Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Che tipo di malware è il ransomware Cesar?

Cesar è il nome di un programma dannoso appartenente al gruppo di ransomware Dharma. I sistemi infettati da questo malware hanno i propri dati crittografati (file resi inaccessibili) e ricevono richieste di riscatto per la decrittografia (recupero dell'accesso ai file).

Durante il processo di crittografia, i file interessati vengono rinominati seguendo questo schema: nome file originale, ID univoco assegnato alle vittime, indirizzo email dei criminali informatici ed estensione ".cesar". Ad esempio, un file inizialmente intitolato "1.jpg" apparirebbe come qualcosa di simile a "1.jpg.id-C279F237.[yasomoto@tutanota.com].cesar" - dopo la crittografia.

Una volta completato questo processo, i messaggi di richiesta di riscatto vengono creati/visualizzati in una finestra pop-up e nel file di testo "FILES ENCRYPTED.txt".

Che tipo di malware è Duke?

Duke è il nome generico dei set di strumenti malware utilizzati dall'attore APT29 APT (Minaccia persistente avanzata), noto anche come The Dukes, Cloaked Ursa, CozyBear, Nobelium e UNC2452. APT29 è un gruppo sponsorizzato dallo Stato Russo associato al Servizio di intelligence estero della Federazione Russa (SVR RF). Il gruppo è motivato politicamente e geopoliticamente; si occupa di raccolta di informazioni e spionaggio informatico.

La famiglia di malware Duke comprende un'ampia gamma di programmi dannosi, tra cui backdoor di sistema, caricatori, ladri di dati, interruzioni di processo e altri.

L'ultima campagna spam collegata al gruppo The Dukes si è verificata nel 2023 e ha implementato documenti PDF dannosi camuffati da inviti diplomatici dell'ambasciata Tedesca. Questa campagna email ha preso di mira i ministeri degli Affari esteri dei paesi allineati con la NATO.

Che tipo di malware è Knight?

Il ransomware Knight è una variante di Cyclops. Il malware all'interno di questa classificazione è progettato per crittografare i file e richiedere un riscatto per la loro decrittazione.

Quando abbiamo eseguito un campione di Knight sul nostro sistema di test, questi ha iniziato a crittografare i file e ha aggiunto ai loro nomi di file l'estensione ".knight_l". Ad esempio, un file inizialmente intitolato "1.jpg" appariva come "1.jpg.knight_l", "2.png" come "2.png.knight_l", ecc. Successivamente, una nota di riscatto: "How To Restore Your Files.txt" – è stata inserita in ogni cartella crittografata del sistema.

È pertinente menzionare che il gruppo di sviluppatori di Knight lo gestisce come Ransomware-as-a-Service e questi criminali offrono anche malware per il furto di informazioni. Quindi, esiste la possibilità che queste infezioni da ransomware possano avere un elemento di doppia estorsione. La variante che abbiamo esaminato menzionava l'uso di tali tattiche.

Che tipo di pagina è bonalluterser[.]com?

Il nostro team di ricerca ha scoperto bonalluterser.com mentre indagava su siti non affidabili. Questa pagina canaglia mira a indurre i visitatori a consentirgli di inviare notifiche spam del browser. Può anche reindirizzare i visitatori ad altri siti Web (probabilmente dubbi/dannosi). Gli utenti in genere accedono a pagine Web come bonalluterser[.]com tramite reindirizzamenti causati da siti che utilizzano reti pubblicitarie non autorizzate.

Che tipo di malware è Agniane?

Agniane è uno stealer l(adro di informazioni), un tipo di malware progettato per estrarre ed esfiltrare informazioni sensibili dalle macchine infette. Questo stealer è fortemente concentrato sul furto di dati relativi alle criptovalute.

Che tipo di truffa è "Clop Ransomware.dll"?

Durante le indagini sui siti Web non autorizzati, il nostro team di ricerca ha scoperto la truffa del supporto tecnico "Clop Ransomware.dll". Presentata come facente parte di Microsoft/Windows, questa truffa afferma falsamente che i computer degli utenti sono stati infettati per indurli a chiamare false linee di supporto. In genere, queste truffe comportano l'accesso remoto ai dispositivi delle vittime e sono associate a gravi minacce.

Che tipo di malware è BLACK ICE?

Il ransomware BLACK ICE è un tipo di malware progettato per crittografare i dati e richiedere un riscatto per la sua decrittazione. Inoltre, questo programma utilizza tattiche di doppia estorsione.

Dopo aver eseguito un campione di BLACK ICE sulla nostra macchina di prova, questi ha crittografato i file e ha aggiunto ai loro nomi di file l'estensione ".ICE". Ad esempio, un file inizialmente denominato "1.jpg" appariva come "1.jpg.ICE", "2.png" come "2.png.ICE", ecc. Una volta completata la crittografia, questo ransomware ha creato una nota di riscatto intitolata "ICE_Recovey.txt".

Che tipo di pagina è recaptcha-version-3-21[.]top?

Re-captha-version-3-21[.]top è l'indirizzo di un sito canaglia che promuove notifiche spam del browser e reindirizza i visitatori a pagine Web diverse (probabilmente inaffidabili/dannose).

La maggior parte degli utenti accede a pagine come re-captha-version-3-21[.]top tramite reindirizzamenti causati da siti Web che utilizzano reti pubblicitarie canaglia. I nostri ricercatori hanno trovato questa pagina web durante la revisione dei siti che utilizzano tali reti.

Cos'è l'adware AdBlock?

I nostri ricercatori hanno scoperto un adware camuffato da legittima estensione del browser AdBlock durante le indagini su siti Web ingannevoli.

Gli strumenti di blocco degli annunci originali sono progettati per rimuovere annunci pubblicitari indesiderati e possono avere altre capacità, come il blocco dei tracker, ecc. Tuttavia, invece di eliminare gli annunci, questa falsa estensione li mostra.

Pertanto, se non hai installato manualmente l'attuale AdBlock sul tuo browser, e vedi quella che sembra essere questa estensione, rimuovila senza indugio.

Che tipo di malware è CherryBlos?

CherryBlos è il nome di un malware che prende di mira i sistemi operativi Android. Questo programma dannoso è classificato come ladro di informazioni (stealer) e clipper. Funziona estraendo/esfiltrando le credenziali del portafogli di criptovaluta delle vittime e reindirizzando le transazioni di criptovaluta ai portafogli di proprietà degli aggressori.

Almeno quattro app false sono state identificate come responsabili nell'aiutare CherryBlos ad infiltrarsi nei dispositivi. Diverse tecniche sono in uso per promuovere queste applicazioni.

È pertinente ricordare che CherryBlos è collegato a un'altra campagna di malware denominata FakeTrade. Questa operazione comporta app fraudolente per guadagnare denaro che promettono ricompense in denaro per lo shopping o altre attività. Tuttavia, le vittime non sono in grado di incassare i loro guadagni.

Le applicazioni FakeTrade erano ospitate su Google Play Store, ma quelle conosciute sono state rimosse nel momento in cui scrivo. Questa campagna ha preso di mira gli utenti di tutto il mondo, con particolare interesse verso Malesia, Messico, Indonesia, Filippine, Uganda e Vietnam.