Narzędzia usuwania wirusów i spyware. lnstrukcje deinstalacji

Jakim e-mailem jest "I Will Be Direct You Watch Adult Content"?

Po zbadaniu e-maila „I Will Be Direct You Watch Adult Content" ustaliliśmy, że służy oa do ułatwienia oszustwa sekstorsyjnego. List spamowy twierdzi, że nadawca dokonał nagrania odbiorcy o charakterze jednoznacznie seksualnym, które zostanie wysłane do jego kontaktów, chyba że zostanie zapłacony okup.

Należy podkreślić, że wszystkie te twierdzenia są fałszywe, tj. żaden taki film nie istnieje w posiadaniu nadawcy. Dlatego też ten e-mail nie stanowi zagrożenia dla odbiorcy.

Czym jest ransomware BlackRock?

Badając nowe zgłoszenia do VirusTotal, nasi badacze odkryli ransomware BlackRock. Jest ono przeznaczone do szyfrowania danych i żądania okupu za ich odszyfrowanie. Ten złośliwy program jest częścią rodziny ransomware Phobos.

Na naszym urządzeniu testowym BlackRock zaszyfrowało pliki i zmieniło ich nazwy. Oryginalne nazwy zostały opatrzone unikalnym identyfikatorem przypisanym ofierze, adresem e-mail cyberprzestępców oraz rozszerzeniem „.blackrock". Przykładowo plik początkowo nazwany „1.jpg" pojawił się po zaszyfrowaniu jako „1.jpg.id[9ECFA84E-2803].[icanrestore@onionmail.org].blackrock".

Po zakończeniu tego procesu w oknie pop-up („info.hta") i pliku tekstowym („info.txt") utworzono notatki z żądaniem okupu.

Jakim malware jest DarkVision?

DarkVision to nazwa trojana do zdalnej administracji (RAT). Malware tego typu ma na celu zapewnienie nieautoryzowanego dostępu do komputera ofiary. RAT umożliwia atakującym zdalną kontrolę nad zainfekowanym komputerem, dając im dostęp do poufnych danych i możliwość wykonywania szeregu złośliwych działań.

Jakim malware jest Akira?

Akira to nazwa ransomware przeznaczonego do szyfrowania danych, modyfikowania nazw wszystkich plików, których dotyczy problem (poprzez dodanie rozszerzenia „.akira") i tworzenia notatki z żądaniem okupu („akira_readme.txt"). Ponadto po wykonaniu Akira uruchamia polecenie PowerShell, aby usunąć kopie woluminów systemu Windows w tle na urządzeniu.

Przykład tego, jak Akira zmienia nazwy plików: zmienia nazwę „1.jpg" na „1.jpg.akira", „2.png" na „2.png.akira" itd.

Czym jest ransomware GAZPROM ?

GAZPROM to szkodliwy program wykorzystujący kod ransomware CONTI. Złośliwe oprogramowanie klasyfikowane jako ransomware działa na zasadzie szyfrowania danych w celu żądania okupu za ich odszyfrowanie.

Po tym, jak uruchomiliśmy próbkę GAZPROM w naszym systemie testowym, zaszyfrowała ona pliki i dodała do ich nazw rozszerzenie „.GAZPROM". Przykładowo plik początkowo zatytułowany „1.jpg" pojawił się jako „1.jpg.GAZPROM", „2.png" jako „2.png.GAZPROM" itd. dla wszystkich plików, których dotyczy problem.

Po zakończeniu procesu szyfrowania to ransomware tworzyło identyczne notatki z żądaniem okupu w oknie pop-up („GAZPROM_DECRYPT.hta") i pliku HTML („DECRYPT_GAZPROM.html").

Jakim malware jest BlackSuit?

BlackSuit to ransomware - złośliwe oprogramowanie, które uniemożliwia ofiarom dostęp do ich plików poprzez ich szyfrowanie. BlackSuit jest skierowany do użytkowników systemów Windows i Linux. Oprócz szyfrowania danych, to ransomware zmienia tapetę pulpitu, tworzy plik „README.BlackSuit.txt" (notatkę z żądaniem okupu) i zmienia nazwy plików.

