Narzędzia usuwania wirusów i spyware. lnstrukcje deinstalacji

Czym jest wirus e-mailowy „YouTube Copyright Infringement Warning"?

Po przeanalizowaniu wiadomości odkryliśmy, że jest to fałszywa wiadomość od YouTube dotycząca naruszenia praw autorskich. Zawiera link do strony internetowej przeznaczony do pobrania pliku archiwum zawierającego złośliwy plik. Cyberprzestępcy stojący za tym e-mailem mają na celu nakłonienie odbiorców do pobrania i uruchomienia malware (złośliwego pliku).

Czym jest ransomware MONTI?

MONTI to program typu ransomware przeznaczony do szyfrowania danych i żądania zapłaty za narzędzia odszyfrowujące. Jest to nowy wariant ransomware CONTI. Ponadto MONTI wykazuje ekstremalne podobieństwa z modus operandi CONTI.

W lutym 2022 roku grupa stojąca za CONTI doświadczyła masowego włamania i wycieku danych. Upublicznione informacje, w tym kody źródłowe, narzędzia hakerskie i inne powiązane dane, były wystarczające, aby zasadniczo służyć jako przewodnik krok po kroku dla cyberprzestępców chcących replikować CONTI. Dlatego MONTI może nie być jedyną grupą ransomware, która opiera swoje działania na informacjach uzyskanych z przecieków CONTI.

Ransomware MONTI szyfruje pliki i dołącza do nazw ich plików rozszerzenie składające się z pięciu losowych znaków. Przykładowo, próbka MONTI, którą wykonaliśmy na naszym urządzeniu testowym, dodała do nazw plików rozszerzenie „.PUUUK". Przykładowo, plik o nazwie „1.jpg" pojawił się jako „1.jpg.PUUUK". Po zakończeniu szyfrowania MONTI tworzy notatkę z żądaniem okupu o nazwie „readme.txt".

Czym jest oszustwo e-mailowe „Your Order Is Processed"?

Po przeanalizowaniu dwóch e-maili „Your Order Is Processed" ustaliliśmy, że są one spamem. Zawierają podobne twierdzenia, że odbiorca kupił drogi przedmiot od znanego sprzedawcy. Celem jest nakłonienie odbiorcy do zadzwonienia pod podany numer telefonu w celu anulowania zakupu – i oszukanie go w ten sposób.

Zwróć uwagę, że oprócz dwóch zbadanych przez nas mogą istnieć inne warianty tej wiadomości spamowej. Należy podkreślić, że e-maile „Your Order Is Processed" są fałszywe, a wymienione w nich legalne podmioty (np. Walmart, Target, PayPal itp.) nie są powiązane z oszustwem.

Czym jest ransomware MLF?

Nasz zespół badawczy odkrył program MLF typu ransomware podczas sprawdzania nowych zgłoszeń do VirusTotal. Dodatkowo MLF należy do rodziny ransomware Phobos.

Gdy próbka tego ransomware została uruchomiona na naszej maszynie testowej, zaszyfrowała ona pliki i zmieniła ich nazwy. Do nazw zaatakowanych plików dodano unikalny identyfikator przypisany do ofiary, adres e-mail cyberprzestępców oraz rozszerzenie ".MLF". Przykładowo, plik pierwotnie nazwany "1.jpg" pojawił się jako "1.jpg.id[9ECFA84E-3377].[DataRecovery1@cock.li].MLF" itd.

Następnie MLF utworzyło dwa pliki – „info.hta" (pop-up) i „info.txt" – oraz zostawiło je na pulpicie. Te pliki zawierały notatki z żądaniem okupu.

Czym jest Bobik?

Bobik to złośliwe oprogramowanie sklasyfikowane jako RAT (trojan zdalnego dostępu). Te trojany mają na celu umożliwienie zdalnego dostępu/kontroli nad zainfekowanymi urządzeniami. Bobik może wykonywać różne złośliwe działania, które obejmują: powodowanie infekcji łańcuchowych, kradzież danych i dodawanie zhakowanych urządzeń do botnetu do przeprowadzania ataków DDoS.

