Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Che tipo di malware è King?

King è una variante di ransomware della famiglia Proton. Il nostro team ha scoperto King ispezionando i campioni di malware inviati a VirusTotal. Questo ransomware cripta i file, aggiunge un indirizzo e-mail e l'estensione ".king" ai nomi dei file e crea un file denominato "#Read-for-recovery.txt" (una nota di riscatto). Inoltre, King cambia lo sfondo del desktop.

Un esempio di come il ransomware King modifica i nomi dei file: rinomina "1.jpg" in "1.jpg.[king_ransom1@mailfence.com].king", "2.png" in "2.png.[king_ransom1@mailfence.com].king" e così via.

Che tipo di malware è Defi?

I nostri ricercatori hanno scoperto un programma di tipo ransomware della famiglia Makop chiamato Defi durante l'ispezione dei nuovi invii al sito VirusTotal. I ransomware funzionano criptando i dati delle vittime e chiedendo il pagamento di un riscatto per la decriptazione.

Sul nostro sistema di test, Defi ha crittografato i file e modificato i loro titoli. Ai nomi dei file originali sono stati aggiunti un ID univoco assegnato alla vittima, l'indirizzo e-mail dei criminali informatici e un'estensione ".defi1328" (si noti che il numero nell'estensione può variare in base alla variante del ransomware). Per approfondire, un file inizialmente denominato "1.jpg" è apparso come "1.jpg.[2AF20FA3].[wewillrestoreyou@cyberfear.com].defi1328" sul nostro computer di prova.

Una volta terminato il processo di crittografia, il ransomware Defi ha cambiato lo sfondo del desktop e ha lasciato cadere una nota di riscatto in un file di testo intitolato "+README-WARNING+.txt".

Che tipo di truffa è "ClickFix"?

Il termine "ClickFix" si riferisce a truffe con proliferazione di malware che inducono gli utenti a eseguire comandi dannosi sui loro dispositivi sostenendo che si tratta di una soluzione a un problema. Queste truffe istruiscono le vittime a copiare/incollare gli script virulenti, affermando che in questo modo sarà possibile creare/modificare/condividere documenti, partecipare a videoconferenze, risolvere problemi di visualizzazione di siti web e così via.

Questo contenuto ingannevole è diffuso principalmente sul Web, ma abbiamo anche osservato che la truffa è facilitata da file ingannevoli distribuiti tramite campagne di spam via e-mail.

Che tipo di estensione è UltraSearch?

Abbiamo testato l'estensione UltraSearch e abbiamo scoperto che il suo scopo è quello di promuovere un falso motore di ricerca attraverso il dirottamento del browser. Questa estensione riesce a farlo modificando le impostazioni del browser web. Gli utenti dovrebbero evitare di aggiungere estensioni come UltraSearch ai browser ed eliminarle se già presenti.

Che cos'è iambest.io?

Nella nostra analisi di iambest.io, abbiamo scoperto che pretende di operare come un motore di ricerca. Tuttavia, invece di fornire risultati di ricerca, iambest.io reindirizza gli utenti a un motore di ricerca dubbio. Un altro aspetto significativo di iambest.io è la sua associazione con il browser hijacking. Pertanto, non bisogna fidarsi di iambest.io.

Che tipo di malware è Diamond (Duckcryptor)?

I nostri ricercatori hanno scoperto il ransomware Diamond (Duckcryptor) durante un'ispezione di routine dei nuovi invii alla piattaforma VirusTotal. Questo programma dannoso è progettato per criptare i dati e richiedere un pagamento per la decriptazione.

Sul nostro sistema di test, il ransomware Diamond (Duckcryptor) ha crittografato i file aggiungendo ai loro nomi un'estensione ".[Dyamond@firemail.de].duckryptor". Ad esempio, un file inizialmente intitolato "1.jpg" è apparso come "1.jpg.[Dyamond@firemail.de].duckryptor", "2.png" come "2.png.[Dyamond@firemail.de].duckryptor", ecc.

In seguito, questo ransomware ha cambiato lo sfondo del desktop e ha creato due messaggi di richiesta di riscatto "Duckryption_info.hta" e "Duckryption_README.txt".

Che cos'è "Win32/OfferCore"?

"Win32/OfferCore" (o semplicemente "OfferCore") è un nome generico di rilevamento utilizzato da molti fornitori di sicurezza per tracciare le configurazioni in bundle. Fondamentalmente, i bundler si riferiscono a programmi di installazione contenenti diversi software. I setup in bundle possono comprendere un singolo programma legittimo con aggiunte non affidabili o solo applicazioni ed estensioni indesiderate/maligne.

È da notare che se "Win32/OfferCore" viene rilevato, indica un'alta probabilità che più programmi potenzialmente pericolosi si siano infiltrati nel sistema.

Che tipo di malware è WikiLoader?

WikiLoader è un sofisticato malware di tipo loader. I programmi dannosi di questa categoria sono progettati per causare infezioni a catena, ovvero per scaricare/installare ulteriore malware.

WikiLoader è in circolazione almeno dal dicembre 2022 e ne esistono diverse versioni. Questo loader è stato notato in diverse campagne, la maggior parte delle quali ha preso di mira varie organizzazioni con sede in Italia. Alcune prove suggeriscono che WikiLoader possa essere messo in vendita, dato che un paio di diversi attori delle minacce lo hanno utilizzato. Questo malware è stato osservato mentre veniva distribuito in campagne di spam via e-mail su larga scala.

Che tipo di malware è CustomerLoader?

CustomerLoader è un programma dannoso progettato per causare infezioni a catena. In altre parole, carica ulteriori componenti e programmi dannosi sui dispositivi compromessi. Tutte le infezioni note di CustomerLoader si sono affidate al trojan iniettore DotRunpeX per infiltrarsi nel payload finale. Oltre quaranta famiglie di malware sono state proliferate in questo modo.

La comunità della cybersicurezza è venuta a conoscenza dell'esistenza di CustomerLoader per la prima volta nel giugno del 2023; tuttavia, alcune prove suggeriscono che questo malware sia attivo almeno dal maggio dello stesso anno.

A causa della varietà di metodi di distribuzione implementati per CustomerLoader, è probabile che gli sviluppatori del programma lo offrano come servizio e che quindi il malware sia utilizzato da più attori delle minacce.

Che tipo di applicazione è Ultimate Basketball Fan Extension?

La nostra indagine sull'Ultimate Basketball Fan Extension ha rilevato che si impossessa dei browser web modificandone le impostazioni. Lo scopo principale di questa estensione per il browser hijacking è promuovere un motore di ricerca fraudolento chiamato search.basketball-fan.com. Inoltre, è possibile che Ultimate Basketball Fan Extension possa raccogliere vari tipi di informazioni.