Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Che tipo di malware è IRATA?

IRATA è il nome di un malware specifico per Android. Questo programma ha funzionalità di spyware e stealer (ladro di informazioni). È stato scoperto dopo che ha effettuato un attacco smishing (phishing tramite SMS) in Iran. Questa campagna consisteva nell'invio di SMS dall'aspetto legittimo contenenti un collegamento a un falso sito web governativo. La pagina invitava i visitatori a scaricare un'app e a pagare una tariffa per il servizio.

È interessante notare che IRATA ha la capacità di creare una botnet da dispositivi infetti e di utilizzarla per autodiffondersi tramite messaggi di testo spam.

Che tipo di software è NXD Fix?

Durante la nostra analisi quotidiana dei siti ingannevoli, abbiamo scoperto un programma di installazione contenente l'estensione del browser NXD Fix. Questo software è classificato come un browser hijacker.

Tuttavia, NXD Fix non funziona come un dirottatore standard, ovvero non modifica le impostazioni del browser e non reindirizza regolarmente a motori di ricerca falsi. NXD Fix promuove nxdfix.com in circostanze specifiche.

Che tipo di software è ChatGPT Check?

Il nostro team di ricerca ha scoperto l'estensione del browser ChatGPT Check mentre indagava su siti Web non affidabili. Abbiamo trovato una pagina che promuove una configurazione di installazione contenente questa estensione e la pagina promozionale "ufficiale" di ChatGPT Check.

Quest'ultima lo descrive come uno strumento per coloro che non vogliono creare un account o pagare per ChatGPT, poiché questa estensione del browser non richiede registrazione e consente tre ricerche giornaliere utilizzando il chatbot AI (Intelligenza Artificiale) gratuitamente. Tuttavia, dopo aver analizzato questo software, abbiamo stabilito che si tratta di un browser hijacker che promuove il falso motore di ricerca chatcheckext.com.

Va sottolineato che questa estensione canaglia non è in alcun modo associata né all'attuale ChatGPT né al suo sviluppatore: OpenAI.

Che tipo di malware è LostTrust?

LostTrust è il nome di una variante di ransomware da noi scoperta durante l'esame dei campioni di malware inviati a VirusTotal. Lo scopo di LostTrust è crittografare i dati per renderli inaccessibili alle vittime. Inoltre, LostTrust aggiunge l'estensione ".losttrustencoded" ai nomi dei file e invia una richiesta di riscatto ("!LostTrustEncoded.txt").

Un esempio di come LostTrust modifica i nomi dei file: cambia "1.jpg" in "1.jpg.losttrustencoded", "2.png" in "2.png.losttrustencoded" e così via.

Che tipo di malware è Deep (Phobos)?

Durante l'ispezione dei nuovi invii al sito Web VirusTotal, i nostri ricercatori hanno scoperto il programma di tipo ransomware denominato Deep. Si tratta di un programma cha fa parte della famiglia di ransomware Phobos. Deep (Phobos) opera crittografando i dati per richiedere il pagamento per la loro decrittazione.

Sulla nostra macchina di prova, questo ransomware ha crittografato i file e li ha rinominati. Ai nomi dei file originali ha aggiunto un ID univoco assegnato alla vittima, l'indirizzo email dei criminali informatici e l'estensione ".deep". Ad esempio, un file inizialmente intitolato "1.jpg" appariva come "1.jpg.id[9ECFA84E-3352].[captain-america@tuta.io].deep".

Una volta terminato il processo di crittografia, le richieste di riscatto sono state create/visualizzate in una finestra pop-up ("info.hta") e in un file di testo ("info.txt").

Che tipo di malware è CiphBit?

CiphBit è un programma di tipo ransomware. È progettato per crittografare i dati e richiedere riscatti per la loro decrittazione. Sulla nostra macchina di prova, CiphBit ha crittografato i file e ne ha modificato i nomi.

Ai titoli originali veniva aggiunto un ID univoco assegnato alla vittima, l'indirizzo email dei criminali informatici e un'estensione composta da quattro caratteri casuali. Ad esempio, un file nominato "1.jpg" dopo la crittografia appariva come "1.jpg[ID=13AADE]-[E-Mail=ciphbit@onionmail.org].aefA".

Una volta completato questo processo, è stato consegnato un messaggio di richiesta di riscatto intitolato "____CiphBit____!.txt". Sulla base del testo in esso contenuto, è evidente che CiphBit si rivolge alle aziende piuttosto che agli utenti domestici. È interessante notare che questo ransomware utilizza tattiche di doppia estorsione.

Che tipo di email è "Password Was Compromised Through A Legitimate Website"?

Dopo aver analizzato l'email con oggetto "Password Was Compromised Through A Legitimate Website" ("La password è stata compromessa tramite un sito Web legittimo"), abbiamo stabilito che si tratta di spam. Questa email è una truffa di sextortion (a sfondo sessuale). Si afferma falsamente che il dispositivo del destinatario è stato infettato da malware, che è stato poi utilizzato per accedere al microfono e alla fotocamera.

A differenza delle tipiche truffe di sextortion, questa email non indica che sono stati registrati contenuti sessualmente espliciti raffiguranti il ​​destinatario. Piuttosto, implica che sia così, ma lascia spazio a interpretazioni per espandere il bacino delle vittime.

Va sottolineato che tutte queste affermazioni sono false, quindi questa email non rappresenta una minaccia per i destinatari.

Che tipo di software è "key pro"?

Il nostro team di ricerca ha trovato l'estensione del browser "key pro" durante l'esame quotidiano di siti Web non affidabili. Dopo aver analizzato questo software, abbiamo appreso che si tratta di un browser hijacker (dirottatore). Questa estensione modifica le impostazioni del browser per promuovere (tramite reindirizzamenti) il falso motore di ricerca keysearchs.com. Inoltre, key pro spia l'attività di navigazione degli utenti.

Che tipo di malware è Eldritch?

Eldritch è il nome di un ransomware che i nostri ricercatori hanno trovato mentre indagavano sui nuovi invii di malware alla piattaforma VirusTotal. Questo programma dannoso crittografa i file e richiede il pagamento per la loro decrittazione.

Sul nostro sistema di test, Eldritch ha crittografato i file e ha aggiunto l'estensione ".eldritch" ai loro titoli. Ad esempio, un file intitolato "1.jpg" appariva come "1.jpg.eldritch", "2.png" come "2.png.eldritch", ecc. Successivamente, il ransomware ha cambiato lo sfondo del desktop e ha creato un file di testo intitolato "READ-THIS.txt", entrambi contenenti la richiesta di riscatto.

Che tipo di email è "Deceased Relative"?

La nostra ispezione dell'email "Deceased Relative" ("Parente deceduto") ha rivelato che si tratta di spam. Questa email di phishing viene presentata come una lettera di un avvocato che rappresenta un parente defunto del destinatario. In quanto parente prossimo, il beneficiario avrebbe diritto a una grossa somma.

Le email spam di questo tipo prendono di mira informazioni di identificazione personale e possono indurre le vittime a trasferire denaro ai truffatori.