Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Che tipo di malware è CloudMensis?

Durante l'analisi dei campioni inviati alla pagina VirusTotal, il nostro team ha scoperto uno spyware che prendeva di mira gli utenti macOS chiamato CloudMensis. Abbiamo riscontrato che CloudMensis è scritto nel linguaggio di programmazione Objective-C. Può esfiltrare documenti e allegati email, catturare lo schermo, registrare sequenze di tasti e rubare altri dati sensibili.

Cos'è NMO ransomware?

Mentre esaminavano i nuovi invii a VirusTotal, i nostri ricercatori ne hanno trovato un altro programma di tipo ransomware - chiamato NMO - che appartiene alla famiglia Dharma ransomware.

Dopo aver eseguito un campione di NMO sulla nostra macchina di prova, ha crittografato i file e alterato i nomi dei file. Ai titoli originali sono stati aggiunti un ID univoco, l'indirizzo e-mail dei criminali informatici e un'estensione ".NMO". Ad esempio, un file denominato "1.jpg" è apparso come "1.jpg.id-9ECFA84E.[dr.nemo@tutanota.com].NMO".

Una volta terminata la crittografia, il ransomware ha visualizzato una finestra pop-up e ha rilasciato un file di testo intitolato "info.txt" sul desktop. Sia il pop-up che il file di testo contenevano richieste di riscatto.

Cos'è l'adware Healthy?

Healthy è un'applicazione canaglia, che la nostra analisi ha rivelato essere un software supportato dalla pubblicità (adware). Le app all'interno di questa classificazione funzionano eseguendo campagne pubblicitarie intrusive, ovvero visualizzando annunci.

Cos'è H0lyGh0st ransomware?

H0lyGh0st, noto anche come HolyGhost, è un programma di tipo ransomware. È progettato per crittografare i dati e richiedere un riscatto per la loro decrittazione. Inoltre, è noto che le infezioni da H0lyGh0st implicano tattiche di doppia estorsione (ovvero minacce aggiuntive che coinvolgono la fuga di dati).

Questo malware è stato collegato a criminali informatici nordcoreani che prendono di mira le piccole e medie imprese; Microsoft Threat Intelligence Center ha tenuto traccia di questa attività.

Dopo aver lanciato un campione di H0lyGh0st sul nostro sistema di test, questi ha crittografato i file e modificato i loro nomi. I nomi dei file originali sono stati modificati in una stringa di caratteri casuale ed è stata aggiunta l'estensione ".h0lyenc". Ad esempio, un file intitolato "1.jpg" è apparso come "U3RhcnQgVG9yIEJyb3dzZXIubG5r.h0lyenc", "2.png" come "SVBWYW5pc2gubG5r.h0lyenc", ecc.

Successivamente, un file HTML denominato "FOR_DECRYPT.html" è stato rilasciato sul desktop. Questo file conteneva il messaggio di richiesta di riscatto.

Cos'è lo stealer Echelon?

Echelon è un programma dannoso, classificato come stealer (ladro di informazioni). Lo scopo principale di questo malware è rubare informazioni dai sistemi infetti.

Può estrarre ed esfiltrare un'ampia varietà di dati da dispositivi compromessi. Inoltre, questo ladro ha notevoli capacità anti-rilevamento e anti-analisi, il che complica la sua scoperta e ricerca. Echelon è un software altamente pericoloso e deve essere immediatamente rimosso dal sistema operativo.

Cos'è Phoenix-Phobos?

Scoperto da GrujaRS ed appatenente alla famiglia Phobos ransomware, Phoenix-Phobos è un ransomware ad alto rischio progettato per crittografare i dati e fare richieste di riscatto. Durante la crittografia, Phoenix-Phobos rinomina ogni file aggiungendo ai nomi dei file l'estensione ".phoenix" più l'ID univoco della vittima e l'indirizzo email dello sviluppatore.

Ad esempio, "sample.jpg" potrebbe essere rinominato con un nome file come "sample.jpg.id[1E857D00-0001].[absonkaine@aol.com].phoenix". Le varianti aggiornate del ransomware Phoenix-Phobos utilizzano l'estensione ".[britt.looper@aol.com].phoenix" per i file crittografati. Inoltre, Phoenix-Phobos inserisce i file "info.hta" (anch'esso aperto) e "info.txt" sul desktop.

Che tipo di pagina è cleancaptcha[.]top?

Cleancaptcha[.]top è un sito Web ingannevole che abbiamo scoperto durante l'ispezione di siti Web che utilizzano reti pubblicitarie canaglia. Infatti visualizza contenuti ingannevoli (un CAPTCHA falso) per indurre i visitatori ad accettare di ricevere notifiche. Inoltre, cleancaptcha[.]top reindirizza a siti Web truffa.

Cos'è FARGO ransomware?

FARGO è una nuova variante di TargetCompany ransomware. Il malware di questo tipo è progettato per crittografare i dati e richiedere riscatti per la decrittografia.

Dopo aver lanciato un campione sul nostro sistema di test, abbiamo appreso che questo ransomware crittografa i file e aggiunge ai loro nomi dei file l'estensione ".FARGO". Ad esempio, un file originariamente intitolato "1.jpg" veniva visualizzato come "1.jpg.FARGO", "2.png" come "2.png.FARGO" e così via.

Dopo il completamento del processo di crittografia, FARGO ha rilasciato una richiesta di riscatto denominata "FILE RECOVERY.txt" sul desktop.

Cos'è Redeemer ransomware?

Il Ransomware è un tipo di malware che blocca l'accesso ai file crittografandoli, modifica i nomi dei file aggiungendone l'estensione e genera un messaggio di richiesta di riscatto.

Il redeemer aggiunge l'estensione ".redeem", ad esempio rinomina un file denominato "1.jpg" in "1.jpg.redeem", "2.jpg" in "2.jpg.redeem" e così via. Come richiesta di riscatto, Redeemer crea il file di testo "Read Me.TXT" (crea la sua richiesta di riscatto in tutte le cartelle contenenti file crittografati).

Cos'è ANNABELLE?

Scoperto per primo da Bart, ANNABELLE è un virus di tipo ransomware che si infiltra di nascosto nel sistema operativo e crittografa la maggior parte dei file archiviati. Durante la crittografia, questo malware aggiunge nomi di file con l'estensione ".ANNABELLE" (ad es. "sample.jpg" viene rinominato "sample.jpg.ANNABELLE").

Da questo momento in poi, l'utilizzo dei file diventa impossibile. I risultati della ricerca mostrano che, dopo aver crittografato con successo i file, ANNABELLE esegue anche varie attività per corrompere il sistema e, dopo averlo riavviato, blocca l'intero schermo.