Narzędzia usuwania wirusów i spyware. lnstrukcje deinstalacji

Czym jest ransomware Cryptonite (.cryptn8)?

Cryptonite (.cryptn8) to ransomware przeznaczone do szyfrowania danych i żądania zapłaty za ich odszyfrowanie. Jak donosi Fortinet, jest to konfigurowalna wersja ransomware, która jest dostępna za darmo, co jest rzadkością.

Malware tego typu zwykle dodaje do zaszyfrowanych plików rozszerzenie, a domyślnym wydaje się „.cryptn8". Jednak istnieją przesłanki, że osoby atakujące mogą to zmienić. Dodatkowo, cyberprzestępcy używający ransomware Cryptonite (.cryptn8) mogą zmienić odpowiednie dane, które sprawiają, że działa, tj. kwotę okupu, adres portfela kryptowalutowego (na który ma zostać dokonana płatność) oraz informacje kontaktowe.

Próbka Cryptonite, którą uruchomiliśmy w naszym systemie testowym, dodała do zaszyfrowanych plików rozszerzenie „.cryptn8", np. plik nazwany „1.jpg" pojawił się jako „1.jpg.cryptn8", „2.png" jako „2.png.cryptn8" itp. Podczas procesu szyfrowania to ransomware wyświetlało fałszywy ekran aktualizacji. Następnie utworzono okienko pop-up zawierające notatkę z żądaniem okupu.

Jakim malware jest CRASH?

CRASH to ransomware (jeden z wariantów rodziny ransomware Dharma). Szyfruje ono pliki, zmienia ich nazwy (poprzez dołączenie do nich identyfikatora ofiary, adresu e-mail netcrash@msgsafe.io oraz rozszerzenia „.CRASH") oraz dostarcza dwie notatki z żądaniem okupu (wyświetla okno pop-up i zostawia plik „info. txt").

Przykład, jak CRASH zmienia nazwy plików: zmienia „1.jpg" na „1.jpg.id-9ECFA84E.[netcrash@msgsafe.io].CRASH", „2.png" na „2.png.id-9ECFA84E.[netcrash@msgsafe.io].CRASH" itd. Odkryliśmy to ransomware podczas analizy próbek malware przesłanych na stronę VirusTotal.

Jakim malware jest Just?

Just jest jednym z wariantów ransomware należącego do rodziny ransomware Dharma. Szyfruje pliki i dołącza do ich nazw identyfikator ofiary, adres e-mail justdoit@onionmail.org oraz rozszerzenie „.just". Ponadto Just zostawia plik „FILES ENCRYPTED.txt" i wyświetla okienko pop-up (oba zawierają żądanie okupu).

Odkryliśmy ransomware Just podczas sprawdzania VirusTotal pod kątem ostatnio przesłanych próbek malware. Przykład tego, jak Just zmienia nazwy plików: zmienia nazwę „1.jpg" na „1.jpg.id-9ECFA84E.[justdoit@onionmail.org].just", „2.png" na „2.png.id-9ECFA84E.[justdoit@onionmail.org].just" itd.

Czym jest trojan iniekcyjny/wstrzykujący?

Trojan iniekcyjny odnosi się do rodzaju malware zaprojektowanego do wstrzykiwania złośliwego kodu do programów i procesów. Zastosowanie tych trojanów jest różne. Mogą one być zdolne do zmiany działania legalnego oprogramowania lub powodowania infekcji łańcuchowych (np. pobierania/instalowania dodatkowego malware). Ze względu na różnorodność zastosowań, jakie mogą mieć te szkodliwe programy, zagrożenia związane z tymi infekcjami są szczególnie szerokie.

Jaką aplikacją jest Videos?

Podczas sprawdzania aplikacji Videos odkryliśmy, że należy ona do rodziny malware ChromeLoader. Jest to aplikacja wspierana reklamami, która wyświetla niechciane reklamy. Odkryliśmy aplikację Wideo po pobraniu pliku VHD ze zwodniczej strony. Należy wspomnieć, że aplikacje ChromeLoader zwykle są dostarczane z innymi potencjalnie złośliwymi aplikacjami.

Czym jest FakeReward?

FakeReward to nazwa złośliwego programu atakującego urządzenia z systemem Android. Ma na celu uzyskanie danych osobowych i informacji związanych z bankowością. Istnieje wiele wariantów FakeReward. W chwili pisania tego tekstu zauważono co najmniej pięć jego wersji.

FakeReward był aktywnie dystrybuowany za pośrednictwem kampanii smishingowych (phishingowych SMS-ach). Te SMS-y poszukiwały klientów trzech największych indyjskich banków.

Badacze Trend Micro wykryli kilka kampanii spamowych skierowanych do użytkowników z Indii. Operacje te obejmują następujące malware: AxBanker, Elibomi, IcRAT i IcSpy. Jednak obecnie nie można definitywnie połączyć tych kampanii.

Czym jest AxBanker?

AxBanker to złośliwe oprogramowanie bankowe specyficzne dla systemu Android. Jak sugeruje jego klasyfikacja, to malware ma na celu uzyskanie informacji bankowych. AxBanker był używany w dużych kampaniach smishingowych (phishing SMS) skierowanych do użytkowników z Indii. Operacje te koncentrowały się na niektórych z najbardziej znanych banków w regionie.

Badania przeprowadzone przez analityków Trend Micro wykryły wiele kampanii aktywnych w Indiach, które obejmują następujące szkodliwe programy - Elibomi, FakeReward, IcRAT i IcSpy. Jednak w momencie pisania tego tekstu nie ma wystarczających dowodów, aby powiązać te kampanie ze sobą.

Jakim malware jest BlackRock?

BlackRock to złośliwe oprogramowanie (malware bankowe), które w szczególności atakuje systemy operacyjne Android na smartfonach. BlackRock zostało po raz pierwszy zauważone w drugim kwartale 2020 roku.

To mobilne malware jest tworzone przy użyciu kodu źródłowego innego złośliwego oprogramowania o nazwie Xerxes (odmiana innego trojana bankowego o nazwie LokiBot). Należy pamiętać, że celem BlackRock są również aplikacje niefinansowe (np. randkowe, mediów społecznościowych, komunikacji). Oznacza to, że cyberprzestępcy stojący za BlackRock atakują również użytkowników, którzy nie korzystają z aplikacji bankowości mobilnej.

Czym jest SearchBlox?

SearchBlox to złośliwe rozszerzenie przeglądarki Google Chrome. Istnieją dwa warianty tego rozszerzenia i oba obiecują umożliwić użytkownikom przeszukiwanie serwerów platformy gier wideo Roblox w poszukiwaniu określonego gracza. Zamiast tego, ten złośliwy program atakuje dane powiązane z Robloxem i Rolimons – platformą handlową tego pierwszego.

SearchBlox pojawiło się kilka razy w Chrome Web Store i został co najmniej raz usunięty od lipca 2022 roku. Wiadomo jednak, że co najmniej dwieście tysięcy użytkowników pobrało już to malware. Nie ma konkretnych dowodów na to, czy to rozszerzenie zawsze było przeznaczone do tego złośliwego wykorzystania, czy też w pewnym momencie zostało przekształcone w trojana.

Jakim malware jest D0nut?

D0nut to ransomware, które szyfruje pliki i dołącza do ich nazw rozszerzenie „.d0nut" (np. zmienia nazwę „1.jpg" na „1.jpg.d0nut", „2.png" na „2.png.d0nut" itd.). Ponadto D0nut zostawia dwa pliki HTML („d0nut.html") i wyświetla okienko pop-up. Zawierają one notatki z żądaniem okupu.