Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Che tipo di pagina è captcha4you[.]top?

Captcha4you[.]top è un sito canaglia progettato per indurre i visitatori a consentirgli di trasmettere delle notifiche spam del browser. Inoltre, questa pagina Web è in grado di reindirizzare gli utenti ad altri siti Web (probabilmente dubbi o dannosi).

I nostri ricercatori hanno scoperto captcha4you[.]top durante l'ispezione di siti che utilizzano reti pubblicitarie canaglia. È interessante notare che i reindirizzamenti causati dalle pagine di cui sopra sono il modo in cui la maggior parte degli utenti accede ai siti Web captcha4you[.]top e simili.

Cos'è BasicEngine?

I nostri ricercatori hanno trovato l'applicazione canaglia BasicEngine durante l'ispezione di nuovi invii a VirusTotal. Dopo aver analizzato questa app, abbiamo stabilito che funziona come software supportato dalla pubblicità (adware) e fa parte della famiglia AdLoad malware.

Che tipo di malware è CloudMensis?

Durante l'analisi dei campioni inviati alla pagina VirusTotal, il nostro team ha scoperto uno spyware che prendeva di mira gli utenti macOS chiamato CloudMensis. Abbiamo riscontrato che CloudMensis è scritto nel linguaggio di programmazione Objective-C. Può esfiltrare documenti e allegati email, catturare lo schermo, registrare sequenze di tasti e rubare altri dati sensibili.

Cos'è NMO ransomware?

Mentre esaminavano i nuovi invii a VirusTotal, i nostri ricercatori ne hanno trovato un altro programma di tipo ransomware - chiamato NMO - che appartiene alla famiglia Dharma ransomware.

Dopo aver eseguito un campione di NMO sulla nostra macchina di prova, ha crittografato i file e alterato i nomi dei file. Ai titoli originali sono stati aggiunti un ID univoco, l'indirizzo e-mail dei criminali informatici e un'estensione ".NMO". Ad esempio, un file denominato "1.jpg" è apparso come "1.jpg.id-9ECFA84E.[dr.nemo@tutanota.com].NMO".

Una volta terminata la crittografia, il ransomware ha visualizzato una finestra pop-up e ha rilasciato un file di testo intitolato "info.txt" sul desktop. Sia il pop-up che il file di testo contenevano richieste di riscatto.

Cos'è l'adware Healthy?

Healthy è un'applicazione canaglia, che la nostra analisi ha rivelato essere un software supportato dalla pubblicità (adware). Le app all'interno di questa classificazione funzionano eseguendo campagne pubblicitarie intrusive, ovvero visualizzando annunci.

Cos'è H0lyGh0st ransomware?

H0lyGh0st, noto anche come HolyGhost, è un programma di tipo ransomware. È progettato per crittografare i dati e richiedere un riscatto per la loro decrittazione. Inoltre, è noto che le infezioni da H0lyGh0st implicano tattiche di doppia estorsione (ovvero minacce aggiuntive che coinvolgono la fuga di dati).

Questo malware è stato collegato a criminali informatici nordcoreani che prendono di mira le piccole e medie imprese; Microsoft Threat Intelligence Center ha tenuto traccia di questa attività.

Dopo aver lanciato un campione di H0lyGh0st sul nostro sistema di test, questi ha crittografato i file e modificato i loro nomi. I nomi dei file originali sono stati modificati in una stringa di caratteri casuale ed è stata aggiunta l'estensione ".h0lyenc". Ad esempio, un file intitolato "1.jpg" è apparso come "U3RhcnQgVG9yIEJyb3dzZXIubG5r.h0lyenc", "2.png" come "SVBWYW5pc2gubG5r.h0lyenc", ecc.

Successivamente, un file HTML denominato "FOR_DECRYPT.html" è stato rilasciato sul desktop. Questo file conteneva il messaggio di richiesta di riscatto.

Cos'è lo stealer Echelon?

Echelon è un programma dannoso, classificato come stealer (ladro di informazioni). Lo scopo principale di questo malware è rubare informazioni dai sistemi infetti.

Può estrarre ed esfiltrare un'ampia varietà di dati da dispositivi compromessi. Inoltre, questo ladro ha notevoli capacità anti-rilevamento e anti-analisi, il che complica la sua scoperta e ricerca. Echelon è un software altamente pericoloso e deve essere immediatamente rimosso dal sistema operativo.

Cos'è Phoenix-Phobos?

Scoperto da GrujaRS ed appatenente alla famiglia Phobos ransomware, Phoenix-Phobos è un ransomware ad alto rischio progettato per crittografare i dati e fare richieste di riscatto. Durante la crittografia, Phoenix-Phobos rinomina ogni file aggiungendo ai nomi dei file l'estensione ".phoenix" più l'ID univoco della vittima e l'indirizzo email dello sviluppatore.

Ad esempio, "sample.jpg" potrebbe essere rinominato con un nome file come "sample.jpg.id[1E857D00-0001].[absonkaine@aol.com].phoenix". Le varianti aggiornate del ransomware Phoenix-Phobos utilizzano l'estensione ".[britt.looper@aol.com].phoenix" per i file crittografati. Inoltre, Phoenix-Phobos inserisce i file "info.hta" (anch'esso aperto) e "info.txt" sul desktop.

Che tipo di pagina è cleancaptcha[.]top?

Cleancaptcha[.]top è un sito Web ingannevole che abbiamo scoperto durante l'ispezione di siti Web che utilizzano reti pubblicitarie canaglia. Infatti visualizza contenuti ingannevoli (un CAPTCHA falso) per indurre i visitatori ad accettare di ricevere notifiche. Inoltre, cleancaptcha[.]top reindirizza a siti Web truffa.

Cos'è FARGO ransomware?

FARGO è una nuova variante di TargetCompany ransomware. Il malware di questo tipo è progettato per crittografare i dati e richiedere riscatti per la decrittografia.

Dopo aver lanciato un campione sul nostro sistema di test, abbiamo appreso che questo ransomware crittografa i file e aggiunge ai loro nomi dei file l'estensione ".FARGO". Ad esempio, un file originariamente intitolato "1.jpg" veniva visualizzato come "1.jpg.FARGO", "2.png" come "2.png.FARGO" e così via.

Dopo il completamento del processo di crittografia, FARGO ha rilasciato una richiesta di riscatto denominata "FILE RECOVERY.txt" sul desktop.