Como desinstalar o ransomware EvilQuest de um computaodor?

Também Conhecido Como: vírus EvilQuest
Distribuição: Baixo
Nível de Estragos: Grave

Como remover EvilQuest do Mac?

O que é ransomware EvilQuest?

A pessoa que descobriu o EvilQuest é Dinesh_Devadoss. Como muitos outros programas maliciosos deste tipo, o EvilQuest encripta os ficheiros das vítimas e cria uma nota de resgate. Na maioria dos casos, malware deste tipo modifica os nomes dos ficheiros encriptados ao anexar uma certa extensão, embora este ransomware os mantenha inalterados. liberta o "READ_ME_NOW.txt" em todas as pastas que contêm dados encriptados e exibe outra nota de resgate numa janela pop-up. Além disso, este malware é capaz de detectar se determinados ficheiros estão armazenados num computador, operar como um keylogger e receber alguns comandos do servidor Command & Control.

Nota de resgate do EvilQuest (janela pop-up)

Conforme explicado nas notas do resgate do EvilQuest, este ransomware garante que as vítimas não possam aceder documentos, fotos, vídeos, imagens e outros ficheiros ao encriptá-los no algoritmo AES-256. Para poder aceder os seus ficheiros novamente, as vítimas supostamente usam o serviço de desencriptação que custa $50, um pagamento deve ser feito transferindo a quantidade equivalente de Bitcoin para o endereço da carteira BTC fornecido. Afirma-se que as vítimas têm 72 horas para efetuar um pagamento; depois disso, não será mais possível desencriptar os ficheiros encriptados. Os ficheiros devem ser desencriptados dentro de 2 horas após o pagamento. Para resumir, as vítimas são informadas que é impossível desencriptar os ficheiros sem ter que pagar um resgate. Infelizmente, é verdade: a maioria dos programas do tipo ransomware encripta ficheiros com fortes algoritmos de encriptação e criminosos cibernéticos por trás dsão os únicos que têm as ferramentas que podem desencriptar os ficheiros das vítimas. No entanto, é altamente recomendável não confiar nem nestes nem noutros criminosos cibernéticos por trás do ataque de ransomware - na maioria das vezes as vítimas que pagam um resgate não recebem nada em troca. Por outras palavras, são enganados. Nestes casos, a única maneira gratuita de recuperar os ficheiros é restaurá-los a partir de uma cópia de segurança. Além disso, é possível impedir que o ransomware instalado cause mais encriptações (ao encriptar os ficheiros não encriptados) desao instalar-o. No entanto, os ficheiros encriptados permanecem inacessíveis, mesmo após a desinstalação. Conforme mencionado na introdução, o EvilQuest pode detectar alguns ficheiros, como .wallet.pdf, wallet.png, * .p12 e key.png. Além disso, é possível receber comandos do servidor Command & Control e executá-los, registar teclas premidass e executar módulos diretamente da memória. O recurso de registo de chaves permite que criminosos cibernéticos gravem teclas premidas, o que significa que o EvilQuest pode ser usado para roubar informações confidenciais digitadas, como detalhes de cartão de crédito, nomes de utilizador, palavras-passe e assim por diante. Essas informações podem ser usadas indevidamente para roubar identidades, contas, fazer transações fraudulentas, compras e para outros fins maliciosos.

