Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Cos'è NetDooka?

Scoperto da TrendMicro, NetDooka è un framework malware multicomponente distribuito tramite un servizio PPI (Pay-Per-Install) dannoso. A causa della natura dei servizi PPI del malware, i componenti dannosi installati possono variare.

Le catene di infezione osservate hanno compreso un loader e un dropper, ed alla fine viene installato NetDooka RAT (Trojan di accesso remoto). Alcune varianti includevano un driver di protezione, che tenta di impedire gli sforzi di rimozione del malware. I RAT sono programmi dannosi progettati per consentire l'accesso remoto su macchine infette. Quindi, questi trojan tendono ad essere multifunzionali e altamente versatili.

Cos'è mous0[.]biz?

Abbiamo esaminato la pagina mous0[.]biz e abbiamo appreso che utilizza la tecnica clickbait per indurre i visitatori ad accettare di ricevere le sue notifiche. Inoltre, reindirizza i visitatori a una pagina identica. Il nostro team ha scoperto mous0[.]biz durante l'esame di altre pagine che utilizzano reti pubblicitarie canaglia.

Che tipo di malware è Stealerium?

Stealerium è il nome di uno stealer (ladro di informazioni) scritto nel linguaggio di programmazione C#. Invia i log (informazioni rubate) a un canale Discord controllato dagli aggressori tramite un webhook. Il malware Stealerium può estrarre dati, registrare sequenze di tasti, acquisire schermate e dirottare gli appunti.

Cos'è Prime adware?

Prime è il nome di un'applicazione canaglia che abbiamo scoperto durante l'ispezione quotidiana di siti Web di download ingannevoli. Dopo aver analizzato questo pezzo di software, abbiamo stabilito che funziona come software supportato dalla pubblicità (adware). Inoltre, abbiamo notato che Prime è praticamente identico ad Healthiness adware.

Che tipo di malware è GUCCI?

I nostri ricercatori di malware hanno scoperto una variante di ransomware (appartenente alla famiglia Phobos) chiamato GUCCI. È stato trovato durante l'analisi di campioni di malware inviati a VirusTotal. GUCCI è un ransomware che crittografa i file, aggiunge l'estensione ".GUCCI" (e l'ID della vittima) ai nomi dei file e genera due richieste di riscatto.

GUCCI crea i file "info.txt" e "info.hta" che contengono richieste di riscatto. Un esempio di come rinomina i file: cambia "1.jpg" in "1.jpg.id[9ECFA84E-3208].[tox].GUCCI", "2.png" in "2.png.id[9ECFA84E-3208].[tox].GUCCI", e così via.

Che tipo di malware è il clipper 3Ex2BJT2aiqDJKPAFeuWMbB4T6MhML384p?

Il nostro team ha scoperto un malware clipper chiamato 3Ex2BJT2aiqDJKPAFeuWMbB4T6MhML384p durante l'ispezione quotidiana di siti Web di download di software crackati. I criminali informatici utilizzano questo malware per rubare la criptovaluta Bitcoin. Abbiamo anche riscontrato che il programma di installazione contenente il malware 3Ex2BJT2aiqDJKPAFeuWMbB4T6MhML384p inietta ulteriore software indesiderato.

Che tipo di estensione del browser è "Watch It"?

Watch It è il nome di un'estensione del browser che abbiamo scoperto durante l'ispezione di pagine Web di download losche. Questo software promette di consentire agli utenti un facile accesso a film, programmi TV e contenuti correlati. Dopo aver analizzato questa estensione, abbiamo stabilito che funziona come adware.

Che tipo di pagina è deviceunder-shield[.]com?

Durante la nostra ispezione quotidiana di siti non affidabili, i nostri ricercatori hanno trovato la pagina web canaglia deviceunder-shield[.]com. È progettata per caricare le truffe, mostrare notifiche spam del browser, e reindirizzare i visitatori ad altri siti Web (probabilmente dubbi/dannosi). La maggior parte degli utenti accede a deviceunder-shield[.]com e a siti simili tramite reindirizzamenti causati da pagine che utilizzano reti pubblicitarie canaglia.

Cos'è "Official Solana NFT Launch"?

"Official Solana NFT Launch" è una truffa, che i nostri ricercatori hanno scoperto durante l'ispezione di siti Web loschi. La truffa promette agli utenti della piattaforma blockchain di Solana, che vi prendono parte, un dono "ufficiale" di Solana NFT (token non fungibili). Va sottolineato che queste promesse sono false e le vittime di questa truffa subiranno solo una perdita finanziaria e non guadagneranno nulla in cambio.

Cos'è il ransomware Dark Angels Team?

Durante l'ispezione di nuovi invii a VirusTotal, i nostri ricercatori hanno scoperto il programa di tipo ransomware Dark Angels Team. Abbiamo stabilito che questo programma dannoso appartiene alla famiglia di ransomware Babuk.

Dopo aver lanciato un campione sulla nostra macchina di prova, abbiamo appreso che crittografa i file e aggiunge i nomi dei file con l'estensione ".crypt". Ad esempio, un file inizialmente intitolato "1.jpg" è apparso come "1.jpg.crypt", "2.png" come "2.png.crypt" e così via per tutti i file interessati.

Una volta completato il processo di crittografia, questo ransomware ha rilasciato una richiesta di riscatto - "How_To_Restore_Your_Files.txt" - sul desktop. Questo file conteneva un collegamento a un sito Web Tor, che mostrava il testo identico alla richiesta di riscatto. Sulla base di questi messaggi, è evidente che Dark Angels Team prende di mira le aziende piuttosto che gli utenti domestici.