Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Cos'è MONTI ransomware?

MONTI è un programma di tipo ransomware progettato per crittografare i dati e richiedere il pagamento per gli strumenti di decrittazione. È una nuova variante di CONTI ransomware. Inoltre, MONTI condivide estreme somiglianze con il modus operandi di CONTI.

Nel febbraio 2022, il gruppo dietro CONTI ha subito una massiccia violazione e fuga di dati. Le informazioni pubblicizzate, inclusi codici sorgente, strumenti di hacking e altri dati associati, erano sufficienti per fungere essenzialmente da guida passo passo per i criminali informatici che desideravano replicare CONTI. Pertanto, MONTI potrebbe non essere l'unico ransomware a basare le proprie operazioni sulle informazioni ottenute dalla fuga di dati di CONTI.

MONTI ransomware crittografa i file e aggiunge ai nomi dei file un'estensione compromessa di cinque caratteri casuali. Il ransomware MONTI che abbiamo eseguito sulla nostra macchina di prova ha aggiunto l'estensione ".PUUUK" ai nomi dei file, ad esempio un file intitolato "1.jpg" è apparso come "1.jpg.PUUUK". Al termine della crittografia, MONTI crea una richiesta di riscatto denominata "readme.txt".

Cos'è l'email truffa "Your Order Is Processed"?

Dopo avere analizzato due email "Your Order Is Processed", abbiamo stabilito che sono spam. Queste email fanno affermazioni simili sul destinatario che ha acquistato un articolo costoso da un noto rivenditore. L'obiettivo è indurre il destinatario a chiamare il numero di telefono fornito per annullare l'acquisto e quindi essere attirato in un'elaborata truffa.

Nota che ci possono essere altre varianti di questa email spam, oltre alle due che abbiamo ispezionato. Va sottolineato che le email "Your Order Is Processed" sono false e che le entità legittime in esse menzionate (es.., Walmart, Target, PayPal, ecc.) non sono associati alla truffa.

Cos'è il ransomware MLF?

Il nostro team di ricerca ha scoperto il programma di tipo ransomware di nome MLFdurante l'ispezione quotidiana di nuovi invii a VirusTotal. MLF appartiene inoltre alla famiglia di ransomware di nome Phobos.

Una volta che un campione di questo ransomware è stato eseguito sulla nostra macchina di prova, questi ha crittografato i file e alterato i nomi dei file. Ai titoli dei file interessati è stato aggiunto un ID univoco assegnato alla vittima, l'indirizzo email dei criminali informatici e l'estensione ".MLF". Ad esempio, un file originariamente denominato "1.jpg" veniva visualizzato come "1.jpg.id[9ECFA84E-3377].[DataRecovery1@cock.li].MLF", ecc.

Successivamente, MLF ha creato due file - "info.hta" (pop-up) e "info.txt" - e li ha rilasciati sul desktop. Questi file contenevano le richieste di riscatto.

Cos'è Bobik?

Bobik è un software dannoso classificato come RAT (Remote Access Trojan). Questi trojan sono progettati per consentire l'accesso/controllo remoto su macchine infette. Bobik può eseguire varie attività dannose, tra cui: causare infezioni a catena, rubare dati e aggiungere dispositivi compromessi a dei botnet per lanciare degli attacchi DDoS.

Questo malware è stato utilizzato attivamente in assalti geopolitici contro l'Ucraina e i suoi alleati. Gli attacchi DDoS abilitati da Bobik sono degli elementi di criminalità informatica nella guerra in Ucraina.

Questa attività è stata collegata a un gruppo di hacker filo-russo poco conosciuto chiamato NoName057(16); ulteriormente verificato dalle prove raccolte dai ricercatori di Avast - come il vantarsi del gruppo su Telegram in coincidenza con gli attacchi DDoS di Bobik. Tuttavia, Avast ha anche stimato che le percentuali di successo di questo gruppo di hacker variano dal 20 al 40%.

Cos'è Bl00dy ransomware?

