Como desinstalar o ransomware EvilQuest de um computaodor?
Escrito por Tomas Meskauskas a (atualizado)
Como remover EvilQuest do Mac?
O que é ransomware EvilQuest?
A pessoa que descobriu o EvilQuest é Dinesh_Devadoss. Como muitos outros programas maliciosos deste tipo, o EvilQuest encripta os ficheiros das vítimas e cria uma nota de resgate. Na maioria dos casos, malware deste tipo modifica os nomes dos ficheiros encriptados ao anexar uma certa extensão, embora este ransomware os mantenha inalterados. liberta o "READ_ME_NOW.txt" em todas as pastas que contêm dados encriptados e exibe outra nota de resgate numa janela pop-up. Além disso, este malware é capaz de detectar se determinados ficheiros estão armazenados num computador, operar como um keylogger e receber alguns comandos do servidor Command & Control.
Conforme explicado nas notas do resgate do EvilQuest, este ransomware garante que as vítimas não possam aceder documentos, fotos, vídeos, imagens e outros ficheiros ao encriptá-los no algoritmo AES-256. Para poder aceder os seus ficheiros novamente, as vítimas supostamente usam o serviço de desencriptação que custa $50, um pagamento deve ser feito transferindo a quantidade equivalente de Bitcoin para o endereço da carteira BTC fornecido. Afirma-se que as vítimas têm 72 horas para efetuar um pagamento; depois disso, não será mais possível desencriptar os ficheiros encriptados. Os ficheiros devem ser desencriptados dentro de 2 horas após o pagamento. Para resumir, as vítimas são informadas que é impossível desencriptar os ficheiros sem ter que pagar um resgate. Infelizmente, é verdade: a maioria dos programas do tipo ransomware encripta ficheiros com fortes algoritmos de encriptação e criminosos cibernéticos por trás dsão os únicos que têm as ferramentas que podem desencriptar os ficheiros das vítimas. No entanto, é altamente recomendável não confiar nem nestes nem noutros criminosos cibernéticos por trás do ataque de ransomware - na maioria das vezes as vítimas que pagam um resgate não recebem nada em troca. Por outras palavras, são enganados. Nestes casos, a única maneira gratuita de recuperar os ficheiros é restaurá-los a partir de uma cópia de segurança. Além disso, é possível impedir que o ransomware instalado cause mais encriptações (ao encriptar os ficheiros não encriptados) desao instalar-o. No entanto, os ficheiros encriptados permanecem inacessíveis, mesmo após a desinstalação. Conforme mencionado na introdução, o EvilQuest pode detectar alguns ficheiros, como .wallet.pdf, wallet.png, * .p12 e key.png. Além disso, é possível receber comandos do servidor Command & Control e executá-los, registar teclas premidass e executar módulos diretamente da memória. O recurso de registo de chaves permite que criminosos cibernéticos gravem teclas premidas, o que significa que o EvilQuest pode ser usado para roubar informações confidenciais digitadas, como detalhes de cartão de crédito, nomes de utilizador, palavras-passe e assim por diante. Essas informações podem ser usadas indevidamente para roubar identidades, contas, fazer transações fraudulentas, compras e para outros fins maliciosos.