Resumo da Ameaça:
Nome vírus EvilQuest
Tipo de Ameaça Ransomware, Vírus Crypto, Arquivo de Ficheiros
Mensagem de Resgate Exigente READ_ME_NOW.txt, janela pop-up
Montante do Resgate $50 em Bitcoins
Endereço da carteira BTC 13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Nomes de Detecção Ad-Aware (Trojan.GenericKD.34092962), BitDefender (Trojan.GenericKD.34092962), ESET-NOD32 (OSX/Filecoder.I), Microsoft (Ransom:MacOS/Filecoder.YA!MTB), Lista Completa de Detecções (VirusTotal)
Sintomas Não é possível abrir os ficheiros armazenados no seu computador; os ficheiros anteriormente funcionais têm agora uma extensão diferente (por exemplo, my.docx.locked). Uma mensagem de pedido de resgate é exibida na sua área de trabalho. Os criminosos cibernéticos exigem o pagamento de um resgate (geralmente em bitcoins) para desbloquear os seus ficheiros.
Informação Adicional Não há como entrar em contato com criminosos cibernéticos por trás deste ransomware
Métodos de Distribuição Anexos de email infectados (macros), sites de torrent, os anúncios maliciosos.
Danos Todos os ficheiros foram encriptados e não podem ser abertos sem pagar um resgate. Os trojans adicionais para roubar palavras-passe e infecções por malware podem ser instalados juntamente com uma infecção por ransomware.
Remoção

Para eliminar vírus EvilQuest, os nossos pesquisadores de malware recomendam que verifique o seu computador com Combo Cleaner.
▼ Descarregar Combo Cleaner
O verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 3 dias de teste grátis limitado disponível.

Vale ressalvar que, na maioria dos casos, o ransomware tem como alvo os sistemas operativos Windows, eis alguns exemplos de outros malwares deste tipo: Lxhlp, Zida e .HOW. Normalmente, encripta ficheiros e exibe e/ou cria algumas notas de resgate e as únicas diferenças principais são o preço de uma desencriptação (tamanho de um resgate) e o algoritmo de encriptação (simétrica ou assimétrica) que o ransomware usa para tornar os ficheiros inacessíveis. As vítimas podem restaurar ficheiros gratuitamente/sem ter que entrar em contato e pagar criminosos cibernéticos somente quando o ransomware tiver algumas vulnerabilidades (bugs, falhas). Infelizmente, isso não acontece com frequência e a única maneira de recuperar os ficheiros após o ataque ao ransomware é restaurá-los a partir de uma cópia de segurança. Portanto, é recomendável sempre ter uma cópia de segurança de dados e mantê-lo armazenado num servidor remoto (como Cloud) ou dispositivo de armazenamento desconectado.

Como é que o ransomware foi instalado no meu computador?

As pesquisas demonstram que este ransomware específico é distribuído através de versões piratas do popular software macOS, um dos exemplos é a versão pirata do software Mix In Key. Normalmente, o software pirata está disponível para descarregamento em vários sites de torrent e outras páginas de descarregamento não confiáveis. Outras maneiras populares que os criminosos cibernéticos usam para proliferar ransomware (e outros malwares) são campanhas de spam, trojans, atualizadores de software falsos, outras fontes/canais de descarregamento de software questionáveis ou ferramentas de 'cracking' de software para isso. No primeiro caso, enviam e-mails que contêm anexos maliciosos ou links da Web projetados para descarregar ficheiros maliciosos. O seu principal objetivo é enganar os destinatários para abrir um ficheiro/anexo malicioso que causaria a instalação de um software malicioso. Alguns exemplos de ficheiros que os criminosos cibernéticos anexam aos seus e-mails são Microsoft Office, documentos PDF maliciosos, ficheiros compactados (como RAR, ZIP), ficheiros executáveis (como .exe) e ficheiros JavaScript. Os trojans são programas maliciosos que podem causar danos, basta instalar outros malwares - após a instalação, causam infecções em cadeia. Os atualizadores de software falsos (não oficiais) são causados pela instalação de programas maliciosos em vez das correções das atualizações ou pela exploração de bugs, falhas de software desatualizado instalado no computador do utilizador. Exemplos de ficheiros não confiáveis, canais de descarregamento de software são sites de hospedagem de ficheiros gratuitos de redes peer-to-peer (como o eMule), páginas de descarregamento de freeware, descarregamento de terceiros e outras fontes deste tipo. Regra geral, ficheiros maliciosos são disfarçados como regulares, inofensivos. Quando os utilizadores os descarregam e os executam, infectam os computadores com algum malware. As ferramentas de 'cracking' de software são programas que deveriam ajudar os seus utilizadores a ignorar a ativação de algum software licenciado (ativá-lo gratuitamente). No entanto, na maioria das vezes, essas ferramentas não ativam nenhum software. Em vez de fazer isso, simplesmente instalam algum software malicioso, por exemplo, ransomware.

