Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Cos'è "DHL Unpaid Duty"?

Dopo averla analizzata, abbiamo stabilito che questa email è un tentativo fraudolento mascherato da notifica di DHL, una rinomata società di logistica. Gli individui che orchestrano questa truffa intendono ingannare i destinatari inducendoli ad accedere a un sito Web contraffatto e a divulgare informazioni personali. Tali email ingannevoli rientrano nella categoria delle email di phishing.

Che tipo di malware è Elpy?

Durante la nostra analisi giornaliera dei campioni di malware inviati a VirusTotal, abbiamo scoperto una variante di ransomware denominata Elpy. Appartiene alla famiglia Phobos ed è progettata per crittografare file, modificare nomi di file e fornire due richieste di riscatto. Elpy aggiunge l'ID della vittima, l'indirizzo email ambu.lance@tuta.io e l'estensione ".elpy" ai nomi dei file.

Ad esempio, rinomina "1.jpg" in "1.jpg.id[9ECFA84E-3352].[ambu.lance@tuta.io].elpy", "2.png" in "2.png.id[9ECFA84E-3352].[ambu.lance@tuta.io].elpy", e così via. Le richieste di riscatto create da Elpy sono nominate "info.txt" e "info.hta".

Che tipo di malware è Intel?

Durante l'analisi dei nuovi file inviati al sito Web VirusTotal, i nostri ricercatori hanno scoperto il ransomware Intel. Questo programma dannoso fa parte della famiglia di ransomware Dharma. Il malware Intel crittografa i dati e richiede il pagamento per la loro decrittografia.

Sulla nostra macchina di prova anche i file crittografati da Intel sono stati rinominati. Ai nomi dei file originali è stato aggiunto un ID univoco assegnato alla vittima, ".[intellent@ai_download_file]"; e l'estensione ".intel". Ad esempio, un file inizialmente denominato "1.jpg" appariva come "1.jpg.id-9ECFA84E.[intellent@ai_download_file].intel".

Una volta concluso il processo di crittografia, sono state create richieste di riscatto in una finestra pop-up e file di testo intitolati "README!.txt"; questi ultimi venivano rilasciati in ciascuna cartella crittografata e sul desktop. In base al messaggio nel pop-up, è evidente che questo ransomware prende di mira le aziende e utilizza tattiche di doppia estorsione.

Che tipo di malware è BlackLegion?

BlackLegion è un ransomware che limita l'accesso ai file crittografandoli. Le vittime non possono aprire i file crittografati senza decrittografarli. Inoltre, BlackLegion crea una richiesta di riscatto ("DecryptNote.txt") e rinomina i file aggiungendo una stringa di caratteri casuali, un indirizzo email e l'estensione ".BlackLegion".

Ecco un esempio di come BlackLegion modifica i nomi dei file: cambia "1.jpg" in "1.jpg.[34213633].[BlackLegion@zohomail.eu].BlackLegion", "2.png" in "2.png.[34213633] .[BlackLegion@zohomail.eu].BlackLegion", e così via.

Che cos'è SearchMainInfo?

SearchMainInfo è un'applicazione potenzialmente indesiderata (PUA) che funziona sia come adware che come browser hijacker: modifica alcune impostazioni del browser (per promuovere un motore di ricerca falso) e pubblica annunci pubblicitari. In genere, gli utenti non scaricano o installano queste app intenzionalmente. SearchMainInfo viene promosso/distribuito utilizzando un ingannevole programma di installazione di Adobe Flash Player.

Cos'è GoWebSearch?

GoWebSearch è un software dannoso che funziona sia come adware che come browser hijacker. Vale a dire, pubblica annunci pubblicitari e promuove indirizzi di motori di ricerca falsi modificando le impostazioni del browser. Inoltre, questa app potrebbe essere progettata per raccogliere informazioni relative alla navigazione e altri dettagli.

Le app di questo tipo sono classificate come applicazioni indesiderate poiché gli utenti spesso le scaricano e le installano involontariamente. Questa particolare app è distribuita tramite un falso programma di installazione di Adobe Flash Player.

Cos'è UniversalWebResults?

UniversalWebResults (noto anche come UniversalWebResult) è progettato per fornire agli utenti vari annunci pubblicitari. Funziona anche come un browser hijacker e modifica alcune impostazioni del browser per promuovere l'indirizzo di un motore di ricerca falso. Anche le app di questo tipo (adware, browser hijacker) raccolgono dati di navigazione.

La ricerca mostra che UniversalWebResults è distribuito utilizzando un falso Adobe Flash Player e, pertanto, le persone spesso scaricano e installano questa app involontariamente. Per questi motivi, UniversalWebResults è anche classificato come applicazione potenzialmente indesiderata (PUA).

Cos'è TotalLetterSearch?

TotalLetterSearch è un'applicazione indesiderata classificata come adware. Questo adware fa parte di un gruppo di applicazioni di tipo adware chiamate AdLoad. Ogni adware è progettato semplicemente per visualizzare vari annunci pubblicitari, tuttavia, questa particolare app promuove anche l'indirizzo di un motore di ricerca falso.

In questo modo, TotalLetterSearch funziona sia come adware che come browser hijacker (dirottatore). Tieni presente che potrebbe anche tracciare e registrare informazioni.

Gli utenti spesso scaricano e installano inavvertitamente app di tipo adware. La ricerca mostra che, per indurre le persone a installare TotalLetterSearch, gli sviluppatori utilizzano un falso programma di installazione di Adobe Flash Player. Questo tipo di programma di installazione può essere utilizzato anche per diffondere trojan, ransomware e altri malware.

Che tipo di truffa è "Firewall Update Required"?

I nostri ricercatori hanno scoperto la truffa "Firewall Update Required" (È richiesto l'aggiornamento del firewall) durante un'ispezione di routine di siti Web ingannevoli. Dopo un'indagine, abbiamo stabilito che si tratta di una truffa del supporto tecnico. Afferma falsamente che il dispositivo dell'utente è infetto a causa del non aggiornamento del firewall di Windows.

L'obiettivo è ingannare le vittime inducendole a contattare il supporto tecnico falso e attirandole in uno schema elaborato che può provocare una serie di problemi incredibilmente gravi.

Che tipo di malware è LEAKDB?

Durante l'analisi delle nuove segnalazioni a VirusTotal, il nostro team di ricerca ha scoperto un ulteriore ransomware della famiglia Phobos chiamato LEAKDB. Il malware all'interno di questa classificazione crittografa i dati e richiede il pagamento per la sua decrittazione.

Sulla nostra macchina di prova, il ransomware LEAKDB ha crittografato i file e ne ha alterato i nomi. Ai nomi dei file originali ha aggiunto un ID univoco assegnato alla vittima, l'indirizzo email dei criminali informatici e l'estensione ".LEAKDB". Ad esempio, un file inizialmente denominato "1.jpg" appariva come "1.jpg.id[9ECFA84E-3143].[pcsupport@skiff.com].LEAKDB".

Una volta concluso il processo di crittografia, ha creato richieste di riscatto in una finestra pop-up ("info.hta") e in un file di testo ("info.txt"), che venivano rilasciati in ogni directory crittografata e sul desktop. Sulla base dei messaggi in esso contenuti, è evidente che LEAKDB si rivolge alle aziende piuttosto che agli utenti domestici.