Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Che tipo di malware è crYptA3?

Durante l'esame dei campioni di malware inviati a VirusTotal, il nostro team ha scoperto crYptA3, un malware che funziona come un ransomware. Lo scopo di crYptA3 è crittografare i file. Inoltre, fornisce una richiesta di riscatto (il file "readme_for_unlock.txt") e aggiunge l'estensione ".crYptA3" ai nomi dei file.

Ecco un esempio di come crYptA3 rinomina i file: cambia "1.jpg" in "1.jpg.crYptA3", "2.png" in "2.png.crYptA3" e così via.

Cos'è il ransomware Wizard?

Il nostro team di ricerca ha scoperto il programma dannoso Wizard durante un'ispezione di routine dei nuovi invii a VirusTotal. È classificato come ransomware, un tipo di malware che crittografa i dati e richiede un riscatto per ottenere gli strumenti di decrittazione dei file infetti.

Dopo aver eseguito un campione del ransomware Wizard sul nostro sistema di test, questi ha crittografato i file e ne ha alterato i titoli. Ai nomi dei file originali veniva aggiunta l'estensione ".wizard", ad esempio un file denominato "1.jpg" appariva come "1.jpg.wizard", "2.png" come "2.png.wizard", ecc.

Una volta completato il processo di crittografia, sul desktop veniva creato un messaggio di richiesta di riscatto: "decrypt_instructions.txt".

Che tipo di malware è il ransomware Cesar?

Cesar è il nome di un programma dannoso appartenente al gruppo di ransomware Dharma. I sistemi infettati da questo malware hanno i propri dati crittografati (file resi inaccessibili) e ricevono richieste di riscatto per la decrittografia (recupero dell'accesso ai file).

Durante il processo di crittografia, i file interessati vengono rinominati seguendo questo schema: nome file originale, ID univoco assegnato alle vittime, indirizzo email dei criminali informatici ed estensione ".cesar". Ad esempio, un file inizialmente intitolato "1.jpg" apparirebbe come qualcosa di simile a "1.jpg.id-C279F237.[yasomoto@tutanota.com].cesar" - dopo la crittografia.

Una volta completato questo processo, i messaggi di richiesta di riscatto vengono creati/visualizzati in una finestra pop-up e nel file di testo "FILES ENCRYPTED.txt".

Che tipo di malware è Duke?

Duke è il nome generico dei set di strumenti malware utilizzati dall'attore APT29 APT (Minaccia persistente avanzata), noto anche come The Dukes, Cloaked Ursa, CozyBear, Nobelium e UNC2452. APT29 è un gruppo sponsorizzato dallo Stato Russo associato al Servizio di intelligence estero della Federazione Russa (SVR RF). Il gruppo è motivato politicamente e geopoliticamente; si occupa di raccolta di informazioni e spionaggio informatico.

La famiglia di malware Duke comprende un'ampia gamma di programmi dannosi, tra cui backdoor di sistema, caricatori, ladri di dati, interruzioni di processo e altri.

L'ultima campagna spam collegata al gruppo The Dukes si è verificata nel 2023 e ha implementato documenti PDF dannosi camuffati da inviti diplomatici dell'ambasciata Tedesca. Questa campagna email ha preso di mira i ministeri degli Affari esteri dei paesi allineati con la NATO.

Che tipo di malware è Knight?

Il ransomware Knight è una variante di Cyclops. Il malware all'interno di questa classificazione è progettato per crittografare i file e richiedere un riscatto per la loro decrittazione.

Quando abbiamo eseguito un campione di Knight sul nostro sistema di test, questi ha iniziato a crittografare i file e ha aggiunto ai loro nomi di file l'estensione ".knight_l". Ad esempio, un file inizialmente intitolato "1.jpg" appariva come "1.jpg.knight_l", "2.png" come "2.png.knight_l", ecc. Successivamente, una nota di riscatto: "How To Restore Your Files.txt" – è stata inserita in ogni cartella crittografata del sistema.

È pertinente menzionare che il gruppo di sviluppatori di Knight lo gestisce come Ransomware-as-a-Service e questi criminali offrono anche malware per il furto di informazioni. Quindi, esiste la possibilità che queste infezioni da ransomware possano avere un elemento di doppia estorsione. La variante che abbiamo esaminato menzionava l'uso di tali tattiche.

Che tipo di pagina è bonalluterser[.]com?

Il nostro team di ricerca ha scoperto bonalluterser.com mentre indagava su siti non affidabili. Questa pagina canaglia mira a indurre i visitatori a consentirgli di inviare notifiche spam del browser. Può anche reindirizzare i visitatori ad altri siti Web (probabilmente dubbi/dannosi). Gli utenti in genere accedono a pagine Web come bonalluterser[.]com tramite reindirizzamenti causati da siti che utilizzano reti pubblicitarie non autorizzate.

Che tipo di malware è Agniane?

Agniane è uno stealer l(adro di informazioni), un tipo di malware progettato per estrarre ed esfiltrare informazioni sensibili dalle macchine infette. Questo stealer è fortemente concentrato sul furto di dati relativi alle criptovalute.

Che tipo di truffa è "Clop Ransomware.dll"?

Durante le indagini sui siti Web non autorizzati, il nostro team di ricerca ha scoperto la truffa del supporto tecnico "Clop Ransomware.dll". Presentata come facente parte di Microsoft/Windows, questa truffa afferma falsamente che i computer degli utenti sono stati infettati per indurli a chiamare false linee di supporto. In genere, queste truffe comportano l'accesso remoto ai dispositivi delle vittime e sono associate a gravi minacce.

Che tipo di malware è BLACK ICE?

Il ransomware BLACK ICE è un tipo di malware progettato per crittografare i dati e richiedere un riscatto per la sua decrittazione. Inoltre, questo programma utilizza tattiche di doppia estorsione.

Dopo aver eseguito un campione di BLACK ICE sulla nostra macchina di prova, questi ha crittografato i file e ha aggiunto ai loro nomi di file l'estensione ".ICE". Ad esempio, un file inizialmente denominato "1.jpg" appariva come "1.jpg.ICE", "2.png" come "2.png.ICE", ecc. Una volta completata la crittografia, questo ransomware ha creato una nota di riscatto intitolata "ICE_Recovey.txt".

Che tipo di pagina è recaptcha-version-3-21[.]top?

Re-captha-version-3-21[.]top è l'indirizzo di un sito canaglia che promuove notifiche spam del browser e reindirizza i visitatori a pagine Web diverse (probabilmente inaffidabili/dannose).

La maggior parte degli utenti accede a pagine come re-captha-version-3-21[.]top tramite reindirizzamenti causati da siti Web che utilizzano reti pubblicitarie canaglia. I nostri ricercatori hanno trovato questa pagina web durante la revisione dei siti che utilizzano tali reti.