Como evitar a instalação de malware?

É altamente recomendável não confiar em emails irrelevantes recebidos de endereços desconhecidos e suspeitos. Se contiverem anexos (ou links da web), não deverão ser abertos. Vale ressalvar que os e-mails enviados por criminosos cibernéticos geralmente são disfarçados de importantes, oficiais e legítimos. Além disso, é importante atualizar e/ou ativar o software instalado apenas com funções ou ferramentas implementadas por desenvolvedores oficiais de software. Na maioria das vezes, os utilizadores que usam ativadores ou atualizadores não oficiais infectam os seus computadores com algum malware. Outro problema com ativadores não oficiais (ferramentas de 'cracking') é que não é legal usá-los para ativar qualquer software licenciado. Outra maneira de evitar a instalação de software malicioso é descarregar ficheiros, os programas apenas de sites oficiais. Descarregadores (e instaladores) de terceiros, páginas não oficiais e redes peer-to-peer não devem ser confiáveis. E, finalmente, qualquer computador deve ser verificado regularmente com um conjunto anti-spyware ou antivírus respeitável; este software deve estar sempre atualizado. Se o seu computador já estiver infectado com APIs, recomendamos executar uma verificação com Combo Cleaner para eliminá-las automaticamente.

Texto numa janela pop-up:

Os seus ficheiros estão encriptados

 

Muitos dos seus documentos, fotos, vídeos, imagens e outros ficheiros importantes não estão mais acessíveis porque foram encriptados.

 

Talvez esteja ocupado a procurar uma maneira de recuperar os seus ficheiros, mas não perca seu tempo. Ninguém pode recuperar os seus ficheiros sem o nosso serviço de desencriptação.
Garantimos, no entanto, que pode recuperar os seus ficheiros com segurança e facilidade e isso custará 50 USD sem taxas adicionais.

 

A nossa oferta é válida por 3 dias (a partir de agora!). Detalhes completos podem ser encontrados no ficheiro: READ_ME_NOW.txt localizado na área de trabalho

Screenshot da nota de resgate "READ_ME_NOW.txt":

Nota de resgate do EvilQuest (READ_ME_NOW.txt)

Texto nesta nota:

OS SEUS FICHEIROS IMPORTANTES FORAM ENCRIPTADOS

 

Muitos dos seus documentos, fotos, vídeos, imagens e outros ficheiros não estão mais acessíveis porque foram encriptados. Talvez esteja ocupado a procurar uma maneira de recuperar os seus ficheiros, mas não perca seu tempo. Ninguém pode recuperar o seu ficheiro sem o nosso serviço de desencriptação.

 

Utilizamos o algoritmo AES de 256 bits, por isso levará mais de um bilhão de anos para quebrar essa encriptação sem conhecer a chave (pode ler a Wikipedia sobre o AES se não acreditar nesta declaração).
De qualquer forma, garantimos que pode recuperar os seus ficheiros com segurança e facilidade. Isso exigirá que usemos energia de processamento, eletricidade e armazenamento do nosso lado, para que haja uma taxa fixa de processamento de 50 USD. Este é um pagamento único, sem taxas adicionais incluídas.
Para aceitar esta oferta, deve depositar o pagamento dentro de 72 horas (3 dias) após receber esta mensagem, caso contrário, essa oferta expirará e perderá os seus ficheiros para sempre.

O pagamento deve ser depositado no Bitcoin com base na taxa de câmbio Bitcoin/USD no momento do pagamento. O endereço que precisa para efetuar o pagamento é:

                    13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7

 

A desencriptação será iniciada automaticamente dentro de 2 horas após o processamento do pagamento e levará de 2 a 5 horas, dependendo da capacidade de processamento do seu computador. Depois disso, todos os seus ficheiros serão restaurados.