Bl00dy è il nome di un programma di tipo ransomware, che i nostri ricercatori hanno scoperto mentre esaminavano i nuovi invii di malware a VirusTotal. Questo programma dannoso fa parte della famiglia Babuk ransomware.

Una volta che un campione di Bl00dy è stato eseguito sul nostro sistema di test, questi ha iniziato a crittografare i file e ad aggiungere ai loro nomi l'estensione ".bl00dy". Ad esempio, il file originale "1.jpg" è apparso come "1.jpg.bl00dy", "2.png" come "2.png.bl00dy" e così via.

Dopo che la crittografia è stata completata, il ransomware ha rilasciato un file di testo intitolato "How To Restore Your Files.txt" sul desktop. Questo file conteneva la richiesta di riscatto, che rendeva evidente che Bl00dy prende di mira le aziende piuttosto che gli utenti domestici. Inoltre, questo software dannoso utilizza tattiche di doppia estorsione.

Cos'è Weekly Hits?

Durante l'ispezione degli installatori di software canaglia, i nostri ricercatori hanno scoperto l'estensione del browser Weekly Hits. Questa estensione promette di consentire agli utenti di accedere rapidamente ai testi delle canzoni più cercati della settimana. Dopo aver analizzato questo software, abbiamo stabilito che si tratta di un browser hijacker che promuove il falso motore di ricerca weekhits.xyz. 

Cos'è Zanubis?

Zanubis è un software dannoso classificato come trojan bancario. Questo malware prende di mira i sistemi operativi (OS) Android. La funzione principale di questo programma è ottenere di nascosto le credenziali del conto bancario online della vittima e accedere ai fondi ivi memorizzati. Zanubis prende di mira le banche latinoamericane, in particolare quelle con sede in Perù.

Che tipo di malware è Icarus?

Icarus è il nome di un programma dannoso di tipo stealer (ladro di informazioni). È progettato per estrarre un'ampia varietà di dati vulnerabili dalle macchine infette. Le minacce poste da malware di questo tipo possono variare a seconda degli obiettivi dei criminali informatici e della sensibilità dei dati archiviati sui dispositivi delle vittime.

Cos'è "Cookie Stuffing Browser Extensions"?

"Cookie Stuffing Browser Extensions" si riferisce a estensioni del browser dannose progettate per inserire gli ID di affiliazione dei cookie Internet di siti web specifici.

Abbiamo ispezionato quattro di queste estensioni. "AutoBuy Flash Sales, Deals, and Coupons" - con la funzionalità promessa di effettuare acquisti automatici su offerte a tempo limitato. "FlipShope - Price Tracker Extension" - in grado di tracciare e avvisare gli utenti quando sono disponibili sconti e altre offerte.

"Full Page Screenshot Capture - Screenshotting" - strumento di acquisizione e modifica di schermate di pagine Web. "Netflix Party" - consentendo agli utenti di guardare da remoto i programmi Netflix.

Va sottolineato che le funzionalità offerte da tali software raramente funzionano come promesso e, nella maggior parte dei casi, non funzionano affatto. Queste quattro estensioni hanno inserito gli ID di affiliazione nei popolari cookie dei siti di e-commerce. Inoltre, hanno tutti capacità di tracciamento dei dati.

Che tipo di email è "Porn Websites I Attacked With My Virus Xploit"?

La nostra ispezione dell'email "Porn Websites I Attacked With My Virus Xploit" (Siti Web porno che ho attaccato con il mio Virus Xploit) ha rivelato che si tratta dell'ennesima truffa di sextortion. Come la maggior parte delle lettere spam di questo tipo, fa false affermazioni sul fatto che il mittente abbia infettato il dispositivo del destinatario e realizzato video sessualmente espliciti di lui. L'email minaccia che, a meno che non venga pagato un riscatto, il filmato verrà divulgato.

Va sottolineato che l'email  "Porn Websites I Attacked With My Virus Xploit" è falsa; pertanto, non rappresenta una minaccia per chi l'ha ricevuta.