Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat is LockBit ransomware?

LockBit is de naam van een ransomware die gericht is op Mac-besturingssystemen (OS). Het wordt in verband gebracht met de LockBit ransomware bende - de ontwikkelaars van LockBit, LockBit 2.0, LockBit 3.0, en verschillende andere varianten. De bovengenoemde malware is gericht op Windows, Linux en VMware ESXi-servers.

Op het moment van schrijven is LockBit (Mac) de eerste bekende ransomware voor MacOS die door een grote cybercriminele bende is ontwikkeld. Het door ons onderzochte sample is echter nog in ontwikkeling en is vrijgegeven voor tests.

Gewoonlijk werkt ransomware door de bestanden van slachtoffers te versleutelen en betaling te eisen voor ontsleuteling. Het is hoogst onwaarschijnlijk dat deze LockBit-versie zijn doel bereikt. Ten eerste, zijn ongeldige handtekening wordt gedetecteerd als onvertrouwd door besturingssystemen, en de ransomware heeft de neiging om te crashen bij handmatige uitvoering. Het moet echter vermeld worden dat mogelijke toekomstige varianten in staat zijn om Mac-apparaten met succes te versleutelen.

Wat is DAAM botnet?

DAAM is een Android-botnet dat sinds 2021 wordt gebruikt om ongeoorloofde toegang te krijgen tot doelapparaten. Cybercriminelen gebruiken het om verschillende kwaadaardige operaties uit te voeren. Met het DAAM Android-botnet kunnen cybercriminelen schadelijke code koppelen aan een echte toepassing via de APK-bindingsdienst.

Wat is "Security Breach - Stolen Data"?

Na onderzoek van deze e-mail hebben we vastgesteld dat het om een frauduleuze afpersingsbrief gaat. Deze phishing-campagne bestaat uit minstens twee versies van de brief, waarbij de daders de namen van bekende cybercriminelen gebruiken om te intimideren en hun dreigementen geloofwaardig te maken.

Wat is H3r ransomware?

H3r is een ransomware die door onze onderzoekers werd ontdekt tijdens een routine inspectie van nieuwe aanmeldingen bij VirusTotal. Dit programma maakt deel uit van de Dharma ransomware familie en werkt door het versleutelen van gegevens om losgeld te eisen voor de ontsleuteling ervan.

Op ons testsysteem hernoemde H3r de versleutelde bestanden door hun titels aan te vullen met een unieke ID die aan het slachtoffer was toegewezen, het e-mailadres van de cybercriminelen en een ".h3r" extensie. Een bestand met de oorspronkelijke naam "1.jpg" verscheen bijvoorbeeld als "1.jpg.id-9ECFA84E.[herozerman@tutanota.com].h3r". Daarna toonde/maakte H3r ransomware een losgeldbrief in een pop-up venster en een tekstbestand met de titel "info.txt".

Wat voor soort malware is Rorschach?

Rorschach (ook bekend als BabLock) is ransomware die bestanden versleutelt. De aanvallers richten zich op kleine en middelgrote ondernemingen en industriële bedrijven. Naast het versleutelen van gegevens voegt Rorschach ook een willekeurige tekenreeks en een getal van twee cijfers (variërend van 00 tot 98) toe aan het einde van bestandsnamen.

Het laat ook een losgeldbrief achter ("_r_e_a_d_m_e.txt") en verandert de achtergrond van het bureaublad. Een voorbeeld van hoe Rorschach bestandsnamen wijzigt: het verandert "1.jpg" in "1.jpg.slpqne.37", "2.png" in "2.png.slpqne.39", enzovoort. De toegevoegde reeks willekeurige tekens kan variëren afhankelijk van de ransomware-variant.

Wat is BOOM (Phobos) ransomware?

Tijdens het inspecteren van nieuwe aanmeldingen bij VirusTotal, ontdekten onze onderzoekers BOOM - een kwaadaardig programma dat behoort tot de Phobos ransomware familie. Malware in deze classificatie is ontworpen om gegevens te versleutelen en losgeld te eisen voor de ontsleuteling ervan.

Nadat we een sample van BOOM (Phobos) ransomware op onze testmachine hadden uitgevoerd, werden bestanden versleuteld en hun bestandsnamen gewijzigd. Aan de oorspronkelijke bestanden werd een unieke ID van het slachtoffer, het e-mailadres van de cybercriminelen en een extensie ".BOOM" toegevoegd. Zo verscheen een bestand met de oorspronkelijke titel "1.jpg" op ons testsysteem na versleuteling als "1.jpg.id[9ECFA84E-3344].[shadow1779@tutanota.com].BOOM".

Zodra dit proces was voltooid, maakte/vertoonde de ransomware losgeldnotities in een pop-upvenster ("info.hta") en een tekstbestand ("info.txt").

Wat voor soort malware is Proton?

Proton is ransomware die ons team ontdekte op VirusTotal tijdens het controleren van de pagina voor recent ingediende malwarevoorbeelden. We ontdekten dat Proton bestanden versleutelt, het e-mailadres kigatsu@tutanota.com, de ID van het slachtoffer en de ".kigatsu"-extensie toevoegt aan bestandsnamen en een losgeldbrief ("README.txt") aanmaakt.

Een voorbeeld van hoe Proton ransomware bestandsnamen wijzigt: het hernoemt "1.jpg" naar "1.jpg.[Kigatsu@tutanota.com][719149DF].kigatsu", "2.png" naar "2.png.[Kigatsu@tutanota.com][719149DF].kigatsu", enzovoort.

Wat voor soort pagina is greatcaptchanow[.]top?

Greatcaptchanow[.]top en de varianten van dit domein en de varianten die ermee verband houden (bv. greatcaptchasnow[.]top, enz.) behoren tot malafide websites, die we tijdens een routine-inspectie van onbetrouwbare sites hebben ontdekt.

Deze pagina's zijn ontworpen om twijfelachtige inhoud te hosten en spam voor browsermeldingen te promoten. Bovendien kunnen ze bezoekers omleiden naar andere (waarschijnlijk dubieuze/misdadige) websites. De meeste gebruikers komen op webpagina's als greatcaptchanow[.]top via omleidingen die worden veroorzaakt door sites die gebruik maken van malafide advertentienetwerken.

Wat voor soort e-mail is "Reconfirm Shipping Documents"?

Ons onderzoek van de "Reconfirm Shipping Documents" e-mail wees uit dat het om spam gaat. Deze scam e-mail vraagt de ontvanger om de bijgevoegde documentatie opnieuw te bevestigen. De twee bijlagen zijn phishing-bestanden waarin de ingevoerde informatie wordt vastgelegd.

Wat voor soort pagina is opencaptchahere[.]top?

Bij onze inspectie van opencaptchahere[.]top is gebleken dat het een misleidende aanpak gebruikt om bezoekers te overtuigen om het toe te staan meldingen te versturen. Ook kan opencaptchahere[.]top bezoekers omleiden naar twijfelachtige websites. Opencaptchahere[.]top werd aangetroffen tijdens het onderzoeken van pagina's die gebruik maken van louche advertentienetwerken.