciar em Modo de Segurança com Rede.

Modo de Segurança com rede Windows 8

O vídeo demonstra como iniciar o Windows 8 "Modo de Segurança com Rede":

Utilizadores Windows 10: Clique no logo do Windows e selecione o ícone de Energia. No menu aberto clique em "Reiniciar" enquanto mantém o botão "Shift" premido no seu teclado. Na janela "escolha uma opção", clique em "Solução de problemas", em seguida selecione "Opções avançadas". No menu de opções avançadas, selecione "Configurações de inicialização" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" no seu teclado. Isso irá reiniciar o seu sistema operacional no modo de segurança com rede.

Modo de Segurança com rede Windows 10

O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":

Passo 2

Faça login na conta infectada com o vírus Ncov. Inicie o seu navegador de Internet e descarregue um programa anti-spyware legítimo. Atualize o software anti-spyware e comece uma verificação de sistema completa. Remova todas as entradas detectadas.

Se não puder iniciar o computador no Modo de Segurança com Rede, tente executar um Restauro de Sistema.

O vídeo demonstra como remover o vírus ransomware usando "Modo de Segurança com Comando Prompt" e "Restauro de Sistema":

1. Durante o processo de reinício do seu computador prima a tecla F8 do seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, selecione Modo Segurança com Comando Prompt da lista e prima ENTER.

Inicie o seu computador no Modo de Segurança com Comando Prompt

2. Quando o modo Comando Prompt carregar, digite a seguinte linha: cd restore e prima ENTER.

restauro de sistema usando comandos; escreva cd restore

3. Em seguida, digite esta linha:rstrui.exe e prima ENTER.

restauro de sistema usando comandos escreva prompt rstrui.exe

4. Na janela aberta, clique em "Seguinte".

restauro de sistemas de ficheiros e definições

5. Selecione um dos Pontos de Restauro disponíveis e clique em "Seguinte" (isto irá restaurar o seu sistema de computador para um tempo e data anteriores, anterior à infiltração do vírus ransomware Ncov no seu PC).

selecione um ponto de restauro

6. Na janela aberta, clique em "Sim".

execute o restauro de sistema

7. Depois de restaurar o seu computador para uma data anterior, descarregue e analise o seu PC com software de remoção de malware recomendado para eliminar todo o ransomware Ncov restante.

Para restaurar os ficheiros encriptados individuais por este ransomware, tente usar a funcionalidade de Versões Anteriores do Windows. Este método só é eficaz se a função de Restauro do Sistema foi ativada num sistema operacional infectado. Note que algumas variantes de Ncov são conhecidas por remover Cópias de Volume Shadow dos ficheiros, por isto este método pode não funcionar em todos os computadores.

Para restaurar um ficheiro, clique com o botão direito do rato sobre ele, vá a Propriedades e selecione o separador Versões Anteriores. Se o ficheiro relevante tem um Ponto de Restauro, selecione-o e clique no botão "Restauro".

Restaurando ficheiros encriptados por CryptoDefense

Se não puder iniciar o computador no Modo de Segurança com Rede (ou com Comando Prompt), inicie o seu computador usando um disco de recuperação. Algumas variantes de ransomware desativam o Modo de Segurança, tornando a sua remoção complicada. Para este passo, irá precisar de ter acesso a outro computador.

Para recuperar o controlo dos ficheiros encriptados por Ncov também pode tentar usar um programa chamado Shadow Explorer. Mais informação sobre como usar este programa está disponível aqui.

screenshot de shadow explorer

Para proteger o seu computador de tal ficheiro de encriptação ransomware como este, deve usar programas anti-spyware antivírus respeitável. Como um método de proteção extra, os utilizadores de computador podem usar os programas chamados HitmanPro.Alert e EasySync CryptoMonitor que implanta artificialmente objetos de política de grupo no registo para bloquear programas fraudulentos tais como Ncov.

Observe que Windows 10 Fall Creators Update inclui um recurso de "Pasta de Controlo de Acesso" que bloqueia tentativas de ransomware para encriptar os seus ficheiros. Por padrão, esse recurso automaticamente protege os ficheiros arNcovnados nos documentos, fotos, vídeos, música, favoritos bem como pastas do ambiente de trabalho.

Pasta de Controlo de Acesso

Os utilizadores Windows 10 devem instalar esta atualização para proteger os seus dados contra ataques de ransomware. Aqui encontra mais informações sobre como obter essa atualização e adicionar uma camada de proteção adicional do ransomware infecções.

HitmanPro.Alert CryptoGuard - detecta a encriptação de ficheiros e neutraliza quaisquer tentativas sem a necessidade da intervenção do utilizador:

aplicação de prevenção ransomware hitmanproalert

Malwarebytes Anti-Ransomware Beta usa avançada tecnologia pró-ativa que monitoriza a atividade do ransomware e termina-o imediatamente - antes de atingir os ficheiros dos utilizadores:

Anti-ransomware Malwarebytes

  • A melhor maneira de evitar danos causados por infecções ransomware é manter as cópias de segurança regulares atualizadas. Mais informações sobre soluções de cópias de segurança e dados recuperação software online Aqui.

Outras ferramentas conhecidas para remover o ransomware Ncov:

Fonte: https://www.pcrisk.com/removal-guides/17063-ncov-ransomware

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Instruções de remoção em outras línguas
Code QR
vírus Ncov Code QR
Um código QR (Código de Resposta Rápida) é um código legível por uma máquina que armazena URLs e outras informações. Este código pode ser lido através de uma câmara num smartphone ou um tablet. Digitalize o código QR para ter um guia de remoção de acesso fácil de vírus Ncov no seu dispositivo móvel.
Nós recomendamos:

Livre-se de vírus Ncov hoje:

▼ REMOVER AGORA com Spyhunter

Plataforma: Windows

Classificação do editor para Spyhunter:
Excelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para remover o malware, é necessário comprar a versão completa de Spyhunter.