Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat voor soort malware is Ebaka?

Tijdens het onderzoeken van nieuwe malware-inzendingen op VirusTotal heeft ons onderzoeksteam de Ebaka ransomware gevonden. Dit schadelijke programma maakt deel uit van de Phobos ransomware-familie. Ebaka is ontworpen om bestanden te versleutelen en vraagt losgeld voor de ontsleuteling.

Op ons testsysteem wijzigde deze malware bestanden (door encryptie) en veranderde hun bestandsnamen. Aan de oorspronkelijke titels werd een unieke ID toegevoegd die aan het slachtoffer was toegewezen, het e-mailadres van de cybercriminelen en een extensie ".ebaka". Een bestand met de naam "1.jpg" verscheen bijvoorbeeld als "1.jpg.id[1E857D00-3323].[datadownloader@proton.me].ebaka".

Nadat dit proces was voltooid, maakte Ebaka losgeldbriefjes en dropte deze op het bureaublad en in alle versleutelde mappen. Eén werd weergegeven in een pop-upvenster ("info.hta") en de andere was een tekstbestand ("info.txt").

Wat is H-WORM?

H-WORM is een hulpmiddel voor toegang op afstand (RAT) dat is ontwikkeld met behulp van VBScript. Onderzoek toont aan dat deze trojan is ontwikkeld door een crimineel met de naam 'Houdini'. H-WORM wordt voornamelijk verspreid via spam e-mailcampagnes en heeft een USB-distributiefunctie geïmplementeerd, maar op het moment van onderzoek werkte deze functie niet correct.

Wat voor soort malware is ITLOCK?

ITLOCK ransomware werd ontdekt door Cyber Security. Dit is een kwaadaardig programma, een nieuwe versie van Matrix ransomware die is ontworpen door cybercriminelen om computergegevens te versleutelen en slachtoffers te chanteren door losgeld te eisen. Tijdens het versleutelingsproces opent ITLOCK twee opdrachtpromptvensters.

Zodra gegevens zijn versleuteld, wordt elk aangetast bestand hernoemd door de bestandsnaam te wijzigen: een e-mailadres, twee willekeurige tekenreeksen en de extensie worden samengevoegd tot een extensie met het volgende formaat: ".ITLOCK" ("[rescompany19@qq.com].[random_string]-[random_string].ITLOCK").

Hernoemde bestanden kunnen er ongeveer zo uitzien: "[rescompany19@qq.com].8SLV8GMp-hjqo9v3s.ITLOCK". ITLOCK maakt ook een losgeldbericht aan in het bestand "!README_ITLOCK!.rtf".

Wat voor soort e-mail is "Hello Perv"?

"Hello Perv" is een van de vele zwendelcampagnes die wordt gepresenteerd als een dreigende e-mail waarin losgeld wordt geëist. In dit geval proberen cybercriminelen mensen (ontvangers van de e-mail) te laten geloven dat ze compromitterende video's hebben verkregen en deze zullen verspreiden tenzij hun eisen worden ingewilligd.

Er is niets om u zorgen over te maken, want alle beweringen in de "Hello Perv"-zwendel zijn vals. De beste optie is om de beweringen te negeren en deze e-mail te verwijderen.

Wat voor soort malware is RedEye?

RedEye is een ransomware-type virus ontworpen door de maker van ANNABELLE en Jigsaw virussen. Eenmaal geïnfiltreerd, versleutelt RedEye vermoedelijk gegevens met behulp van het AES-256 encryptie-algoritme en voegt bestandsnamen toe met de ".RedEye" extensie (bijvoorbeeld, "sample.jpg" wordt hernoemd naar "sample.jpg.RedEye").

RedEye 'versleutelt' gegevens niet alleen, maar wist ze ook volledig. Daardoor worden gegevens onbruikbaar en kunnen ze niet meer worden hersteld. Daarnaast verandert RedEye de bureaubladachtergrond en wordt er een pop-upvenster geopend met een bericht waarin om losgeld wordt gevraagd.

Wat voor soort malware is BLACKOUT?

BLACKOUT, ontdekt door S!Ri, een malwarebeveiligingsonderzoeker, is een ransomwareachtig virus dat stiekem systemen infiltreert en opgeslagen gegevens versleutelt. Tijdens de versleuteling hernoemt BLACKOUT gecompromitteerde bestandsnamen met een aantal willekeurige tekens.

In tegenstelling tot andere ransomware-virussen voegt BLACKOUT echter geen bestandsextensie toe. Na een succesvolle versleuteling maakt het virus een tekstbestand ("README_3797824_81306.txt") aan met daarin een bericht met een verzoek om losgeld en plaatst het in elke bestaande map.

Wat voor soort malware is RCRU64?

RCRU64 is een ransomware die is ontworpen om bestanden te versleutelen en hun namen te wijzigen (door de ID van het slachtoffer, het e-mailadres en de extensie (".HM8") toe te voegen en twee losgeldbrieven ("Restore_Your_Files.txt" en "ReadMe.hta") met dezelfde instructies te leveren. Het is bekend dat er minstens twee andere varianten van RCRU64 zijn, zoals DontCryLol en Vypt.

Een voorbeeld van hoe RCRU64 bestanden hernoemt: het hernoemt "1.jpg" naar "1.jpg_[ID-OGA1Q_Mail-silolopi736@gmail.com].HM8", "2.png" naar "2.png_[ID-OGA1Q_Mail-silolopi736@gmail.com].HM8", enzovoort.

Wat voor soort malware is Gotmydatafast?

Tijdens onze beoordeling van de malware werd vastgesteld dat Gotmydatafast werkt als ransomware. Na het infiltreren van het besturingssysteem versleutelt Gotmydatafast bestanden, hernoemt ze en levert twee losgeldbrieven ("info.hta" en "info.txt"). Deze ransomware maakt deel uit van de Phobos-familie en werd ontdekt tijdens een onderzoek van monsters die werden geüpload naar VirusTotal.

Gotmydatafast voegt de ID van het slachtoffer, het e-mailadres gotmydatafast@skiff.com en de extensie ".gotmydatafast" toe aan bestandsnamen. Het hernoemt bijvoorbeeld "1.jpg" naar "1.jpg.id[9ECFA84E-3533].[gotmydatafast@skiff.com].gotmydatafast", "2.png" naar "2.png.id[9ECFA84E-3533].[gotmydatafast@skiff.com].gotmydatafast", enz.

Wat voor soort scam is "Tesla Space X Investment"?

Bij het inspecteren van "Tesla Space X Investment" hebben we vastgesteld dat het om oplichterij gaat. Het wordt gepresenteerd als een uitgebreid online platform dat investeringen en andere gerelateerde diensten aanbiedt. Het doel is echter om gebruikers te misleiden door cryptocurrency over te maken naar de wallet van de oplichters.

Wat voor soort pagina is cavernexplorer[.]com?

Cavernexplorer[.]com is het adres van een malafide webpagina die door ons onderzoeksteam is ontdekt tijdens een routineonderzoek naar onbetrouwbare sites. Na inspectie hebben we vastgesteld dat deze pagina spam voor browsermeldingen promoot en gebruikers omleidt naar andere (waarschijnlijk onbetrouwbare/gevaarlijke) websites.

De meeste bezoekers van webpagina's zoals cavernexplorer[.]com bereiken deze via omleidingen die worden gegenereerd door sites die gebruikmaken van malafide advertentienetwerken.