Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat voor soort malware is NEVADA?

NEVADA is de naam van ransomware die gericht is op Windows en Linux besturingssystemen. Het is geschreven in de programmeertaal Rust. NEVADA codeert bestanden, voegt de extensie ".NEVADA" toe aan bestandsnamen en plaatst zijn bericht (het bestand "readme.txt") in mappen met versleutelde bestanden.

Een voorbeeld van hoe NEVADA ransomware bestandsnamen wijzigt: het verandert "1.jpg" in "1.jpg.NEVADA", "2.doc" in "2.doc.NEVADA", enzovoort. Cybercriminelen die NEVADA hebben ontwikkeld, verkopen het via het RaaS-model (Ransomware as a service).

Wat is "Microsoft Has Blocked The Computer"?

Vergelijkbaar met "Microsoft Security Alert", "Suspicious Connection", "Firewall Breach Detected", en vele anderen, "Microsoft Has Blocked The Computer" is een valse foutmelding weergegeven door een misleidende website.

Onderzoek toont aan dat gebruikers vaak worden omgeleid naar deze website door verschillende mogelijk ongewenste programma's (PUPs) die vaak systemen infiltreren zonder toestemming. Naast het veroorzaken van omleidingen, misbruiken PUP's systeembronnen, verzamelen ze informatie en leveren ze kwaadaardige advertenties (pop-ups, coupons, banners, enz.).

Wat voor soort scam is "Paid/Unpaid Invoice"?

Na onderzoek van de e-mail hebben we vastgesteld dat het om een phishing-poging gaat van oplichters die gevoelige informatie willen verkrijgen. De e-mail lijkt te gaan over een factuur, maar het is eigenlijk een uitgebreid bedrog, met een valse HTML-bestandsbijlage. Ontvangers moeten niet ingaan op deze e-mail en deze behandelen als spam.

Wat is Ice Breaker?

Ice Breaker is een backdoor-type malware geschreven in Node.js. Campagnes met dit schadelijke programma werden in 2022 voor het eerst geïdentificeerd door Security Joes. Deze aanvallen waren gericht op de gaming- en gokindustrie en waren vooral herkenbaar door de social engineering-technieken die de cybercriminelen toepasten.

Op het moment van schrijven zijn de cybercriminelen achter Ice Breaker-campagnes niet geïdentificeerd als behorend tot een specifieke hackersgroep of geografische regio. Er zijn echter aanwijzingen dat deze criminelen het Engels niet als moedertaal hebben.

Wat is Honkai (Paradise) ransomware?

Onze onderzoekers ontdekten de Honkai ransomware tijdens het inspecteren van nieuwe aanmeldingen bij VirusTotal. Dit schadelijke programma maakt deel uit van de Paradise ransomware familie.

Toen we een sample van Honkai (Paradise) ransomware op ons testsysteem uitvoerden, begon het met het versleutelen van bestanden en het wijzigen van hun titels.

Originele bestandsnamen werden aangevuld met een unieke ID die was toegewezen aan het slachtoffer, het e-mailadres van de cybercriminelen en een ".honkai" extensie. Een bestand met de naam "1.jpg" verscheen bijvoorbeeld als "1.jpg[id-f48tSVGB].[main@paradisenewgenshinimpact.top].honkai".

Daarna dropte de ransomware een bericht om losgeld te eisen met de titel "#DECRYPT MY FILES#.html" op het bureaublad.

Wat is GoogleUpdate?

GoogleUpdate is een kwaadaardig programma dat we vonden na het installeren van een malafide setup gedownload van een misleidende webpagina. Het installatieprogramma werd ook gebundeld met adware. Daarom, als GoogleUpdate aanwezig is op het systeem - is andere ongewenste of kwaadaardige inhoud waarschijnlijk ook geïnfiltreerd.

Wat voor soort malware is Backshow?

Backshow is de naam van ransomware die onze malware-onderzoekers ontdekten tijdens het inspecteren van monsters die aan de VirusTotal werden voorgelegd. Het versleutelt bestanden en voegt de ID van het slachtoffer, het e-mailadres mail-backshow@my.com en een willekeurige extensie van drie tekens toe aan de bestandsnamen. Het laat ook een losgeldbrief (het bestand "Restore_Your_Files.txt") achter op het bureaublad.

Een voorbeeld van hoe Backshow ransomware bestandsnamen wijzigt: het hernoemt "1.jpg" naar "1.jpg_[ID-ZKIDJ_Mail-backshow@my.com].NCA", "2.png" naar "2.png_[id-2qhon_mail-backshow@my.com].ZO8", enzovoort.

Wat voor soort e-mail is "Thank You For Shopping With Apple"?

Na onderzoek van de e-mail "Thank You For Shopping With Apple" hebben we vastgesteld dat het om spam gaat. De mail wordt gepresenteerd als een kennisgeving betreffende een aankoop bij Apple. Het doel van deze spammail is om ontvangers te verleiden de "hulplijn voor ondersteuning" te bellen, waarschijnlijk om de nepaankoop te annuleren.

Het moet worden benadrukt dat de "Thank You For Shopping With Apple" e-mail nep is, net als alle beweringen die erin worden gedaan. Er moet ook worden benadrukt dat deze zwendel op geen enkele wijze verband houdt met Apple Inc.

Wat is "Windows Firewall Protection Alert"?

Tijdens het inspecteren van malafide websites vond ons onderzoeksteam een webpagina die de "Windows Firewall Protection Alert" technische ondersteuningszwendel promoot.

Deze scam bootst de officiële website van Microsoft en Windows Security - het front-end van Microsoft Defender - nauwgezet na. De valse interface voert een systeemscan uit en detecteert bedreigingen die ertoe hebben geleid dat de toegang van de gebruiker tot zijn apparaat is geblokkeerd. De zwendel geeft de opdracht om "Windows Support" te bellen en de problemen op te lossen.

Het moet worden benadrukt dat al deze beweringen vals zijn, en ze zijn op geen enkele manier geassocieerd met Microsoft.

Wat voor soort scam is "PayPal Account Has Been Charged"?

Dit is een valse mail van PayPal waarin wordt beweerd dat een bepaald bedrag van de rekening van de gebruiker zal worden afgeschreven. De oplichters erachter proberen de ontvangers te verleiden om het opgegeven nummer te bellen. Het bedrijf PayPal heeft niets te maken met deze e-mail. Deze mail moet dus worden genegeerd.