To malware było aktywnie wykorzystywane w geopolitycznych atakach na Ukrainę i jej sojuszników. Ataki DDoS z użyciem Bobika są elementami cyberwojny w wojnie w Ukrainie.

Działalność ta została powiązana z mało znaną prorosyjską grupą hakerską NoName057(16). Dodatkowo zweryfikowane przez dowody zebrane przez badaczy Avast – takie jak chwalenie się grupy na Telegramie zbiegło się z atakami DDoS Bobika. Jednak Avast oszacował również, że wskaźniki sukcesu tej grupy hakerów wahają się od 20-40%.

Czym jest ransomware Bl00dy?

Bl00dy to nazwa programu typu ransomware, który nasi badacze odkryli podczas przeglądania nowych zgłoszeń malware do VirusTotal. Ten złośliwy program należy do rodziny ransomware Babuk.

Gdy próbka Bl00dy została wykonana w naszym systemie testowym, zaczęła szyfrować pliki i dodawała do ich nazw rozszerzenie „.bl00dy". Przykładowo, oryginalna nazwa pliku, taka jak „1.jpg", pojawiła się jako „1.jpg.bl00dy", „2.png" jako „2.png.bl00dy" itd.

Po zakończeniu szyfrowania ransomware zostawiło na pulpicie plik tekstowy nazwany „How To Restore Your Files.txt". Ten plik zawierał notatkę z żądaniem okupu, z której jasno wynikało, że Bl00dy atakuje firmy, a nie użytkowników domowych. Dodatkowo to malware wykorzystywało taktykę podwójnego wymuszenia.

Jakim oprogramowaniem jest Cash?

Nasi badacze odkryli nieuczciwą aplikację Cash podczas sprawdzania podejrzanych instalatorów. Po przeanalizowaniu tej aplikacji dowiedzieliśmy się, że jest to oprogramowanie reklamowe (adware).

Czym jest Weekly Hits?

Nasi badacze odkryli rozszerzenie przeglądarki Weekly Hits podczas sprawdzania nieuczciwych instalatorów oprogramowania. Obiecuje ono umożliwić użytkownikom szybki dostęp do najczęściej wyszukiwanych tekstów piosenek tygodnia. Po przeanalizowaniu tego oprogramowania ustaliliśmy, że jest to porywacz przeglądarki promujący fałszywą wyszukiwarkę weekhits.xyz.

Jakim malware jest Icarus?

Icarus to nazwa szkodliwego programu typu złodziej. Został zaprojektowany w celu wyodrębnienia szerokiej gamy podatnych na ataki danych z zainfekowanych urządzeń. Zagrożenia stwarzane przez tego rodzaju malware mogą się różnić w zależności od celów cyberprzestępców oraz wrażliwości danych przechowywanych na urządzeniach ofiar.

Co to są „rozszerzenia przeglądarki typu cookie stuffing"?

Termin „rozszerzeń przeglądarki typu cookie stuffing" odnosi się do złośliwych rozszerzeń przeglądarki zaprojektowanych w celu umieszczania powiązanych identyfikatorów w cookies internetowych określonych witryn internetowych.

Sprawdziliśmy cztery takie rozszerzenia. „AutoBuy Flash Sales, Deals and Coupons" – z obiecaną funkcją dokonywania automatycznych zakupów w ofertach ograniczonych czasowo. „FlipShope - Price Tracker Extension" – zdolne do śledzenia i powiadamiania użytkowników o dostępnych zniżkach i innych ofertach.

„Full Page Screenshot Capture – Screenshotting" – narzędzie do robienia i edytowania zrzutów ekranu strony internetowej. „Netflix Party" — umożliwia użytkownikom zdalne grupowe oglądanie programów Netflix.

Należy podkreślić, że funkcje oferowane przez takie oprogramowanie rzadko działają zgodnie z obietnicą, a w większości przypadków w ogóle nie działają. Te cztery rozszerzenia umieszczały identyfikatory partnerskie w popularnych plikach cookie witryn e-commerce. Co więcej, wszystkie mają możliwość śledzenia danych.