Guide per la rimozione di virus e spyware, istruzioni per la disinstallazione

Cos'è il ransomware Cryptonite (.cryptn8).?

Cryptonite (.cryptn8) è un ransomware progettato per crittografare i dati e richiedere il pagamento per la loro decrittazione. Come riportato da Fortinet, si tratta di una versione personalizzabile di ransomware disponibile gratuitamente, il che non è comune.

I malware di questo tipo di solito aggiungono ai file crittografati un'estensione e ".cryptn8" sembra essere l'impostazione predefinita, tuttavia ci sono indicazioni che gli aggressori possano modificarla. Inoltre, i criminali informatici che utilizzano il ransomware Cryptonite (.cryptn8) possono alterare i dati rilevanti che lo rendono operativo, ad esempio l'importo del riscatto, l'indirizzo del portafoglio di criptovaluta (in cui deve essere effettuato il pagamento) e le informazioni di contatto.

Il campione di Cryptonite che abbiamo eseguito sul nostro sistema di test ha aggiunto ai file crittografati l'estensione ".cryptn8", ad esempio, un file intitolato "1.jpg" è apparso come "1.jpg.cryptn8", "2.png" come "2. png.cryptn8", ecc. Durante il processo di crittografia, questo ransomware ha visualizzato una falsa schermata di aggiornamento. Successivamente, ha creato un pop-up contenente la richiesta di riscatto.

Che cos'è il ransomware Team Punisher?

Team Punisher è un programma di tipo ransomware progettato per crittografare i dati e richiedere dei riscatti per la loro decrittazione. Sulla nostra macchina di prova, questo malware ha crittografato i file e ha aggiunto ai loro nomi l'estensione ".punisher". In pratica, un file inizialmente chiamato "1.jpg" appariva come "1.jpg.punisher", "2.png" come "2.png.punisher" e così via.

Una volta completato questo processo, Team Punisher ha creato un file HTML contenente la richiesta di riscatto. È pertinente menzionare che questo ransomware è stato diffuso attraverso falsi siti Web di monitoraggio del COVID-19 nel 2022.

Cos'è il ransomware Marlock?

Marlock fa parte della famiglia dei ransomware chiamata MedusaLocker. Crittografa i file e aggiunge ai nomi di questi file l'estensione ".marlock7" (ad esempio, rinomina "1.jpg" in "1.jpg.marlock7"). Diverse varianti di Marlock ransomware aggiungono diverse estensioni come ".marlock20", ".marlock5", ".marlock22", ".marlock011", ".marlock10", e ".marlock25". Marlock crea anche il file "HOW_TO_RECOVER_DATA.html" contenente informazioni di contatto e altri dettagli relativi al recupero dei dati.

Che tipo di malware è Just?

Just è una delle varianti ransomware appartenenti alla famiglia Dharma ransomware. Crittografa i file e aggiunge l'ID della vittima, l'indirizzo email justdoit@onionmail.org e l'estensione ".just" ai nomi dei file. Inoltre, rilascia semplicemente il file "FILES ENCRYPTED.txt" e visualizza una finestra pop-up (entrambe contenenti una richiesta di riscatto).

Abbiamo scoperto Just ransomware durante un controllo su VirusTotal alla ricerca dei campioni di malware inviati di recente. Un esempio di come Just modifica i nomi dei file: rinomina "1.jpg" in "1.jpg.id-9ECFA84E.[justdoit@onionmail.org].just", "2.png" in "2.png.id-9ECFA84E .[justdoit@onionmail.org].just", e così via.

Che cos'è un trojan Injector?

Un trojan Injector (iniettore) si riferisce a un tipo di malware progettato per iniettare codice dannoso in programmi e processi. L'applicazione di questi trojan varia; potrebbero essere in grado di modificare il funzionamento di software legittimo o causare infezioni a catena (ovvero, scaricare/installare malware aggiuntivo). A causa della varietà di usi che questi programmi dannosi possono avere, i pericoli associati a queste infezioni sono particolarmente ampi.

Che tipo di pagina è captchafine[.]live?

Durante l'esame di captchafine[.]live, abbiamo scoperto che utilizza la tecnica clickbait (visualizza un messaggio ingannevole) per indurre i visitatori a consentire la visualizzazione delle notifiche. Inoltre, captchafine[.]live reindirizza a siti Web truffa. Questa pagina ha almeno due varianti. Abbiamo scoperto captchafine[.]live ispezionando altre pagine losche.

Che tipo di applicazione è Videos?

Durante l'esame dell'applicazione Videos, abbiamo scoperto che appartiene alla famiglia di malware ChromeLoader. È un'applicazione supportata dalla pubblicità che mostra annunci indesiderati. Abbiamo scoperto l'app Videos dopo aver scaricato un file VHD da una pagina ingannevole. È importante ricordare che le app ChromeLoader di solito vengono fornite con altre app potenzialmente dannose.

Cos'è IcRAT?

IcRAT è un trojan ad accesso remoto (RAT) che prende di mira i sistemi operativi Android. I RAT sono progettati per consentire agli aggressori di assumere il controllo sui dispositivi infetti.

IcRAT è stato notevolmente diffuso attraverso campagne di smishing (SMS phishing), che perseguitano i clienti di note banche indiane. I messaggi di testo ingannevoli inducono gli utenti a seguire un collegamento e a scaricare questo malware affermando che riceveranno una ricompensa dalla loro banca.

Secondo la ricerca condotta dagli analisti di Trend Micro, c'è stato un afflusso di campagne simili rivolte ai clienti delle banche indiane. Oltre a IcRAT, le operazioni di spam hanno distribuito AxBanker, Elibomi, FakeReward, e IcSpy. Al momento in cui scriviamo, non ci sono prove concrete che colleghino queste campagne.

Cos'è Elibomi?

Elibomi è un malware multifunzionale che prende di mira i sistemi operativi (OS) Android. Questo programma dannoso può eseguire varie azioni sui dispositivi infetti ed estrarre un'ampia gamma di dati sensibili. Questo malware esiste almeno dal 2020 e ha più iterazioni.

Recentemente, Elibomi ha iniziato ad essere distribuito tramite campagne di smishing (SMS phishing) e campagne di spam email che prendono di mira gli utenti indiani. Secondo i ricercatori di Trend Micro, ci sono diverse grandi campagne incentrate sugli utenti delle banche popolari indiane. Oltre a Elibomi, queste operazioni criminali coinvolgono i programmi dannosi AxBanker, FakeReward, IcRAT, e IcSpy. Attualmente, non ci sono prove sufficienti per collegare queste campagne a un'unica fonte.

Cos'è FakeReward?

FakeReward è il nome di un programma dannoso che prende di mira i dispositivi Android. È progettato per ottenere informazioni pesonali e bancarie delle vittime. Esistono più varianti di FakeReward; almeno cinque versioni sono state individuate al momento della scrittura.

FakeReward è stato attivamente diffuso tramite campagne di smishing (SMS phishing). Questi SMS cercavano clienti delle tre maggiori banche indiane.

I ricercatori di Trend Micro hanno scoperto diverse campagne di spam rivolte agli utenti indiani. Queste operazioni coinvolgono i seguenti malware: AxBanker, Elibomi, IcRAT, e IcSpy. Tuttavia, attualmente, queste campagne non possono essere collegate in modo definitivo tra loro.