Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat voor soort malware is Defi?

Onze onderzoekers ontdekten een ransomware-type programma van de Makop-familie genaamd Defi tijdens het inspecteren van nieuwe aanmeldingen op de VirusTotal-website. Ransomware versleutelt de gegevens van slachtoffers en eist losgeld voor de ontsleuteling.

Op ons testsysteem versleutelde Defi bestanden en wijzigde de titels ervan. Aan de oorspronkelijke bestandsnamen werd een unieke ID toegevoegd die aan het slachtoffer was toegewezen, het e-mailadres van de cybercriminelen en een ".defi1328" extensie (merk op dat het getal in de extensie kan variëren afhankelijk van de variant van de ransomware). Een bestand met de oorspronkelijke naam "1.jpg" verscheen als "1.jpg.[2AF20FA3].[wewillrestoreyou@cyberfear.com].defi1328" op onze testmachine.

Zodra het versleutelingsproces was voltooid, veranderde Defi ransomware de bureaubladachtergrond en liet een losgeldbrief achter in een tekstbestand met de titel "+README-WARNING+.txt".

Wat voor pagina is oneladsblog[.]com?

Onze inspectie van oneladsblog[.]com heeft aangetoond dat deze pagina een misleidende methode gebruikt om ontvangers te verleiden tot het geven van meldingen. Doorgaans bombarderen sites zoals oneladsblog[.]com gebruikers met vervelende en misleidende meldingen. Het is dus aan te raden om dit soort websites geen toestemming te geven.

Wat is searchresultsadblocker.com?

Tijdens ons onderzoek naar searchresultsadblocker.com hebben we ontdekt dat het een valse zoekmachine is die gepromoot wordt via een browser hijacker (een ongewenste extensie). Meestal voegen gebruikers extensies die adressen promoten zoals searchresultsadblocker.com onbedoeld toe. Het is belangrijk voor gebruikers om voorzichtig te zijn met verdachte extensies en ze te verwijderen als ze al aanwezig zijn.

Wat is de valse Online Security Chrome-extensie?

Deze browserextensie "Online Security" is nep omdat het een legitieme extensie met dezelfde naam imiteert. De imitatiesoftware kan gegevens volgen en het gedrag van browsers wijzigen.

Onze onderzoekers ontdekten deze kwaadaardige extensie in een installatie-setup die werd gepromoot door een scam-pagina die werd gevonden tijdens een routineonderzoek van een Torrenting-website die gebruikmaakt van malafide advertentienetwerken. De installatie bevatte ook andere ongewenste en potentieel gevaarlijke software.

Wat voor website is telixsearch.com?

Telixsearch.com is het adres van een valse zoekmachine die wordt gepromoot door de Telix Search browser hijacker. Software in deze categorie wijzigt browserinstellingen om (via omleidingen) de website telixsearch.com te ondersteunen.

Wat voor website is search-boss.com?

Search-boss.com is een nep-zoekmachine en kan - zoals de meeste - geen zoekresultaten genereren. Browser-hijacking software onderschrijft sites zoals search-boss.com via omleidingen. Het is relevant om te vermelden dat gebruikers die gedwongen worden om search-boss.com te bezoeken ook omleidingen naar een andere onwettige zoekmachine kunnen ervaren - exploreahoy.com.

Wat voor soort malware is DennisTheHitman?

Tijdens het beoordelen van nieuwe malware-inzendingen op het VirusTotal-platform ontdekte ons onderzoeksteam de DennisTheHitman ransomware. Dit schadelijke programma maakt deel uit van de GlobeImposter ransomware-familie. Deze klasse van malware versleutelt gegevens en eist betaling voor de ontsleuteling.

Op onze testmachine versleutelde DennisTheHitman bestanden en voegde aan hun bestandsnamen een ".247_dennisthehitman" extensie toe. Zo verscheen een bestand met de oorspronkelijke naam "1.jpg" als "1.jpg.247_dennisthehitman", enzovoort voor alle vergrendelde bestanden. Het is opmerkelijk dat het getal in de extensie kan verschillen afhankelijk van de ransomware variant.

Zodra het versleutelingsproces was voltooid, creëerde DennisTheHitman een losgeld-eisend bericht in een HTML-bestand met de titel "how_to_back_files.html". Gebaseerd op de notitie is het duidelijk dat deze ransomware zich richt op bedrijven in plaats van thuisgebruikers. Het gebruikt ook dubbele afpersingstactieken.

Wat voor soort malware is NoDeep?

Tijdens onze analyse van NoDeep ontdekten we dat het ransomware is van de Proton-familie. Het versleutelt bestanden, voegt een e-mailadres (nodeep@tutamail.com) en de extensie (".nodeep") toe aan bestandsnamen en laat een losgeldbrief ("#Read-for-recovery.txt") achter. Onze ontdekking van NoDeep vond plaats tijdens het inspecteren van monsters die waren ingediend bij VirusTotal.

Een voorbeeld van hoe NoDeep de bestandsnamen van versleutelde bestanden wijzigt: het hernoemt "1.jpg" naar "1.jpg.[nodeep@tutamail.com].nodeep", "2.png" naar "2.png.[nodeep@tutamail.com].nodeep", enzovoort.

Wat voor soort malware is Dark Eye?

Dark Eye is ransomware die behoort tot de Xorist-familie. We ontdekten het tijdens het controleren van malwarevoorbeelden die waren ingediend bij VirusTotal. Deze ransomware versleutelt bestanden en voegt de ".darkeye" extensie toe aan bestandsnamen. Het biedt ook een losgeldbrief (het toont een pop-upvenster, verandert de bureaubladachtergrond en maakt het bestand "HOW TO DECRYPT FILES.txt" aan).

Een illustratie van hoe bestanden die zijn versleuteld door Dark Eye een andere naam krijgen: "1.jpg" wordt veranderd in "1.jpg.darkeye", "2.png" in "2.png.darkeye", enzovoort.

Wat voor soort malware is Shadaloo?

Ons onderzoeksteam vond Shadaloo tijdens het doorzoeken van nieuwe aanmeldingen op de VirusTotal-website. Dit schadelijke programma is geclassificeerd als ransomware; het versleutelt gegevens en eist betaling voor de ontsleuteling.

Op ons testsysteem versleutelde Shadaloo bestanden en voegde een ".shadaloo" extensie toe aan hun namen. Zo verscheen een bestand met de oorspronkelijke titel "1.jpg" als "1.jpg.shadaloo", "2.png" als "2.png.shadaloo", enz. Daarna veranderde deze ransomware de bureaubladachtergrond en liet een losgeldbrief vallen met de titel "HOE BESTANDEN TE DECRYPTEREN.txt".