Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat is MTX ransomware?

Bij het doorzoeken van VirusTotal voor nieuwe malware inzendingen, vonden onze onderzoekers weer een ander kwaadaardig programma dat behoort tot de Dharma ransomware familie. Dit ransomware-type programma heet MTX.

Op ons testsysteem versleutelde deze malware bestanden en voegde aan hun titels een unieke ID, het e-mailadres van de cybercriminelen en een ".MTX" extensie toe. Bijvoorbeeld, een bestand met de oorspronkelijke naam "1.jpg" verscheen als "1.jpg.id-9ECFA84E.[mtx88@onionmail.org].MTX".

Zodra de encryptie voltooid was, toonde MTX een pop-up venster en creëerde een tekstbestand "info.txt" op het bureaublad - beide bevatten berichten om losgeld te eisen.

Wat is WhisperGate ransomware?

WhisperGate werd voor het eerst geanalyseerd door Microsoft Threat Intelligence Center (MSTIC) en werd ontdekt op 13 januari 2022. Volgens het rapport van MSTIC werd deze malware expliciet uitgebracht tegen verschillende Oekraïense organisaties in geopolitiek-gemotiveerde aanvallen.

WhisperGate is een ransomware-type programma. Gewoonlijk vergrendelt kwaadaardige software binnen deze classificatie het scherm van het geïnfecteerde apparaat (screenlocker) en/of versleutelt bestanden - om losgeld te eisen voor het herstellen/decryptie van de toegang. MSTIC merkte echter op dat WhisperGate op een destructieve manier werkt en geen functionaliteit heeft die herstel mogelijk zou maken. Na ook WhisperGate te hebben geanalyseerd, zijn onze onderzoekers het eens met deze consensus.

Wat is Togo Quick Search browser hijacker?

Togo Quick Search is een mogelijk ongewenst programma (PUA) die een webbrowser kaapt door sommige van zijn instellingen te wijzigen in togosearching.com. Deze app is een browser hijacker ontworpen om een nep zoekmachine te promoten. Gebruikers downloaden en installeren dit soort apps normaal gesproken niet met opzet.

Wat voor soort malware is Sncip?

Sncip is de naam van ransomware die we hebben ontdekt tijdens het controleren van de VirusTotal pagina voor recent ingezonden malware samples. Ons team heeft Sncip getest en ontdekte dat het bestanden versleutelt en een reeks willekeurige tekens en de extensie ".sncip" aan hun bestandsnamen toevoegt. Ook maakt het het bestand "eauk_HOW_TO_DECRYPT.txt" aan.

Een voorbeeld van hoe Sncip bestanden hernoemt: het verandert "1.jpg" in "1.jpg.ynTca1SK21D-LM1Vd9xbHtELRrRBnYVkXLwJynRsec__LAAAACwAAAA0. sncip", "2.jpg" naar "2.jpg.ynTca1SK21D-LM1Vd9xbHtELRrRBnYVkXLwJynRsec__LAAAACwAA0.sncip". Het tekstbestand dat Sncip aanmaakt bevat een bericht om losgeld te eisen.

Wat voor soort malware is ZOZL?

Ons team heeft de ZOZL ransomware ontdekt tijdens het analyseren van de samples ingediend bij VirusTotal. Onze belangrijkste bevindingen zijn dat ZOZL deel uitmaakt van de Phobos ransomware familie en bestanden versleutelt, twee losgeld berichten genereert ("info.hta" en "info.txt"), en bestanden hernoemt.

Een voorbeeld van hoe ZOZL bestanden hernoemt (het voegt de ID van het slachtoffer, ops@mailc.net e-mailadres en de ".ZOZL" extensie toe aan bestandsnamen: het verandert "1.jpg" in "1.jpg.id[9ECFA84E-3275].[ops@mailc.net].ZOZL", "2.jpg" in "2.jpg.id[9ECFA84E-3275].[ops@mailc.net].ZOZL".

Wat is Bl ransomware?