| Nome | vírus EvilQuest |
| Tipo de Ameaça | Ransomware, Vírus Crypto, Arquivo de Ficheiros |
| Mensagem de Resgate Exigente | READ_ME_NOW.txt, janela pop-up |
| Montante do Resgate | $50 em Bitcoins |
| Endereço da carteira BTC | 13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7 |
| Nomes de Detecção | Ad-Aware (Trojan.GenericKD.34092962), BitDefender (Trojan.GenericKD.34092962), ESET-NOD32 (OSX/Filecoder.I), Microsoft (Ransom:MacOS/Filecoder.YA!MTB), Lista Completa de Detecções (VirusTotal) |
| Sintomas | Não é possível abrir os ficheiros armazenados no seu computador; os ficheiros anteriormente funcionais têm agora uma extensão diferente (por exemplo, my.docx.locked). Uma mensagem de pedido de resgate é exibida na sua área de trabalho. Os criminosos cibernéticos exigem o pagamento de um resgate (geralmente em bitcoins) para desbloquear os seus ficheiros. |
| Informação Adicional | Não há como entrar em contato com criminosos cibernéticos por trás deste ransomware |
| Métodos de Distribuição | Anexos de email infectados (macros), sites de torrent, os anúncios maliciosos. |
| Danos | Todos os ficheiros foram encriptados e não podem ser abertos sem pagar um resgate. Os trojans adicionais para roubar palavras-passe e infecções por malware podem ser instalados juntamente com uma infecção por ransomware. |
| Remoção do Malware (Mac) | Para eliminar possíveis infecções por malware, verifique o seu Mac com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Vale ressalvar que, na maioria dos casos, o ransomware tem como alvo os sistemas operativos Windows, eis alguns exemplos de outros malwares deste tipo: Lxhlp, Zida e .HOW. Normalmente, encripta ficheiros e exibe e/ou cria algumas notas de resgate e as únicas diferenças principais são o preço de uma desencriptação (tamanho de um resgate) e o algoritmo de encriptação (simétrica ou assimétrica) que o ransomware usa para tornar os ficheiros inacessíveis. As vítimas podem restaurar ficheiros gratuitamente/sem ter que entrar em contato e pagar criminosos cibernéticos somente quando o ransomware tiver algumas vulnerabilidades (bugs, falhas). Infelizmente, isso não acontece com frequência e a única maneira de recuperar os ficheiros após o ataque ao ransomware é restaurá-los a partir de uma cópia de segurança. Portanto, é recomendável sempre ter uma cópia de segurança de dados e mantê-lo armazenado num servidor remoto (como Cloud) ou dispositivo de armazenamento desconectado.
Como é que o ransomware foi instalado no meu computador?
As pesquisas demonstram que este ransomware específico é distribuído através de versões piratas do popular software macOS, um dos exemplos é a versão pirata do software Mix In Key. Normalmente, o software pirata está disponível para descarregamento em vários sites de torrent e outras páginas de descarregamento não confiáveis. Outras maneiras populares que os criminosos cibernéticos usam para proliferar ransomware (e outros malwares) são campanhas de spam, trojans, atualizadores de software falsos, outras fontes/canais de descarregamento de software questionáveis ou ferramentas de 'cracking' de software para isso. No primeiro caso, enviam e-mails que contêm anexos maliciosos ou links da Web projetados para descarregar ficheiros maliciosos. O seu principal objetivo é enganar os destinatários para abrir um ficheiro/anexo malicioso que causaria a instalação de um software malicioso. Alguns exemplos de ficheiros que os criminosos cibernéticos anexam aos seus e-mails são Microsoft Office, documentos PDF maliciosos, ficheiros compactados (como RAR, ZIP), ficheiros executáveis (como .exe) e ficheiros JavaScript. Os trojans são programas maliciosos que podem causar danos, basta instalar outros malwares - após a instalação, causam infecções em cadeia. Os atualizadores de software falsos (não oficiais) são causados pela instalação de programas maliciosos em vez das correções das atualizações ou pela exploração de bugs, falhas de software desatualizado instalado no computador do utilizador. Exemplos de ficheiros não confiáveis, canais de descarregamento de software são sites de hospedagem de ficheiros gratuitos de redes peer-to-peer (como o eMule), páginas de descarregamento de freeware, descarregamento de terceiros e outras fontes deste tipo. Regra geral, ficheiros maliciosos são disfarçados como regulares, inofensivos. Quando os utilizadores os descarregam e os executam, infectam os computadores com algum malware. As ferramentas de 'cracking' de software são programas que deveriam ajudar os seus utilizadores a ignorar a ativação de algum software licenciado (ativá-lo gratuitamente). No entanto, na maioria das vezes, essas ferramentas não ativam nenhum software. Em vez de fazer isso, simplesmente instalam algum software malicioso, por exemplo, ransomware.
Como evitar a instalação de malware?
