Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Che tipo di pagina è captchawave[.]top?

Durante il nostro quotidiano controllo di siti discutibili, i nostri ricercatori hanno scoperto la pagina pericolosa captchawave[.]top. Il suo obiettivo è indurre i visitatori a consentirgli di inviare notifiche spam del browser. Inoltre, questa pagina può causare reindirizzamenti ad altri siti Web (probabilmente inaffidabili/pericolosi).

La maggior parte dei visitatori di captchawave[.]top e di pagine web simili vi accede tramite reindirizzamenti causati da siti che utilizzano reti pubblicitarie non autorizzate.

Cosa è JokerSpy?

JokerSpy è il nome di un malware backdoor che prende di mira i sistemi operativi macOS. È un toolkit sofisticato progettato per violare le macchine macOS. JokerSpy utilizza una combinazione di programmi Python e Swift che possiedono le capacità per raccogliere dati ed eseguire comandi arbitrari su computer compromessi.

Che tipo di pagina è securecaptchatop[.]top?

Il nostro team ha esaminato securecaptchatop[.]top e ha stabilito che il suo obiettivo principale è indurre i visitatori a concedergli l'autorizzazione a inviare notifiche. Questo sito Web utilizza contenuti fuorvianti per convincere i visitatori ad abilitare le notifiche. Nella maggior parte dei casi, gli utenti aprono involontariamente siti come securecaptchatop[.]top.

Cos'è il ransomware Cyclops?

Cyclops è il nome di un programma dannoso classificato come ransomware. Questo malware è progettato per crittografare i dati e richiedere un riscatto per la loro decrittazione.

Dopo essere stato lanciato sul nostro sistema di test, Cyclops ransomware ha iniziato a crittografare i file. In genere, i file interessati vengono rinominati (spesso aggiungendo un'estensione specifica); tuttavia, questo non è il caso di Cyclops. Una volta concluso il processo di crittografia, questo ransomware ha prima visualizzato un pop-up seguito da una finestra del prompt dei comandi (cmd.exe/cmd). Quest'ultima conteneva la richiesta di riscatto.

Che cos'è Xxx ransomware?

Xxx è un programma dannoso che appartiene alla famiglia di ransomware GlobeImposter. Come la maggior parte dei programmi di tipo ransomware, Xxx crittografa e rinomina i file e fornisce istruzioni su come contattare gli sviluppatori. Rinomina i file aggiungendo l'estensione ".xxx" ai nomi dei file.

Ad esempio, "1.jpg" viene rinominato in "1.jpg.xxx", "2.jpg" in "2.jpg.xxx" e così via. Xxx crea un messaggio di riscatto all'interno del file "how_to_back_files.html" in tutte le cartelle che contengono file crittografati.

Che tipo di malware è WAGNER?

Durante le nostre indagini quotidiane sui nuovi invii a VirusTotal, i nostri ricercatori hanno scoperto il ransomware WAGNER. I malware di questo tipo sono progettati per crittografare i file e presentare richieste di riscatto per la loro decrittazione.

Dopo aver esaminato questo ransomware, abbiamo appreso che aggiunge ai file crittografati l'estensione ".WAGNER". Ad esempio, un file inizialmente denominato "1.jpg" diventa "1.jpg.WAGNER", "2.png" diventa "2.png.WAGNER" e così via per tutti i file bloccati.

Una volta terminato questo processo, WAGNER ha cambiato lo sfondo del desktop e ha creato una nota di riscatto intitolata "WAGNER.txt". Tuttavia, il messaggio in esso contenuto non era una richiesta di riscatto standard. Piuttosto che chiedere il pagamento per la decrittazione dei file, la nota faceva riferimento alla ribellione del gruppo Wagner contro il governo della Russia.

Che tipo di malware è RedEnergy Stealer?

RedEnergy è il nome di uno stealer (ladro di informazioni) che utilizza una falsa campagna di aggiornamento per colpire più settori industriali. Questo software dannoso ha la capacità di estrarre informazioni da diversi browser Web, consentendo il furto di dati sensibili. Inoltre, incorpora vari moduli per facilitare le attività ransomware.

Poiché RedEnergy possiede la capacità unica di funzionare sia come stealer che come ransomware, è classificato come Stealer-as-a-Ransomware.

Che tipo di malware è TriangleDB?

TriangleDB è un programma di tipo spyware. È progettato per estrarre/registrare ed esfiltrare dati vulnerabili da dispositivi iPhone infetti.

Abbiamo scoperto che TriangleDB viene iniettato nei dispositivi infetti dalla backdoor Triangulation. Questa campagna malware è sofisticata; l'infezione viene attivata senza l'interazione dell'utente (ovvero, zero-click exploit) e le tracce di compromissione vengono eliminate. Triangulation e, per estensione, TriangleDB esistono già dal 2019 e sono ancora attive nel 2023.

Che tipo di malware è 8base?

8base è un ransomware appartenente alla famiglia Phobos. I nostri ricercatori di malware hanno scoperto 8base mentre controllavano la pagina di VirusTotal per i campioni di malware caricati di recente. Lo scopo di 8base è crittografare i file. Inoltre, fornisce due note di riscatto ("info.hta" e "info.txt") e modifica i nomi dei file.

8base aggiunge l'ID della vittima, l'indirizzo email support@rexsdata.pro e l'estensione ".8base" ai nomi dei file. Ad esempio, rinomina "1.jpg" in "1.jpg.id[9ECFA84E-3483].[support@rexsdata.pro].8base", "2.png" in "2.png.id[9ECFA84E-3483 ].[support@rexsdata.pro].8base", e così via.

Che tipo di malware è Triangulation?

Triangulation è il nome di un malware che prende di mira i dispositivi iOS. Fa parte di una campagna altamente sofisticata. Triangulation funge da backdoor, un programma che apre una "porta sul retro" per ottenere delle infezioni senza essere notato. Questo  malware può infatti raccogliere dati sul dispositivo/utente e scaricare/installare componenti dannosi aggiuntivi, incluso lo spyware TriangleDB.

Triangulation non dispone di strumenti che garantiscono la sua installazione nel tempo (persistenza), ma di contro adopera dei metodi di infiltrazione che non richiedono alcuna interazione da parte dell'utente (ad esempio, exploit zero-click) ed è in grado di rimuovere le tracce della sua presenza.

Il malware Triangulation esiste almeno dal 2019 ed è ancora attivo al momento in cui scriviamo.