Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat voor soort malware is Gnik?

Gnik is ransomware die behoort tot de Dharma familie. Ons team ontdekte deze ransomware tijdens het inspecteren van malware samples ingediend bij VirusTotal. We ontdekten dat Gnik voorkomt dat slachtoffers toegang krijgen tot hun bestanden door ze te versleutelen. Het wijzigt ook bestandsnamen en levert twee berichten om losgeld te eisen.

Gnik toont een pop-upvenster en genereert een tekstbestand ("info.txt") met losgeldnotities. Een voorbeeld van hoe Gnik bestanden hernoemt: het verandert "1.jpg" in "1.jpg.id-9ECFA84E.[king2022@msgden.com].gnik", "2.png" in "2.png.id-9ECFA84E.[king2022@msgden.com].gnik". Het voegt de ID van het slachtoffer, het e-mailadres en de extensie ".gnik" toe aan de bestandsnamen.

Wat is "Norton Order Confirmation" e-mail scam?

Na onderzoek van deze e-mail hebben we ontdekt dat deze wordt verzonden door oplichters die de ontvangers willen verleiden om contact met hen op te nemen (te bellen). De e-mail is vermomd als een e-mail van NortonLifeLock (een legitiem softwarebedrijf) betreffende een orderbevestiging. Deze e-mail moet worden genegeerd.

Wat is "YouTube Copyright Infringement Warning" e-mail virus?

Na onderzoek van de e-mail hebben we vastgesteld dat dit een valse e-mail is van YouTube met betrekking tot schending van het auteursrecht. De e-mail bevat een link naar een website waarmee een archiefbestand kan worden gedownload dat een kwaadaardig bestand bevat. Cybercriminelen achter deze e-mail willen ontvangers verleiden tot het downloaden en uitvoeren van malware (een kwaadaardig bestand).

Wat is MONTI ransomware?

MONTI is een ransomware-type programma ontworpen om gegevens te versleutelen en betaling te eisen voor de decryptie tools. Het is een nieuwe variant van CONTI ransomware. Bovendien deelt MONTI extreme gelijkenissen met CONTI's modus operandi.

In februari 2022 maakte de groep achter CONTI een enorme inbreuk en een datalek mee. De openbaar gemaakte informatie - waaronder broncodes, hackingtools en andere bijbehorende gegevens - was voldoende om in wezen te dienen als een stap-voor-stap handleiding voor cybercriminelen die CONTI willen repliceren. Daarom is MONTI mogelijk niet de enige groep ransomware die zijn activiteiten baseert op de informatie die is verkregen uit de CONTI-lekken.

MONTI ransomware versleutelt bestanden en voegt aan hun bestandsnamen een extensie toe die bestaat uit vijf willekeurige tekens. Het MONTI-sample dat we op onze testmachine uitvoerden, voegde bijvoorbeeld een ".PUUUK"-extensie toe aan de bestandsnamen. Zo verscheen een bestand met de titel "1.jpg" als "1.jpg.PUUUK". Nadat de versleuteling is voltooid, creëert MONTI een tekstbestand om losgeld te eisen met de naam "readme.txt".

Wat is de "Your Order Is Processed" e-mail scam?

Na analyse van twee "Your Order Is Processed"-e-mails hebben we vastgesteld dat het om spam gaat. In deze e-mails wordt beweerd dat de ontvanger een duur artikel heeft gekocht bij een bekende verkoper. Het doel is de ontvanger ertoe te verleiden het opgegeven telefoonnummer te bellen om de aankoop te annuleren - en zo te worden verleid tot een uitgebreide scam.

Merk op dat er naast de twee door ons onderzochte varianten van deze spammail nog andere varianten kunnen bestaan. Er moet worden benadrukt dat de "Your Order Is Processed"-e-mails nep zijn en dat de legitieme entiteiten die erin worden genoemd (bv. Walmart, Target, PayPal, enz.) niet bij de zwendel betrokken zijn.

Wat is MLF ransomware?

Ons onderzoeksteam ontdekte het MLF ransomware-type programma tijdens het inspecteren van nieuwe aanmeldingen bij VirusTotal. Bovendien behoort MLF tot de Phobos ransomware familie.