É altamente recomendável não confiar em emails irrelevantes recebidos de endereços desconhecidos e suspeitos. Se contiverem anexos (ou links da web), não deverão ser abertos. Vale ressalvar que os e-mails enviados por criminosos cibernéticos geralmente são disfarçados de importantes, oficiais e legítimos. Além disso, é importante atualizar e/ou ativar o software instalado apenas com funções ou ferramentas implementadas por desenvolvedores oficiais de software. Na maioria das vezes, os utilizadores que usam ativadores ou atualizadores não oficiais infectam os seus computadores com algum malware. Outro problema com ativadores não oficiais (ferramentas de 'cracking') é que não é legal usá-los para ativar qualquer software licenciado. Outra maneira de evitar a instalação de software malicioso é descarregar ficheiros, os programas apenas de sites oficiais. Descarregadores (e instaladores) de terceiros, páginas não oficiais e redes peer-to-peer não devem ser confiáveis. E, finalmente, qualquer computador deve ser verificado regularmente com um conjunto anti-spyware ou antivírus respeitável; este software deve estar sempre atualizado. Se o seu computador já estiver infectado com APIs, recomendamos executar uma verificação com Combo Cleaner para eliminá-las automaticamente.
Texto numa janela pop-up:
Your files are encrypted
Many of your important documents, photos, videos, images and other files are no longer accessible because they have been encrypted.
Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your files without our decryption service.
We guarantee however that you can recover your files safely and easily and this will cost you 50 USD without any additional fees.Our offer is valid FOR 3 DAYS (starting now!). Full details can be found in the file: READ_ME_NOW.txt located on your Desktop
Screenshot da nota de resgate "READ_ME_NOW.txt":
Texto nesta nota:
YOUR IMPORTANT FILES ARE ENCRYPTED
Many of your documents, photos, videos, images and other files are no longer accessible because they have been encrypted. Maybe you are busy looking for a way to recover your files, but do not waste your time. Nobody can recover your file without our decryption service.
We use 256-bit AES algorithm so it will take you more than a billion years to break this encryption without knowing the key (you can read Wikipedia about AES if you don't believe this statement).
Anyways, we guarantee that you can recover your files safely and easily. This will require us to use some processing power, electricity and storage on our side, so there's a fixed processing fee of 50 USD. This is a one-time payment, no additional fees included.
In order to accept this offer, you have to deposit payment within 72 hours (3 days) after receiving this message, otherwise this offer will expire and you will lose your files forever.
Payment has to be deposited in Bitcoin based on Bitcoin/USD exchange rate at the moment of payment. The address you have to make payment is:
13roGMpWd7Pb3ZoJyce8eoQpfegQvGHHK7
Decryption will start automatically within 2 hours after the payment has been processed and will take from 2 to 5 hours depending on the processing power of your computer. After that all of your files will be restored.
THIS OFFER IS VALID FOR 72 HOURS AFTER RECEIVING THIS MESSAGE
Screenshot dos ficheiros encriptados pelo EvilQuest:
Instalador malicioso projetado para instalar EvilQuest:
Lista de ficheiros relacionados a este instalador:
- ~/Library/mixednkey/toolroomd
- ~/Library/AppQuest/com.apple.questd
- ~/Library/LaunchAgents/com.apple.questd.plist
Lembre-se que o descarregamento de software de sites questionáveis de Torrent (como ThePirateBay) provavelmente leva a várias infecções do sistema:
Remoção automática instantânea do malware Mac:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware Mac. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner para Mac
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias de teste grátis limitado disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é o ransomware EvilQuest?
- PASSO 1. Remova os ficheiros e pastas relacionados à API do OSX.
- PASSO 2. Remova as extensões não autorizadas do Safari.
- PASSO 3. Remova os complementos não autorizados do Google Chrome.
- PASSO 4. Remova os plug-ins potencialmente indesejados do Mozilla Firefox.
Remoção das aplicações potencialmente indesejadas:
Remova as aplicações potencialmente indesejadas da pasta "Aplicações":
Clique no ícone do Finder. Na janela do Finder, selecione "Aplicações". Na pasta de aplicações, procure por "MPlayerX", "NicePlayer" ou outras aplicações suspeitas e arraste-as para a Reciclagem. Depois de remover as aplicações potencialmente indesejadas que causam anúncios on-line, verifique se há componentes indesejados restantes no seu Mac.
Remova os ficheiros e pastas relacionados a vírus evilquest:
Clique no ícone do Finder, no menu de barras. Escolha Ir, e clique em Ir para Pasta...