 

ESTA OFERTA É VÁLIDA POR 72 HORAS APÓS RECEBER ESTA MENSAGEM

Screenshot dos ficheiros encriptados pelo EvilQuest:

Ficheiros encriptados pelo ransomware EvilQuest

Instalador malicioso projetado para instalar EvilQuest:

instalador do ransomware evilquest

Lista de ficheiros relacionados a este instalador:

  • ~/Library/mixednkey/toolroomd
  • ~/Library/AppQuest/com.apple.questd
  • ~/Library/LaunchAgents/com.apple.questd.plist

Lembre-se que o descarregamento de software de sites questionáveis de Torrent (como ThePirateBay) provavelmente leva a várias infecções do sistema:

ransomware EvilQuest distribuído através de sites de Torrent

Remoção imediata automática de vírus EvilQuest: A remoção manual de ameaças pode ser um processo demorado e complicado que requer conhecimentos avançados de informática. Combo Cleaner é uma ferramenta profissional de remoção automática de malware que é recomendada para se livrar de vírus EvilQuest. Descarregue ao clicar no botão abaixo:
▼ DESCARREGAR Combo Cleaner (Mac) O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 3 dias de teste grátis limitado disponível. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.

Menu rápido:

Remoção das aplicações potencialmente indesejadas:

Remova as aplicações potencialmente indesejadas da pasta "Aplicações":

Remoção do sequestrador de navegador mac da pasta de aplicações

Clique no ícone do Finder. Na janela do Finder, selecione "Aplicações". Na pasta de aplicações, procure por "MPlayerX", "NicePlayer" ou outras aplicações suspeitas e arraste-as para a Reciclagem. Depois de remover as aplicações potencialmente indesejadas que causam anúncios on-line, verifique se há componentes indesejados restantes no seu Mac.

Remova os ficheiros e pastas relacionados a vírus evilquest:

Ir a Finder na pasta de comandos

Clique no ícone do Finder, no menu de barras. Escolha Ir, e clique em Ir para Pasta...

step1Verifique por ficheiros gerados por adware na pasta /Library/LaunchAgents:

remoção do adware da pasta launch agents passo 1

Na pasta Ir para...barra, tipo: /Library/LaunchAgents

remoção do adware da pasta launch agents passo 2Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.

step2Verifique para adware gerado por ficheiros na pasta /Library/Application Support:

remoção do adware da aplicação support folder passo 1

Na pasta Ir para...barra, tipo: /Library/Application Support

remoção do adware da aplicação support folder passo 2Na pasta "Application Support", procure qualquer pasta suspeita recém-adicionada. Por exemplo, "MPlayerX" ou tese "NicePlayer" e mova as pastas para a Reciclagem.

step3Verifique por ficheiros gerados por adware na pasta ~/Library/LaunchAgents:

remoção do adware da pasta ~launch agents passo 1


Na barra Ir para Pasta, escreva: ~/Library/LaunchAgents

remoção do adware da pasta ~launch agents passo 2

Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.

step4Verifique por ficheiros gerados por adware na pasta /Library/LaunchDaemons:

remoção do adware da pasta launch daemons passo 1Na pasta Ir para...barra, tipo: /Library/LaunchDaemons

remoção do adware da pasta launch daemons passo 2

Na pasta "LaunchDaemons", procure qualquer ficheiro suspeito recém-adicionado. Por exemplo “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., e mova-os para a Reciclagem.

step 5 Verifique o seu Mac com o Combo Cleaner:

Se seguiu todas as etapas na ordem correta, o Mac deve estar livre de infecções. Para ter certeza de que seu sistema não está infectado, execute uma verificação com o Combo Cleaner Antivirus. Descarregue-o AQUI. Depois de descarregar o ficheiro, clique duas vezes no instalador combocleaner.dmg, na janela aberta, arraste e solte o ícone Combo Cleaner no topo do ícone Applications. Agora abra a sua barra de lançamento e clique no ícone Combo Cleaner. Aguarde até que o Combo Cleaner atualize seu banco de dados de definições de vírus e clique no botão "Start Combo Scan".

