Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Che cos'è gotoyahoo.com?

Analizzando gotoyahoo.com, abbiamo scoperto che si tratta di un falso motore di ricerca promosso tramite hijacker del browser (estensioni come Image Size Info). I falsi motori di ricerca e le estensioni che li promuovono dovrebbero essere evitati. Se sono presenti nelle impostazioni del browser e (o) aggiunti ai browser, devono essere rimossi.

Che tipo di sito web è doktox.com?

Doktox.com è un falso motore di ricerca. Sebbene questa pagina sia in grado di fornire risultati di ricerca, questi sono imprecisi e possono includere contenuti sponsorizzati e possibilmente dannosi. Siti web di questo tipo sono comunemente promossi (tramite reindirizzamenti) dai browser hijacker.

I nostri ricercatori hanno scoperto doktox.com analizzando un programma di installazione ottenuto da una pagina web ingannevole. Questo setup conteneva il browser hijacker EasySearch.

Che tipo di malware è Moon?

Durante l'esame dei campioni di malware caricati su VirusTotal, il nostro team ha scoperto una variante di ransomware nota come Moon. Questo ransomware cripta i file e li rinomina aggiungendo ai nomi dei file una stringa di vari caratteri e l'estensione ".moon". Inoltre, Moon rilascia una nota di riscatto denominata "README.txt".

Un esempio di come Moon modifica i nomi dei file: cambia "1.jpg" in "1.jpg.{BA3484B5-A99A-8A49-AD7D-5C03B1A5A254}.moon", "2.png" in "2.png.{BA3484B5-A99A-8A49-AD7D-5C03B1A5A254}.moon" e così via. Vale la pena notare che questo ransomware è identico ad altre varianti, come Pwn3d, Orbit, Anyv, MoneyIsTime, e Beast.

Che tipo di software è EasySearch?

Durante l'ispezione di un sito web di Torrenting che utilizza reti pubblicitarie illegali, i nostri ricercatori hanno scoperto una pagina ingannevole che supportava un programma di installazione illegale. L'installazione conteneva l'estensione del browser EasySearch. Dopo averla analizzata, abbiamo scoperto che si tratta di un browser hijacker. EasySearch modifica le impostazioni del browser per promuovere motori di ricerca fasulli.

Che tipo di malware è King?

King è una variante di ransomware della famiglia Proton. Il nostro team ha scoperto King ispezionando i campioni di malware inviati a VirusTotal. Questo ransomware cripta i file, aggiunge un indirizzo e-mail e l'estensione ".king" ai nomi dei file e crea un file denominato "#Read-for-recovery.txt" (una nota di riscatto). Inoltre, King cambia lo sfondo del desktop.

Un esempio di come il ransomware King modifica i nomi dei file: rinomina "1.jpg" in "1.jpg.[king_ransom1@mailfence.com].king", "2.png" in "2.png.[king_ransom1@mailfence.com].king" e così via.

Che tipo di malware è Defi?

I nostri ricercatori hanno scoperto un programma di tipo ransomware della famiglia Makop chiamato Defi durante l'ispezione dei nuovi invii al sito VirusTotal. I ransomware funzionano criptando i dati delle vittime e chiedendo il pagamento di un riscatto per la decriptazione.

Sul nostro sistema di test, Defi ha crittografato i file e modificato i loro titoli. Ai nomi dei file originali sono stati aggiunti un ID univoco assegnato alla vittima, l'indirizzo e-mail dei criminali informatici e un'estensione ".defi1328" (si noti che il numero nell'estensione può variare in base alla variante del ransomware). Per approfondire, un file inizialmente denominato "1.jpg" è apparso come "1.jpg.[2AF20FA3].[wewillrestoreyou@cyberfear.com].defi1328" sul nostro computer di prova.

Una volta terminato il processo di crittografia, il ransomware Defi ha cambiato lo sfondo del desktop e ha lasciato cadere una nota di riscatto in un file di testo intitolato "+README-WARNING+.txt".

Che tipo di truffa è "ClickFix"?

Il termine "ClickFix" si riferisce a truffe con proliferazione di malware che inducono gli utenti a eseguire comandi dannosi sui loro dispositivi sostenendo che si tratta di una soluzione a un problema. Queste truffe istruiscono le vittime a copiare/incollare gli script virulenti, affermando che in questo modo sarà possibile creare/modificare/condividere documenti, partecipare a videoconferenze, risolvere problemi di visualizzazione di siti web e così via.

Questo contenuto ingannevole è diffuso principalmente sul Web, ma abbiamo anche osservato che la truffa è facilitata da file ingannevoli distribuiti tramite campagne di spam via e-mail.

Che tipo di estensione è UltraSearch?

Abbiamo testato l'estensione UltraSearch e abbiamo scoperto che il suo scopo è quello di promuovere un falso motore di ricerca attraverso il dirottamento del browser. Questa estensione riesce a farlo modificando le impostazioni del browser web. Gli utenti dovrebbero evitare di aggiungere estensioni come UltraSearch ai browser ed eliminarle se già presenti.

Che cos'è iambest.io?

Nella nostra analisi di iambest.io, abbiamo scoperto che pretende di operare come un motore di ricerca. Tuttavia, invece di fornire risultati di ricerca, iambest.io reindirizza gli utenti a un motore di ricerca dubbio. Un altro aspetto significativo di iambest.io è la sua associazione con il browser hijacking. Pertanto, non bisogna fidarsi di iambest.io.

Che tipo di malware è Diamond (Duckcryptor)?

I nostri ricercatori hanno scoperto il ransomware Diamond (Duckcryptor) durante un'ispezione di routine dei nuovi invii alla piattaforma VirusTotal. Questo programma dannoso è progettato per criptare i dati e richiedere un pagamento per la decriptazione.

Sul nostro sistema di test, il ransomware Diamond (Duckcryptor) ha crittografato i file aggiungendo ai loro nomi un'estensione ".[Dyamond@firemail.de].duckryptor". Ad esempio, un file inizialmente intitolato "1.jpg" è apparso come "1.jpg.[Dyamond@firemail.de].duckryptor", "2.png" come "2.png.[Dyamond@firemail.de].duckryptor", ecc.

In seguito, questo ransomware ha cambiato lo sfondo del desktop e ha creato due messaggi di richiesta di riscatto "Duckryption_info.hta" e "Duckryption_README.txt".