Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat is "SppExtComObjHook.dll"?

Het bestand SppExtComObjHook.dll wordt in verband gebracht met verschillende illegale software activeringshulpmiddelen zoals KMSPico, AutoKMS, Re-Loader, en KMSAuto.

Deze hulpmiddelen activeren Microsoft Windows of Office producten zonder betaling te eisen. Gewoonlijk detecteren anti-virus of anti-spyware suites het SppExtComObjHook.dll bestand als een bedreiging wanneer één van de voornoemde (of andere) activeringstools wordt geopend. Het gebruik van deze hulpmiddelen is illegaal en ze infecteren computers vaak met malware.

Wat voor soort malware is Warzone?

Warzone is een trojan (RAT) die cybercriminelen gebruiken om op afstand toegang te krijgen tot de computers van slachtoffers. Deze trojan wordt geadverteerd via een openbare website, en kan dus door iedereen worden gedownload en gebruikt.

Gewoonlijk proberen cybercriminelen mensen te verleiden tot het installeren van deze programma's en ze vervolgens te gebruiken om verschillende persoonlijke gegevens te stelen die kunnen worden gebruikt om op verschillende manieren inkomsten te genereren.

Wat is ApolloRAT?

ApolloRAT is een stuk kwaadaardige software gecategoriseerd als een RAT (Remote Access Trojan). Dit soort malware maakt toegang op afstand en controle over geïnfecteerde apparaten mogelijk.

ApolloRAT is geschreven in Python. Programmeertalen zoals Python zijn meestal afhankelijk van compilers. De ontwikkelaars van deze RAT hebben de Nuitka source-to-source compiler gebruikt, wat ongebruikelijk is - maar de complexiteit maakt het moeilijk om ApolloRAT te reverse-engineeren.

Het is ook opmerkelijk dat deze malware het Discord messaging platform gebruikt als zijn C&C server, wat nog een laag toevoegt aan de kwaliteiten van ApolloRAT die detectie ervan bemoeilijken.

Wat is Conhost.exe?

Conhost.exe (Console Window Host) is het proces van een programma (cryptominer) dat is ontworpen om Monero cryptocurrency te minen. Over het algemeen verleiden cybercriminelen mensen tot het downloaden en installeren van dit programma om inkomsten te genereren.

Samengevat gebruikt het programma computerbronnen om cryptocurrency te minen wanneer een gebruiker zich aanmeldt op het Windows-besturingssysteem. Merk op dat de aanwezigheid van deze malware de computerprestaties aanzienlijk vermindert.

Wat is NMO ransomware?

Tijdens het doorzoeken van nieuwe inzendingen naar VirusTotal, vonden onze onderzoekers weer een ransomware-type programma - genaamd NMO - dat behoort tot de Dharma ransomware familie.

Na het uitvoeren van een voorbeeld van NMO op onze testmachine, versleutelde het bestanden en veranderde hun bestandsnamen. De originele titels werden aangevuld met een unieke ID, het e-mailadres van de cybercriminelen, en een ".NMO" extensie. Bijvoorbeeld, een bestand met de naam "1.jpg" verscheen als "1.jpg.id-9ECFA84E.[dr.nemo@tutanota.com].NMO".

Zodra de encryptie voltooid was, toonde de ransomware een pop-up venster en dropte een tekstbestand getiteld "info.txt" op het bureaublad. Zowel de pop-up als het tekstbestand bevatten berichten om losgeld te eisen.

Wat is H0lyGh0st ransomware?

H0lyGh0st, ook bekend als HolyGhost, is een ransomware-type programma. Het is ontworpen om gegevens te versleutelen en losgeld te eisen voor de ontsleuteling. Bovendien is bekend dat H0lyGh0st infecties gepaard gaan met dubbele afpersingstactieken (d.w.z. extra bedreigingen waarbij gegevens uitlekken).

Deze malware is in verband gebracht met Noord-Koreaanse cybercriminelen die zich richten op kleine tot middelgrote bedrijven; het Microsoft Threat Intelligence Center heeft deze activiteit gevolgd.

Nadat we een monster van H0lyGh0st op ons testsysteem hadden gestart, versleutelde het bestanden en wijzigde het de namen. De originele bestandsnamen werden veranderd in een willekeurige tekenreeks en kregen de extensie ".h0lyenc". Bijvoorbeeld, een bestand met de naam "1.jpg" verscheen als "U3RhcnQgVG9yIEJyb3dzZXIubG5r.h0lyenc", "2.png" als "SVBWYW5pc2gubG5r.h0lyenc", enz.

Daarna werd een HTML-bestand met de naam "FOR_DECRYPT.html" op het bureaublad geplaatst. Dit bestand bevatte de losgeld-eisende boodschap.

Wat voor soort malware is CloudMensis?

Tijdens het analyseren van de samples die zijn ingediend op de VirusTotal-pagina, ontdekte ons team spyware die zich richt op macOS-gebruikers met de naam CloudMensis. Het bleek dat CloudMensis is geschreven in de programmeertaal Objective-C. Het kan documenten en e-mailbijlagen stelen, het scherm vastleggen, toetsaanslagen loggen en andere gevoelige gegevens stelen.

Wat is ArkeiStealer?

ArkeiStealer (ook bekend als Arkei Stealer) is een type malware dat gevoelige, vertrouwelijke informatie steelt, die cybercriminelen vervolgens kunnen gebruiken om inkomsten te genereren. Uit onderzoek blijkt dat ArkeiStealer in staat is om inloggegevens en sleutels van cryptocurrency-wallets te stelen.

Door toegang te krijgen tot dergelijke informatie, kunnen cybercriminelen aanzienlijke financiële verliezen en andere problemen veroorzaken. Daarom, als er een reden is om te vermoeden dat ArkeiStealer is geïnstalleerd op de computer, verwijder het dan onmiddellijk.

Wat is "ProtonMail email scam"?

"ProtonMail email scam" verwijst naar een spamcampagne die bedoeld is om de ProtonMail-mailaccounts van gebruikers te kapen. In deze berichten wordt beweerd dat het e-mailaccount van de ontvanger is opgeschort wegens niet gespecificeerde en onopgeloste fouten, waardoor zij het risico lopen de toegang te verliezen en gegevens te wissen.

De zwendel spoort mensen aan de problemen onmiddellijk aan te pakken, maar de link in de e-mail leidt naar een phishing-website. Pogingen om in te loggen via deze site zullen gebruikersnamen en wachtwoorden onthullen aan de oplichters, waardoor zij toegang krijgen tot de blootgestelde ProtonMail accounts.

Wat is Quick Forms?

Quick Forms is een malafide applicatie gecategoriseerd als een browser hijacker en onderschreven als een hulpmiddel voor gemakkelijke toegang tot verschillende formulier websites. Quick Forms werkt door het wijzigen van browserinstellingen ter promotie van hquick-forms.com (een valse zoekmachine). Bovendien, deze app heeft gegevens tracking capaciteiten, die worden gebruikt om de surfactiviteit van gebuikers te controleren.

Vanwege de dubieuze verspreidingsmethoden die worden gebruikt om Quick Forms te promoten, wordt het ook geclassificeerd als een mogelijk ongewenst programma (PUA). Quick Forms wordt vaak verspreid samen met een andere PUA genaamd Hide My History.