Bij het onderzoeken van nieuwe inzendingen op VirusTotal, vonden onze onderzoekers een ander kwaadaardig programma dat behoort tot de Dharma ransomware familie - genaamd Bl.

Eenmaal uitgevoerd op ons test systeem, versleutelde deze ransomware bestanden en veranderde hun namen. Getroffen bestanden werden hernoemd volgens dit patroon - originele bestandsnaam, unieke ID, cybercriminelen e-mail adres, en de ".Bl" extensie. Bijvoorbeeld, een bestand als "1.jpg" verscheen als "1.jpg.id-9ECFA84E.[mr.black@disroot.org].Bl".

Na de voltooiing van dit proces, toonde/maakte Bl berichten om losgeld te eisen in een pop-up venster en een tekstbestand met de naam "info.txt".

Wat voor soort malware is Farattack?

Wij hebben de Farattack ransomware ontdekt tijdens het inspecteren van de monsters die zijn ingediend bij VirusTotal. Tijdens de analyse hebben we ontdekt dat Farattack drie belangrijke eigenschappen heeft: het versleutelt bestanden, voegt de ".farattack" extensie toe aan bestandsnamen, en creëert het "How_to_recovery.txt" tekstbestand (een losgeld bericht).

Een voorbeeld van hoe Farattack ransomware bestandsnamen wijzigt: het hernoemt "1.jpg" naar "1.jpg.farattack", "document.txt" naar "document.txt.farattack", enzovoort.

Wat voor soort malware is Blender?

We hebben de Blender ransomware ontdekt tijdens het controleren van de malware samples ingediend bij VirusTotal. We ontdekten dat het deel uitmaakt van de VoidCrypt ransomware familie. Na het testen van de ransomware, kwamen we te weten dat het bestanden codeert, hun bestandsnamen wijzigt, en losgeld notities geeft in een pop-up venster ("DeCryption-Guide.hta") en het "DeCryption-Guide.txt" tekst bestand.

Terwijl we controleerden hoe de Blender ransomware bestandsnamen beïnvloedt, ontdekten we dat het een reeks willekeurige tekens, dechelper@yandex.com e-mailadres, en de ".blender" extensie aan de bestandsnamen toevoegt. Bijvoorbeeld, het hernoemt "1.jpg" naar "1.jpg.(MJ-BQ5418026973)(DecHelper@yandex.com).blender", "2.jpg" naar "2.jpg.(MJ-BQ5418026973)(DecHelper@yandex.com).blender".

Wat is VSOP ransomware?

Onze onderzoekers ontdekten VSOP ransomware tijdens een routine inspectie van nieuwe malware inzendingen op VirusTotal. Tijdens het analyseren van een voorbeeld, leerden we dat deze ransomware bestanden versleutelt en hun namen appende met een ".PPLIT" extensie. Ter verduidelijking, een bestand met de aanvankelijke titel "1.jpg" verscheen als "1.jpg.PPLIT", "2.jpg" als "2.jpg.PPLIT", enz. Daarna maakte VSOP een bericht om losgeld te eisen - "README.txt" - aan op het bureaublad.

Wat voor soort malware is Asistchinadecryption?

We hebben de Asistchinadecryption ransomware geanalyseerd (die werd ontdekt door onze malware-onderzoekers tijdens het onderzoeken van monsters ingediend bij VirusTotal) en ontdekten dat het bestanden versleutelt en ".asistchinadecryption" en de ID van het slachtoffer toevoegt aan bestandsnamen.

Bijvoorbeeld, Asistchinadecryption hernoemt "1.jpg" naar "1.jpg.asistchinadecryption .C04-41D-05E", "2.jpg" naar "2.jpg.asistchinadecryption .C04-41D-05E". Ook creëert het de "!!! ALL YOUR FILES ARE ENCRYPTED!!!TXT" bestand aan. We hebben ook ontdekt dat Asistchinadecryption deel uitmaakt van de ZEPPELIN ransomware familie.