Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat is PowerShell ransomware?

PowerShell, ontdekt door beveiligingsonderzoeker SecGuru, is een ransomware-type programma. Het werd verspreid via spam e-mails (bv. valse berichten over de leveringsstatus, enz.). De schadelijke e-mailbijlage is een .js-bestand dat tweemaal is gecomprimeerd (zip binnen een zip). Het .js-bestand is een PowerShell-script dat het systeem infecteert.

Na succesvolle infiltratie versleutelt PowerShell gegevens om betaling te eisen voor de ontsleuteling. In tegenstelling tot andere ransomware voegt dit programma geen bestanden met extensies toe. Nadat de versleuteling is voltooid, wordt een HTML-bestand ("_README-Encrypted-Files.html") op het bureaublad geplaatst.

Wat is Enigma ransomware?

Enigma is een ransomware-type virus dat bestanden versleutelt met behulp van AES-128 cryptografie. Tijdens de codering voegt Enigma een ".1txt" extensie toe aan de naam van elk gecodeerd bestand (een vorige versie van Enigma voegde de ".enigma" extensie toe). Bijvoorbeeld, "sample.jpg" is hernoemd naar "sample.jpg.1txt".

Zodra de bestanden zijn versleuteld, opent Enigma een pop-up venster en creëert een tekstbestand ("enigma_info.txt", voorheen "E_N_I_G_M_A.txt" en "enigma_encr.txt"). Beide bevatten een identieke boodschap om losgeld te eisen.

Wees ervan bewust dat deze ransomware niet gerelateerd is aan of verbonden is met een legitiem bedrijf waarvan de naam het woord "Enigma" bevat.

Wat voor soort website is yourdevicesprotected[.]com?

Tijdens het analyseren van yourdevicesprotected[.]com, ontdekten we dat het een misleidende website is die een valse waarschuwing toont en toestemming vraagt om meldingen te tonen. Ons team ontdekte yourdevicesprotected[.]com tijdens een onderzoek van andere pagina's van dit soort en malafide advertenties. Deze pagina moet worden genegeerd.

Wat voor soort programma is Smilebox Tab?

Na het testen van de Smilebox Tab browserextensie, ontdekten we dat het doel van deze app is om een webbrowser te kapen. Het promoot smilebox.co (een valse zoekmachine) door de instellingen van een webbrowser te wijzigen. Het is gebruikelijk dat browserkapers worden gepromoot en verspreid met behulp van duistere methoden. We ontdekten Smilebox Tab tijdens het inspecteren van misleidende pagina's.

Wat voor soort malware is Laplas Clipper?

Laplas Clipper is de naam van een clipper-malware die de inhoud van het klembord van het slachtoffer controleert op cryptocurrency-wallets. In het besturingssysteem is het klembord een tijdelijk geheugengebied waarin gegevens worden opgeslagen terwijl ze worden verwerkt of overgedragen. Cybercriminelen gebruiken clipper-malware om in het klembord opgeslagen cryptocurrency-wallets te vervangen door hun eigen adressen.

Wat is CryptBB ransomware?

Onze onderzoekers ontdekten het CryptBB ransomware-type programma tijdens het inspecteren van nieuwe aanmeldingen bij VirusTotal. Het is gebaseerd op de LockBit 3.0 ransomware.

Zodra we een sample van CryptBB op onze testmachine lanceerden, begon het bestanden te versleutelen en hun bestandsnamen te wijzigen. Originele titels werden toegevoegd met een extensie bestaande uit een willekeurige tekenreeks, bijv. een bestand met de naam "1.jpg" verscheen als "1.jpg.UUIkzrxKZ".

Nadat het versleutelingsproces was voltooid, veranderde deze ransomware de bureaubladachtergrond en creëerde een bericht om losgeld te eisen met de titel "[random_string].README.txt". Gebaseerd op het bericht in dit tekstbestand, is het duidelijk dat CryptBB zich eerder richt op bedrijven dan op particulieren.

Wat is RomCom?

RomCom is de naam van een Remote Access Trojan (RAT). Als zodanig gecategoriseerde malware is ontworpen om op afstand toegang tot/controle over geïnfecteerde machines mogelijk te maken. RAT's kunnen zeer multifunctioneel zijn en dus verschillende bedreigingen vormen.

Het is opmerkelijk dat RomCom is gebruikt bij aanvallen tegen militaire instellingen in Oekraïne, waarschijnlijk een cybercrime-element in de Oekraïense oorlog. Daarnaast is deze trojan ingezet bij aanvallen tegen IT- en levensmiddelenbedrijven in de VS, de Filippijnen en Brazilië.

Wat is TabsMode?

Onze onderzoekers ontdekten de TabsMode browserextensie tijdens het onderzoeken van onbetrouwbare websites. Na het analyseren van deze malafide extensie, hebben we vastgesteld dat het werkt als een browser hijacker. TabsMode maakt wijzigingen in de browserinstellingen om omleidingen naar de tabsmode.xyz valse zoekmachine te veroorzaken. Bovendien bespioneert deze software de browseractiviteiten van gebruikers.

Wat voor soort programma is quick do?

Na het testen van de quick do app, vonden we dat het een browserextensie is die de instellingen van een webbrowser wijzigt om een valse zoekmachine (quicknewtab.com) te promoten. Bovendien staat deze app gebruikers niet toe om zijn wijzigingen ongedaan te maken terwijl hij aan een browser is toegevoegd. Apps die ontworpen zijn om op deze manier valse zoekmachines te promoten worden browserkapers genoemd.

Wat voor soort malware is Azov?

Azov is de naam van ransomware - malware die de toegang tot bestanden blokkeert door ze te versleutelen. Het versleutelt alle bestanden (behalve bestanden met .ini, .dll en .exe extensies) en voegt de ".azov" extensie toe aan hun bestandsnamen. Azov laat ook berichten achter (de "RESTORE_FILES.txt" bestanden) in alle mappen die het gescand heeft op bestanden.

Een voorbeeld van hoe Azov ransomware bestandsnamen verandert: het hernoemt "1.jpg" naar "1.jpg.azov", "2.png" naar "2.png.azov", enzovoort.