Narzędzia usuwania wirusów i spyware. lnstrukcje deinstalacji

Czym jest Elibomi?

Elibomi to wielofunkcyjne malware atakujące systemy operacyjne Android (OS). Ten złośliwy program może wykonywać różne działania na zainfekowanych urządzeniach i może wydobywać szeroki zakres wrażliwych danych. To malware istnieje od co najmniej 2020 roku i ma wiele iteracji.

Ostatnio zaobserwowano, że Elibomi jest dystrybuowane w kampaniach smishingowych (phishingowych SMS-ach) i spamowych e-mailach, których celem są użytkownicy z Indii. Według badaczy Trend Micro istnieje kilka dużych kampanii skupiających się na użytkownikach popularnych indyjskich banków. Oprócz Elibomi, te przestępcze operacje obejmują złośliwe programy AxBanker, FakeReward, IcRAT i IcSpy. Obecnie nie ma wystarczających dowodów, aby powiązać te kampanie z jednym źródłem.

Jakim malware jest Trigona?

Trigona to ransomware, które szyfruje pliki i dołącza do ich nazw rozszerzenie „._locked". Ponadto zostawia plik „how_to_decrypt.hta", który otwiera notatkę z żądaniem okupu. Przykład tego, jak Trigona zmienia nazwy plików: zmienia nazwy „1.jpg" na „1.jpg._locked", „2.png" na „2.png._locked" itd.

Osadza zaszyfrowany klucz odszyfrowujący, identyfikator kampanii i identyfikator ofiary w zaszyfrowanych plikach.

Jaką aplikacją jest IdentityStack?

Analizując aplikację IdentityStack, nasz zespół odkrył, że wyświetla ona natrętne reklamy i może odczytywać poufne informacje. Dlatego sklasyfikowaliśmy IdentityStack jako adware. Ta aplikacja została odkryta podczas sprawdzania zwodniczych witryn oferujących aktualizację rzekomo nieaktualnego oprogramowania i podobnych witryn.

Czym jest LilithBot?

LilithBot to bardzo wszechstronne złośliwe oprogramowanie. Istnieje kilka wariantów tego malware, które działa przede wszystkim jako botnet, koparka kryptowalutowa, clipper i złodziej.

Badania przeprowadzone przez Zscaler sugerują, że twórcy LilithBot są tymi samymi, którzy stoją za rodziną malware Eternity. Zarówno LilithBot, jak i Eternity są oferowane jako MaaS (Malware-as-a-Service). Dlatego rozpowszechnianie i wykorzystanie tych programów może się drastycznie różnić.

Czym jest ransomware HBM?

HBM to nazwa programu ansomware przeznaczonego do szyfrowania danych i żądania zapłaty za ich odszyfrowanie. Ten szkodliwy program należy do rodziny ransomware Dharma.

Gdy próbka HBM została uruchomiona na naszym urządzeniu testowym, zaczęła szyfrować pliki i zmieniać ich nazwy. Oryginalne nazwy zostały opatrzone unikalnym identyfikatorem przypisanym ofierze, adresem e-mail cyberprzestępców oraz rozszerzeniem „.HBM". Przykładowo plik początkowo nazwany „1.jpg" pojawił się jako „1.jpg.id-1E857D00.[hebem@cock.li].HBM".

Następnie utworzone zostały wiadomości z żądaniem okupu. Jeden był prezentowany w okienku pop-up, a drugi plik tekstowy nazwany „info.txt" został zostawiony na pulpicie.

Czym jest InputView?

InputView to nieuczciwa aplikacja, którą odkryli nasi badacze podczas badania nowych zgłoszeń do VirusTotal. Po sprawdzeniu tej aplikacji ustaliliśmy, że jest to adware należące do rodziny malware AdLoad.

Jakim malware jest WASP?

WASP to nazwa złośliwego oprogramowania kradnącego informacje, które kradnie hasła ofiar, dane kart kredytowych, konta Discord, portfele kryptowalutowe oraz pliki osobiste i wysyła je do cyberprzestępcy. Wysyła skradzione dane za pośrednictwem adresu webhook Discord. Zaobserwowano, że WASP jest sprzedawane cyberprzestępcom za 20 $.

Jaką stroną jest captchafine[.]live?

Podczas sprawdzania captchafine[.]live odkryliśmy, że wykorzystuje ona technikę zachęty do kliknięcia (wyświetla zwodniczą wiadomość), aby zwabić odwiedzających do udzielenia jej zgody na wyświetlanie powiadomień. Ponadto captchafine[.]live przekierowuje na oszukańcze strony internetowe. Ta strona ma co najmniej dwa warianty. Odkryliśmy captchafine[.]live podczas sprawdzania innych podejrzanych stron.

Czym jest ransomware Team Punisher?

Team Punisher to program typu ransomware przeznaczony do szyfrowania danych i żądania okupu za ich odszyfrowanie. Na naszym urządzeniu testowym to złośliwe oprogramowanie zaszyfrowało pliki i dołączyło do ich nazw rozszerzenie „.punisher". Aby rozwinąć, plik początkowo nazwany „1.jpg" pojawił się jako „1.jpg.punisher", „2.png" jako „2.png.punisher" itd.

Po zakończeniu tego procesu Team Punisher utworzyło plik HTML zawierający notatkę z żądaniem okupu. Należy wspomnieć, że w 2022 roku zaobserwowano dystrybucję tego ransomware za pośrednictwem fałszywych witryn śledzących COVID-19.

Czym jest ransomware Cryptonite (.cryptn8)?

Cryptonite (.cryptn8) to ransomware przeznaczone do szyfrowania danych i żądania zapłaty za ich odszyfrowanie. Jak donosi Fortinet, jest to konfigurowalna wersja ransomware, która jest dostępna za darmo, co jest rzadkością.

Malware tego typu zwykle dodaje do zaszyfrowanych plików rozszerzenie, a domyślnym wydaje się „.cryptn8". Jednak istnieją przesłanki, że osoby atakujące mogą to zmienić. Dodatkowo, cyberprzestępcy używający ransomware Cryptonite (.cryptn8) mogą zmienić odpowiednie dane, które sprawiają, że działa, tj. kwotę okupu, adres portfela kryptowalutowego (na który ma zostać dokonana płatność) oraz informacje kontaktowe.

Próbka Cryptonite, którą uruchomiliśmy w naszym systemie testowym, dodała do zaszyfrowanych plików rozszerzenie „.cryptn8", np. plik nazwany „1.jpg" pojawił się jako „1.jpg.cryptn8", „2.png" jako „2.png.cryptn8" itp. Podczas procesu szyfrowania to ransomware wyświetlało fałszywy ekran aktualizacji. Następnie utworzono okienko pop-up zawierające notatkę z żądaniem okupu.