scan-with-combo-cleaner-1

O Combo Cleaner irá analisar o seu Mac em pesquisa de infecções por malware. Se a verificação antivírus exibir "nenhuma ameaça encontrada", isso significa que pode continuar com o guia de remoção, caso contrário, é recomendável remover todas as infecções encontradas antes de continuar.

scan-with-combo-cleaner-2

Depois de remover os ficheiros e pastas gerados pelo adware, continue a remover extensões fraudulentas dos seus navegadores de Internet.

Remoção do vírus evilquest dos navegadores de Internet:

safari browser iconRemova extensões fraudulentas do Safari:

Remova vírus evilquest as extensões relacionada ao Safari:

preferências do navegador Safari

Abra o navegador Safari, a partir do menu de barra, selecione "Safari" e clique em "Preferências ...".

janela de extensões Safari

Na janela de preferências, selecione "Extensões" e procure por qualquer extensão suspeita recém-instalada. Quando localizada clique no botão "Desinstalar" ao lado dela/delas. Note que pode desinstalar seguramente todas as extensões do seu navegador Safari - não são cruciais para o funcionamento normal do navegador.

  • Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Safari.

firefox browser iconRemova os plugins fraudulentos do Mozilla Firefox:

Remova vírus evilquest add-ons relacionados ao Mozilla Firefox:

Acedendo aos add-ons de Mozilla Firefox

Abra o navegador Mozilla Firefox. No canto superior direito do ecrã, clique no botão "Abrir Menu" (três linhas horizontais). No menu aberto, escolha "Add-ons".

Remova os add-ons fraudulentos do Mozilla Firefox

Escolha o separador "Extensões" e procure os complementos suspeitos recém-instalados. Quando localizado clique no botão "Desinstalar" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Mozilla Firefox - não são cruciais para o funcionamento normal do navegador.

Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Mozilla Firefox.

chrome-browser-iconRemova as extensões fraudulentas do Google Chrome:

Remova vírus evilquest add-ons relacionados ao Google Chrome:

removendo as extensões fraudulentas do Google Chrome passo 1

Abra o Google Chrome e clique no botão "menu Chrome" (três linhas horizontais), localizado no canto superior direito da janela do navegador. A partir do menu flutuante, escolha "Mais Ferramentas" e selecione "Extensões".

removendo as extensões fraudulentas do Google Chrome passo 2

Escolha a janela "Extensões" e procure os add-ons suspeitos recém-instalados. Quando localizado clique no botão "Reciclagem" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Google Chrome - não são cruciais para o funcionamento normal do navegador.

Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Google Chrome.

Sobre o autor:

Tomas Meskauskas

Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line. Saiba mais sobre o autor.

O portal de segurança PCrisk é criado por forças unidas de pesquisadores de segurança para ajudar a educar os utilizadores de computador sobre as mais recentes ameaças de segurança online. Mais informações sobre os autores e pesquisadores que estão a trabalhar na PCrisk na nossa página de contato.

Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.

Instruções de remoção em outras línguas
Code QR
vírus EvilQuest Code QR
Um código QR (Código de Resposta Rápida) é um código legível por uma máquina que armazena URLs e outras informações. Este código pode ser lido através de uma câmara num smartphone ou um tablet. Digitalize o código QR para ter um guia de remoção de acesso fácil de vírus EvilQuest no seu dispositivo móvel.
Nós recomendamos:

Livre-se de vírus EvilQuest hoje:

▼ REMOVER AGORA com Combo Cleaner (Mac)

Plataforma: macOS

Classificação do editor para Combo Cleaner:
Excelente!

[Início da Página]

O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 3 dias de teste grátis limitado disponível.