Zodra een voorbeeld van deze ransomware werd uitgevoerd op onze testmachine, versleutelde het bestanden en veranderde hun bestandsnamen. De titels van de getroffen bestanden werden aangevuld met een unieke ID die was toegewezen aan het slachtoffer, het e-mailadres van de cybercriminelen en een ".MLF" extensie. Een bestand met de oorspronkelijke naam "1.jpg" verscheen bijvoorbeeld als "1.jpg.id[9ECFA84E-3377].[DataRecovery1@cock.li].MLF", enz.

Daarna creëerde MLF twee bestanden - "info.hta" (pop-up) en "info.txt" - en dropte ze op het bureaublad. Deze bestanden bevatten de losgeld notities.

Wat is Bobik?

Bobik is een kwaadaardige software geclassificeerd als een RAT (Remote Access Trojan). Deze trojans zijn ontworpen om toegang op afstand/controle over geïnfecteerde machines mogelijk te maken. Bobik kan verschillende kwaadaardige activiteiten uitvoeren, waaronder: keteninfecties veroorzaken, gegevens stelen en besmette apparaten toevoegen aan een botnet om DDoS-aanvallen uit te voeren.

Deze malware is actief gebruikt in geopolitieke aanvallen tegen Oekraïne en zijn bondgenoten. DDoS-aanvallen met Bobik zijn cybercriminele elementen in de Oekraïense oorlog.

Deze activiteit is in verband gebracht met een weinig bekende pro-Russische hackersgroep genaamd NoName057(16); verder geverifieerd door het bewijs dat is verzameld door de onderzoekers van Avast - zoals de opschepperij van de groep op Telegram die samenviel met de DDoS-aanvallen van Bobik. Avast heeft echter ook geschat dat de succespercentages van deze hackersgroep variëren van 20-40%.

Wat is Bl00dy ransomware?

Bl00dy is de naam van een ransomware-type programma, dat onze onderzoekers ontdekten tijdens het doorzoeken van nieuwe malware-inzendingen aan VirusTotal. Dit kwaadaardige programma maakt deel uit van de Babuk ransomware familie.

Zodra een voorbeeld van Bl00dy werd uitgevoerd op ons testsysteem, begon het bestanden te versleutelen en voegde hun namen toe met een ".bl00dy" extensie. Bijvoorbeeld, een originele bestandsnaam zoals "1.jpg" verscheen als "1.jpg.bl00dy", "2.png" als "2.png.bl00dy", enzovoort.

Nadat de encryptie voltooid was, dropte de ransomware een tekstbestand met de titel "How To Restore Your Files.txt" op het bureaublad. Dit bestand bevatte het bericht om losgeld te eisen, wat duidelijk maakte dat Bl00dy zich richt op bedrijven in plaats van thuisgebruikers. Bovendien gebruikte deze kwaadaardige software dubbele afpersingstactieken.

Wat zijn "Cookie Stuffing Browser Extensions"?

"Cookie Stuffing Browser Extensions" heeft betrekking op kwaadaardige browser-extensies die zijn ontworpen om affiliate-ID's in te voegen in de internetcookies van specifieke websites.

Wij hebben vier van dergelijke extensies geïnspecteerd. "AutoBuy Flash Sales, Deals, and Coupons" - met de beloofde functionaliteit om automatisch aankopen te doen bij aanbiedingen met beperkte geldigheidsduur. "FlipShope - Price Tracker Extension - kan gebruikers opsporen en waarschuwen wanneer er kortingen en andere aanbiedingen beschikbaar zijn.

"Full Page Screenshot Capture - Screenshotting" - webpagina screenshot maken en bewerkingstool. "Netflix Party" - stelt gebruikers in staat om op afstand in groep Netflix-programma's te bekijken.

Het moet worden benadrukt dat de functies die door dergelijke software worden aangeboden zelden werken zoals beloofd, en in de meeste gevallen - werken ze helemaal niet. Deze vier extensies plaatsten affiliate ID's in cookies van populaire e-commerce websites. Bovendien hebben ze allemaal datatracking capaciteiten.

Wat voor soort software is Cash?

Onze onderzoekers ontdekten de Cash bedrieglijke toepassing tijdens het inspecteren van verdachte installers. Na het analyseren van deze app, kwamen we erachter dat het reclame-ondersteunde software (adware) is.