BlackSuit dodaje rozszerzenie „.blacksuit" do nazw plików. Przykładowo zmienia nazwę „1.jpg" na „1.jpg.blacksuit", „2.png" na „2.png.blacksuit" itd.

Czym jest BouldSpy?

BouldSpy to złośliwe oprogramowanie typu spyware i wykradające dane, którego celem są urządzenia z Androidem. Może rejestrować i wyodrębniać szeroką gamę informacji z zainfekowanych systemów. Ten szkodliwy program istnieje co najmniej od 2020 roku.

Badanie przeprowadzone przez analityków Lookout Threat Lab ujawniło dowody potencjalnie łączące BouldSpy z władzami Iranu, w szczególności z Dowództwem Egzekwowania Prawa Islamskiej Republiki Iranu (FARAJA).

Aktywność malware była powiązana z działaniami organów ścigania, takimi jak zapobieganie nielegalnemu handlowi substancjami i bronią. Jednak BouldSpy zostało również zauważone jako atakujące mniejszości, w tym irańskich Kurdów, Azerów, Beludżów i prawdopodobnie ormiańskie grupy chrześcijańskie.

Istnieją powody, by sądzić, że BouldSpy opiera się na ręcznej instalacji, która prawdopodobnie ma miejsce, gdy irańskie organy ścigania konfiskują urządzenia po zatrzymaniu/aresztowaniu ich właścicieli.

Czym jest TrafficStealer?

Złośliwe oprogramowanie TrafficStealer wykorzystuje interfejsy API otwartego kontenera do przekierowywania ruchu sieciowego do określonych witryn i manipulowania interakcją użytkownika z reklamami. Dzięki wykorzystaniu kontenerów Docker program ten generuje zyski, wysyłając ruch do miejsc docelowych, na których zarabia. Pomimo tego, że wydaje się być legalne, oprogramowanie zawiera zainfekowane elementy.

Czym jest ransomware H3r?

H3r TP ransomware wykryte przez naszych badaczy podczas rutynowej kontroli nowych zgłoszeń do VirusTotal. Ten program jest częścią rodziny ransomware Dharma i działa poprzez szyfrowanie danych w celu żądania okupu za ich odszyfrowanie.

W naszym systemie testowym H3r zmieniło nazwy zaszyfrowanych plików, dodając do ich nazw unikalny identyfikator przypisany ofierze, adres e-mail cyberprzestępców oraz rozszerzenie „.h3r". Przykładowo plik pierwotnie nazwany „1.jpg" pojawił się jako „1.jpg.id-9ECFA84E.[herozerman@tutanota.com].h3r". Następnie ransomware H3r wyświetliło/utworzyło notatkę z żądaniem okupu w oknie pop-up i plik tekstowy zatytułowany „info.txt".

Czym jest ransomware BOOM (Phobos)?

Podczas sprawdzania nowych zgłoszeń do VirusTotal, nasi badacze odkryli BOOM – szkodliwy program należący do rodziny ransomware Phobos. Malware należące do tej klasyfikacji jest przeznaczone do szyfrowania danych i żądania okupu za ich odszyfrowanie.

Po uruchomieniu próbki ransomware BOOM (Phobos) na naszym urządzeniu testowym zaszyfrowała ona pliki i zmieniła ich nazwy. Oryginalne pliki zostały opatrzone unikalnym identyfikatorem przypisanym ofierze, adresem e-mail cyberprzestępców oraz rozszerzeniem „.BOOM". Przykładowo plik początkowo nazwany „1.jpg" w naszym systemie testowym, po zaszyfrowaniu pojawił się jako „1.jpg.id[9ECFA84E-3344].[shadow1779@tutanota.com].BOOM".

Po zakończeniu tego procesu ransomware tworzy/wyświetla informacje z żądaniem okupu w oknie pop-up („info.hta") i pliku tekstowym („info.txt").