Verifique por ficheiros gerados por adware na pasta /Library/LaunchAgents:
Na pasta Ir para...barra, tipo: /Library/LaunchAgents
Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.
Verifique para adware gerado por ficheiros na pasta /Library/Application Support:
Na pasta Ir para...barra, tipo: /Library/Application Support
Na pasta "Application Support", procure qualquer pasta suspeita recém-adicionada. Por exemplo, "MPlayerX" ou tese "NicePlayer" e mova as pastas para a Reciclagem.
Verifique por ficheiros gerados por adware na pasta ~/Library/LaunchAgents:
Na barra Ir para Pasta, escreva: ~/Library/LaunchAgents
Na pasta "LaunchAgents", procure por ficheiros adicionados recentemente suspeitos e mova-os para a Reciclagem. Exemplos de ficheiros gerados pelo adware - “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Comumente o adware instala vários ficheiros no mesmo string.
Verifique por ficheiros gerados por adware na pasta /Library/LaunchDaemons:
Na pasta Ir para...barra, tipo: /Library/LaunchDaemons
Na pasta "LaunchDaemons", procure qualquer ficheiro suspeito recém-adicionado. Por exemplo “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., e mova-os para a Reciclagem.
Verifique o seu Mac com o Combo Cleaner:
Se seguiu todas as etapas na ordem correta, o Mac deve estar livre de infecções. Para ter certeza de que seu sistema não está infectado, execute uma verificação com o Combo Cleaner Antivirus. Descarregue-o AQUI. Depois de descarregar o ficheiro, clique duas vezes no instalador combocleaner.dmg, na janela aberta, arraste e solte o ícone Combo Cleaner no topo do ícone Applications. Agora abra a sua barra de lançamento e clique no ícone Combo Cleaner. Aguarde até que o Combo Cleaner atualize seu banco de dados de definições de vírus e clique no botão "Start Combo Scan".
O Combo Cleaner irá analisar o seu Mac em pesquisa de infecções por malware. Se a verificação antivírus exibir "nenhuma ameaça encontrada", isso significa que pode continuar com o guia de remoção, caso contrário, é recomendável remover todas as infecções encontradas antes de continuar.
Depois de remover os ficheiros e pastas gerados pelo adware, continue a remover extensões fraudulentas dos seus navegadores de Internet.
Remoção do vírus evilquest dos navegadores de Internet:
Remova extensões fraudulentas do Safari:
Remova vírus evilquest as extensões relacionada ao Safari:
Abra o navegador Safari, a partir do menu de barra, selecione "Safari" e clique em "Preferências ...".
Na janela de preferências, selecione "Extensões" e procure por qualquer extensão suspeita recém-instalada. Quando localizada clique no botão "Desinstalar" ao lado dela/delas. Note que pode desinstalar seguramente todas as extensões do seu navegador Safari - não são cruciais para o funcionamento normal do navegador.
- Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Safari.
Remova os plugins fraudulentos do Mozilla Firefox:
Remova vírus evilquest add-ons relacionados ao Mozilla Firefox:
Abra o navegador Mozilla Firefox. No canto superior direito do ecrã, clique no botão "Abrir Menu" (três linhas horizontais). No menu aberto, escolha "Add-ons".
Escolha o separador "Extensões" e procure os complementos suspeitos recém-instalados. Quando localizado clique no botão "Desinstalar" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Mozilla Firefox - não são cruciais para o funcionamento normal do navegador.
Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Mozilla Firefox.
Remova as extensões fraudulentas do Google Chrome:
Remova vírus evilquest add-ons relacionados ao Google Chrome:
Abra o Google Chrome e clique no botão "menu Chrome" (três linhas horizontais), localizado no canto superior direito da janela do navegador. A partir do menu flutuante, escolha "Mais Ferramentas" e selecione "Extensões".
Escolha a janela "Extensões" e procure os add-ons suspeitos recém-instalados. Quando localizado clique no botão "Reciclagem" ao lado dele/deles. Note que pode desinstalar seguramente todas as extensões do seu navegador Google Chrome - não são cruciais para o funcionamento normal do navegador.
Se continuar a ter problemas com redirecionamentos de navegador e anúncios indesejados - Restaure o Google Chrome.
Excelente!
▼ Mostrar comentários