Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Che tipo di malware è LIZARD?

Durante l'ispezione di campioni di malware inviati alla pagina VirusTotal, abbiamo scoperto LIZARD, un ransomware che appartiene alla famiglia Phobos. Crittografa i file e aggiunge l'ID della vittima, l'indirizzo email r3wuq@tuta.io e l'estensione ".LIZARD" ai nomi dei file. LIZARD crea anche i file "info.hta" (un file che apre una finestra pop-up) e "info.txt" contenenti richieste di riscatto.

Un esempio di come LIZARD modifica i nomi dei file: rinomina "1.jpg" in "1.jpg.id[9ECFA84E-3351].[r3wuq@tuta.io].LIZARD", "2.png" in "2.png.id[9ECFA84E-3351].[r3wuq@tuta.io].LIZARD", e così via.

Cos'è DiskFresh?

DiskFresh è un software dannoso che i nostri ricercatori hanno scoperto durante l'ispezionequotidiana di siti di download di software "craccati". Questo programma è in grado di forzare l'apertura di vari siti Web canaglia, ingannevoli e dannosi. Inoltre, DiskFresh potrebbe avere funzionalità dannose aggiuntive.

Cos'è Keona Clipper?

Keona è il nome di un malware di tipo clipper. Altrimenti noti come clipboard hijacker (dirottatori degli appunti), questi programmi dannosi sono progettati per sostituire i dati copiati negli appunti (buffer copia-incolla). I clipper vengono utilizzati quasi esclusivamente per modificare gli indirizzi dei portafogli di criptovaluta copiati, al fine di reindirizzare i trasferimenti in uscita nei portafogli crittografici dei criminali informatici.

Che tipo di malware è Solidbit?

Solidbit è un ransomware utilizzato per estorcere denaro. Crittografa i file per renderli inaccessibili/inutilizzabili. Inoltre, Solidbit aggiunge la sua estensione (contenente quattro caratteri casuali) ai nomi dei file e crea il file "RESTORE-MY-FILES.txt" e visualizza una finestra pop-up (entrambi contengono note di riscatto).

Un esempio di come Solidbit rinomina i file: cambia "1.jpg" in "1.jpg.3r5r", "2.png" in "2.png.41nm" e così via.

Cos'è Themida?

Themida è un nome di rilevamento utilizzato da alcuni software di sicurezza come titolo generico per software dannoso con determinate caratteristiche. In pratica, questo rilevamento può essere assegnato a trojan che utilizzano il packer Themida come misura di protezione contro il reverse engineering.

In altre parole, "Themida" non si riferisce a un programma dannoso specifico. Inoltre, il termine "trojan" è assegnato a un'ampia gamma di malware che possono avere capacità intrinsecamente diverse.

Cos'è il ransomware Dark Web Hacker?

Dark Web Hacker è un programma dannoso basato su Chaos ransomware che i nostri ricercatori hanno scoperto durante l'ispezione di nuovi invii a VirusTotal. Ogni ransomware è progettato per crittografare i dati e richiedere il pagamento per la loro decrittazione.

Abbiamo analizzato due varianti di Dark Web Hacker; entrambe crittografano i file e hanno aggiunto ai nomi dei file delle estensioni composte da quattro caratteri casuali. Ad esempio, un file inizialmente denominato "1.jpg" veniva visualizzato come "1.jpg.zpwg", "2.png" come "2.png.txd0", ecc.

Queste varianti hanno cambiato gli sfondi del desktop e creato note di riscatto (intitolate "read_it.txt") dopo aver completato il processo di crittografia. Il testo presentato sullo sfondo e nel messaggio di richiesta di riscatto differisce tra le versioni di Dark Web Hacker.

Che tipo di malware è Pymafka?

Pymafka è il nome di un malware che prende di mira gli utenti Windows, macOS e Linux. La versione di Trojan scaricata ed eseguita da Pymafka dipende dal sistema operativo. Il nome di Pymafka è simile a un pacchetto Python legittimo chiamato pykafka.

I criminali informatici dietro Pymafka sperano che gli utenti che cercano il pacchetto pykafka ne digitino in modo errato il nome e scarichino invece un malware (Pymafka).

Che tipo di email è "Your OneDrive Is Inactive And Will Soon Be Deleted"?

La nostra analisi dell'email  "Your OneDrive Is Inactive And Will Soon Be Deleted" ha rivelato che opera da truffa di phishing.

Questa lettera spam viene presentata come una notifica relativa alla cancellazione dell'account Microsoft OneDrive del destinatario. Con queste false affermazioni, questa email mira a indurre gli utenti a visitare un sito di phishing camuffato da pagina di accesso di OneDrive. Le credenziali immesse in questa pagina Web verranno divulgate ai truffatori dietro questa campagna di spam.

Va sottolineato che queste lettere truffa non sono in alcun modo associate alla Microsoft Corporation.

Cos'è la truffa pop-up "METAMASK".?

Abbiamo scoperto questa truffa "METAMASK" durante l'ispezione di siti Web canaglia. È mascherata da pagina di recupero delle credenziali di accesso di MetaMask, un vero e proprio portafoglio di criptovaluta progettato per interagire con la blockchain di Ethereum. Questo schema funziona come una truffa di phishing. In altre parole, mira a indurre gli utenti a rivelare le credenziali di accesso dei loro portafogli, per ottenere successivamente l'accesso e il controllo su di essi.

Che tipo di malware è SVCReady?

SVCReady è il nome di un loader (caricatore) di malware in grado di raccogliere informazioni sul sistema infetto e comunicare con un server di comando e controllo (C2). Abbiamo scoperto questo loader durante l'esame di un'email contenente un documento MS Word dannoso.

Uno dei payload noti forniti utilizzando il caricatore SVCReady è un ladro di informazioni chiamato RedLine Stealer.