Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat is Surf Start?

Tijdens het inspecteren van verdachte websites, ontdekte ons onderzoeksteam de Surf Start browserextensie. Het belooft gemakkelijke toegang tot surfsport resultaten en nieuws. Onze inspectie onthulde echter dat Surf Start werkt als een browser hijacker en de valse zoekmachine search.nstart.online promoot.

Wat is "McAfee - Your Card Payment Has Failed!"?

Tijdens het inspecteren van sites die malafide advertentienetwerken gebruiken, ontdekten onze onderzoekers de "McAfee - Your Card Payment Has Failed!"-zwendel. Het beweert dat de McAfee anti-virus is verlopen als gevolg van een mislukte terugkerende betaling. Gebruikers worden aangemoedigd dit probleem te verhelpen en de kwetsbare apparaten te beschermen.

In de meeste gevallen wordt dit zwendelmodel gebruikt om gebruikers te verleiden tot het downloaden/installeren en/of kopen van (waarschijnlijk dubieuze) producten. Het moet worden benadrukt dat zowel het McAfee anti-virus als de ontwikkelaars ervan McAfee Corp. niet geassocieerd zijn met deze zwendel.

Wat voor soort malware is CryWiper?

CryWiper is malware die zich voordoet als ransomware. Het werkt als een gegevensvernietiger: in plaats van bestanden te versleutelen, beschadigt CryWiper ze. Het voegt ook de extensie ".CRY" toe aan bestandsnamen en verwijdert schaduwkopieën om te voorkomen dat slachtoffers hun bestanden kunnen herstellen. Bedreigers achter CryWiper hebben het gemunt op Russische organisaties.

Wat voor soort malware is PUTIN?

PUTIN is ransomware die behoort tot de CONTI familie. Het voorkomt dat slachtoffers toegang krijgen tot gegevens door ze te versleutelen. PUTIN voegt ook de ".PUTIN" extensie toe aan de bestandsnamen van alle versleutelde bestanden en laat het "README.txt" bestand vallen dat contactinformatie bevat.

Een voorbeeld van hoe PUTIN ransomware versleutelde bestanden hernoemt: "1.jpg" naar "1.jpg.PUTIN", "2.png" naar "2.png.PUTIN", enzovoort.

Wat voor soort malware is BlackRock?

BlackRock is kwaadaardige software (bankmalware) die specifiek gericht is op de Android-besturingssystemen op smartphones. BlackRock werd voor het eerst gespot in het tweede kwartaal van 2020.

Deze mobiele malware is gemaakt met behulp van de broncode van andere schadelijke software genaamd Xerxes (een variant van een andere banktrojan genaamd LokiBot). BlackRock richt zich ook op apps voor niet-financiële toepassingen (zoals dating, sociale media en communicatie). De cybercriminelen achter BlackRock richten zich dus ook op gebruikers die geen apps voor mobiel bankieren gebruiken.

Wat voor soort malware is Trigona?

Trigona is ransomware die bestanden versleutelt en de "._locked" extensie toevoegt aan bestandsnamen. Het laat ook het "how_to_decrypt.hta" bestand vallen dat een bericht opent. Een voorbeeld van hoe Trigona bestanden hernoemt: het hernoemt "1.jpg" naar "1.jpg._locked", "2.png" naar "2.png._locked", enzovoort.

De versleutelde ontcijferingssleutel, de campagne-ID en de ID van het slachtoffer worden opgenomen in de versleutelde bestanden.

Wat is LilithBot?

LilithBot is een zeer veelzijdig stuk kwaadaardige software. Er zijn verschillende varianten van deze malware, en het werkt voornamelijk als een botnet, cryptominer, clipper en stealer.

Onderzoek door Zscaler suggereert dat de ontwikkelaars van LilithBot dezelfde zijn als die achter de Eternity-malwarefamilie. Zowel LilithBot als Eternity worden aangeboden als MaaS (Malware-as-a-Service). Daarom kan de verspreiding en het gebruik van deze programma's drastisch variëren.

Wat voor soort malware is WASP?

WASP is de naam van een informatie-stelende malware die wachtwoorden, creditcardgegevens, Discord-accounts, cryptocurrency-portefeuilles en persoonlijke bestanden van slachtoffers steelt en naar de dreigingsactor stuurt. De gestolen gegevens worden verzonden via een Discord-webhookadres. Er is waargenomen dat WASP voor 20 dollar aan cybercriminelen werd verkocht.

Wat is HBM ransomware?

HBM is de naam van een ransomware-type programma ontworpen om gegevens te versleutelen en betaling te eisen voor de ontsleuteling. Dit kwaadaardige programma maakt deel uit van de Dharma ransomware familie.

Zodra een sample van HBM werd uitgevoerd op onze testmachine, begon het met het versleutelen van bestanden en het wijzigen van hun bestandsnamen. Aan de oorspronkelijke titels werd een unieke ID van het slachtoffer, het e-mailadres van de cybercriminelen en een extensie ".HBM" toegevoegd. Een bestand met de oorspronkelijke naam "1.jpg" verscheen bijvoorbeeld als "1.jpg.id-1E857D00.[hebem@cock.li].HBM".

Daarna werden er berichten aangemaakt om losgeld te eisen; het ene werd gepresenteerd in een pop-upvenster en het andere - een tekstbestand met de titel "info.txt" - werd op het bureaublad geplaatst.

Wat is Cryptonite (.cryptn8) ransomware?

Cryptonite (.cryptn8) is een ransomware ontworpen om gegevens te versleutelen en betaling te eisen voor de ontsleuteling. Zoals gemeld door Fortinet is dit een aanpasbare versie van ransomware die gratis beschikbaar is, wat ongebruikelijk is.

Malware van dit type voegt meestal een extensie toe aan de versleutelde bestanden, en ".cryptn8" lijkt de standaard te zijn - er zijn echter aanwijzingen dat de cybercriminelen dit kunnen veranderen. Bovendien kunnen de cybercriminelen die Cryptonite (.cryptn8) ransomware gebruiken relevante gegevens wijzigen die het operationeel maken, dat wil zeggen, losgeldbedrag, cryptocurrency wallet adres (waarin de betaling moet worden gedaan), en contactinformatie.

Het sample van Cryptonite dat we uitvoerden op ons testsysteem voegde aan de versleutelde bestanden ".cryptn8" toe, bijvoorbeeld een bestand met de titel "1.jpg" verscheen als "1.jpg.cryptn8", "2.png" als "2.png.cryptn8", enz. Tijdens het coderingsproces toonde deze ransomware een nep update scherm. Daarna creëerde het een pop-up met een bericht om losgeld te eisen.