Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Che tipo di malware è NIGHT CROW?

Il nostro team di ricerca ha scoperto il ransomware NIGHT CROW mentre esaminava i nuovi invii al sito Web VirusTotal. Questo programma è progettato per crittografare i dati e richiedere un pagamento per la loro decrittografia.

Sulla nostra macchina di prova, NIGHT CROW ha crittografato i file e ha aggiunto ai nomi dei file l'estensione ".NIGHT_CROW"; ad esempio, un file inizialmente nominato "1.jpg" appariva come "1.jpg.NIGHT_CROW", "2.png" come "2.png.NIGHT_CROW", ecc. Successivamente, è stata creata una richiesta di riscatto intitolata "NIGHT_CROW_RECOVERY.txt".

Che tipo di malware è BBTok?

BBTok è un trojan bancario scritto in linguaggio di programmazione Delphi dotato di funzionalità specializzate che imita le interfacce di oltre 40 banche messicane e brasiliane. Le sue tattiche ingannevoli consistono nell'indurre le vittime a divulgare i loro codici 2FA per i conti bancari o i numeri delle loro carte di pagamento.

Inoltre, BBTok vanta funzionalità come l'enumerazione e la terminazione dei processi, il controllo sulle funzioni della tastiera e del mouse e la manipolazione del contenuto degli appunti.

Che tipo di malware è IRATA?

IRATA è il nome di un malware specifico per Android. Questo programma ha funzionalità di spyware e stealer (ladro di informazioni). È stato scoperto dopo che ha effettuato un attacco smishing (phishing tramite SMS) in Iran. Questa campagna consisteva nell'invio di SMS dall'aspetto legittimo contenenti un collegamento a un falso sito web governativo. La pagina invitava i visitatori a scaricare un'app e a pagare una tariffa per il servizio.

È interessante notare che IRATA ha la capacità di creare una botnet da dispositivi infetti e di utilizzarla per autodiffondersi tramite messaggi di testo spam.

Che tipo di software è NXD Fix?

Durante la nostra analisi quotidiana dei siti ingannevoli, abbiamo scoperto un programma di installazione contenente l'estensione del browser NXD Fix. Questo software è classificato come un browser hijacker.

Tuttavia, NXD Fix non funziona come un dirottatore standard, ovvero non modifica le impostazioni del browser e non reindirizza regolarmente a motori di ricerca falsi. NXD Fix promuove nxdfix.com in circostanze specifiche.

Che tipo di software è ChatGPT Check?

Il nostro team di ricerca ha scoperto l'estensione del browser ChatGPT Check mentre indagava su siti Web non affidabili. Abbiamo trovato una pagina che promuove una configurazione di installazione contenente questa estensione e la pagina promozionale "ufficiale" di ChatGPT Check.

Quest'ultima lo descrive come uno strumento per coloro che non vogliono creare un account o pagare per ChatGPT, poiché questa estensione del browser non richiede registrazione e consente tre ricerche giornaliere utilizzando il chatbot AI (Intelligenza Artificiale) gratuitamente. Tuttavia, dopo aver analizzato questo software, abbiamo stabilito che si tratta di un browser hijacker che promuove il falso motore di ricerca chatcheckext.com.

Va sottolineato che questa estensione canaglia non è in alcun modo associata né all'attuale ChatGPT né al suo sviluppatore: OpenAI.

Che tipo di malware è LostTrust?

LostTrust è il nome di una variante di ransomware da noi scoperta durante l'esame dei campioni di malware inviati a VirusTotal. Lo scopo di LostTrust è crittografare i dati per renderli inaccessibili alle vittime. Inoltre, LostTrust aggiunge l'estensione ".losttrustencoded" ai nomi dei file e invia una richiesta di riscatto ("!LostTrustEncoded.txt").

Un esempio di come LostTrust modifica i nomi dei file: cambia "1.jpg" in "1.jpg.losttrustencoded", "2.png" in "2.png.losttrustencoded" e così via.

Che tipo di malware è Deep (Phobos)?

Durante l'ispezione dei nuovi invii al sito Web VirusTotal, i nostri ricercatori hanno scoperto il programma di tipo ransomware denominato Deep. Si tratta di un programma cha fa parte della famiglia di ransomware Phobos. Deep (Phobos) opera crittografando i dati per richiedere il pagamento per la loro decrittazione.

Sulla nostra macchina di prova, questo ransomware ha crittografato i file e li ha rinominati. Ai nomi dei file originali ha aggiunto un ID univoco assegnato alla vittima, l'indirizzo email dei criminali informatici e l'estensione ".deep". Ad esempio, un file inizialmente intitolato "1.jpg" appariva come "1.jpg.id[9ECFA84E-3352].[captain-america@tuta.io].deep".

Una volta terminato il processo di crittografia, le richieste di riscatto sono state create/visualizzate in una finestra pop-up ("info.hta") e in un file di testo ("info.txt").

Che tipo di malware è CiphBit?

CiphBit è un programma di tipo ransomware. È progettato per crittografare i dati e richiedere riscatti per la loro decrittazione. Sulla nostra macchina di prova, CiphBit ha crittografato i file e ne ha modificato i nomi.

Ai titoli originali veniva aggiunto un ID univoco assegnato alla vittima, l'indirizzo email dei criminali informatici e un'estensione composta da quattro caratteri casuali. Ad esempio, un file nominato "1.jpg" dopo la crittografia appariva come "1.jpg[ID=13AADE]-[E-Mail=ciphbit@onionmail.org].aefA".

Una volta completato questo processo, è stato consegnato un messaggio di richiesta di riscatto intitolato "____CiphBit____!.txt". Sulla base del testo in esso contenuto, è evidente che CiphBit si rivolge alle aziende piuttosto che agli utenti domestici. È interessante notare che questo ransomware utilizza tattiche di doppia estorsione.

Che tipo di email è "Password Was Compromised Through A Legitimate Website"?

Dopo aver analizzato l'email con oggetto "Password Was Compromised Through A Legitimate Website" ("La password è stata compromessa tramite un sito Web legittimo"), abbiamo stabilito che si tratta di spam. Questa email è una truffa di sextortion (a sfondo sessuale). Si afferma falsamente che il dispositivo del destinatario è stato infettato da malware, che è stato poi utilizzato per accedere al microfono e alla fotocamera.

A differenza delle tipiche truffe di sextortion, questa email non indica che sono stati registrati contenuti sessualmente espliciti raffiguranti il ​​destinatario. Piuttosto, implica che sia così, ma lascia spazio a interpretazioni per espandere il bacino delle vittime.

Va sottolineato che tutte queste affermazioni sono false, quindi questa email non rappresenta una minaccia per i destinatari.

Che tipo di software è "key pro"?

Il nostro team di ricerca ha trovato l'estensione del browser "key pro" durante l'esame quotidiano di siti Web non affidabili. Dopo aver analizzato questo software, abbiamo appreso che si tratta di un browser hijacker (dirottatore). Questa estensione modifica le impostazioni del browser per promuovere (tramite reindirizzamenti) il falso motore di ricerca keysearchs.com. Inoltre, key pro spia l'attività di navigazione degli utenti.