Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat is de nep "MoonBag Presale"?

Tijdens onze inspectie van claim-moonbag-org.pages[.]dev, ontdekten we dat het een webpagina is die een MoonBag munt ($MBAG) voorverkoop promoot. Verdere analyse heeft echter aangetoond dat deze website frauduleus is. Hij is eigendom van oplichters die cryptocurrency van slachtoffers proberen te stelen. Daarom moet claim-moonbag-org.pages[.]dev worden vermeden.

Wat voor e-mail is "Office Server"?

Na het lezen van deze "Office Server" e-mail hebben we vastgesteld dat het om spam gaat. Dit valse bericht wordt gepresenteerd als een bericht dat het wachtwoord verloopt. Het doel van deze campagne is om ontvangers te verleiden tot het verstrekken van de inloggegevens van hun e-mailaccount aan een phishingwebsite.

Wat voor soort zwendel is "Dropbox - Your Transfer Expires"?

We hebben deze e-mail onderzocht en vastgesteld dat het een scam-e-mail is die zich voordoet als een melding van Dropbox (een legitieme bestandshostingservice). Uit ons onderzoek is gebleken dat het doel van deze zwendel is om ontvangers te verleiden tot het verstrekken van persoonlijke informatie. Dergelijke e-mails vallen in de categorie phishingmails.

Wat voor soort malware is Datablack?

Ons onderzoeksteam ontdekte de Datablack ransomware tijdens een routine-inspectie van nieuwe bestandsinzendingen op de VirusTotal-site. Ransomware is ontworpen om gegevens te versleutelen en betaling te eisen voor de ontsleuteling.

Op ons testsysteem versleutelde Datablack bestanden en veranderde hun bestandsnamen. Originele titels werden veranderd in een willekeurige tekenreeks en toegevoegd met een ".Datablack" extensie. Bijvoorbeeld, een bestand met de oorspronkelijke naam "1.jpg" verscheen als "Jfcx6BBy2e.Datablack".

Nadat het versleutelingsproces was voltooid, dropte Datablack ransomware een losgeld eisend bericht in een tekstbestand met de titel "#Recovery.txt".

Wat voor soort malware is BugSleep?

BugSleep is de naam van een backdoor-type malware. Schadelijke software in deze categorie wordt meestal gebruikt in de eerste stadia van infectie om systemen voor te bereiden op verdere infiltratie of om basisgegevens te verzamelen. BugSleep kan een aantal commando's uitvoeren op apparaten en bestanden van slachtoffers manipuleren.

Deze malware is een op maat gemaakte backdoor die al bestaat sinds ten minste de lente van 2024. Het wordt gebruikt door een bedreigende actor genaamd "MuddyWater"; deze groep wordt geassocieerd met het Ministerie van Inlichtingen van de Islamitische Republiek Iran (MOIS). BugSleep werd voor het eerst waargenomen in een aanval tegen een bedrijf in Israël.

Wat voor soort malware is Heda?

Onze ontdekking van Heda vond plaats tijdens een analyse van malwarevoorbeelden die waren ingediend bij VirusTotal. We ontdekten dat Heda ransomware is die bestanden op geïnfecteerde computers versleutelt. Het wijzigt ook bestandsnamen, verandert de bureaubladachtergrond en genereert een tekstbestand (een losgeldbrief met de naam "#HowToRecover.txt").

Heda wijzigt de naam van bestanden door de ID van het slachtoffer, een e-mailadres en de extensie ".Heda" toe te voegen aan bestandsnamen. Het verandert bijvoorbeeld "1.jpg" in "1.jpg.[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda" en "2.png" in "2.png.[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda". Het is vermeldenswaard dat Heda identiek is aan de Sauron ransomware.

Wat is de valse "EtherMail ($EMT) Airdrop"?

Tijdens het onderzoeken van bedrieglijke sites ontdekten onze onderzoekers deze valse "EtherMail ($EMT) Airdrop". De zwendel doet zich voor als het EtherMail-platform (ethermail.io) dat een EMT (EMAIL) token airdrop doet.

Het moet worden benadrukt dat deze giveaway nep is en niet is geassocieerd met de echte EtherMail of andere bestaande platforms en entiteiten. Deze zwendel is een crypto-drainer die digitale activa probeert te stelen die zijn opgeslagen in de cryptocurrency-portefeuilles van slachtoffers.

Wat voor extensie is PrimeLookup?

We hebben de PrimeLookup browserextensie getest en vastgesteld dat het toevoegen ervan resulteert in browser hijacking. Gewoonlijk wijzigen extensies van dit type de instellingen van webbrowsers om bepaalde adressen te promoten. PrimeLookup kaapt webbrowsers om finditfasts.com, een valse zoekmachine, te promoten.

Wat voor soort malware is VXUG?

VXUG is ransomware die ons team heeft ontdekt tijdens een inspectie van monsters die zijn ingediend bij VirusTotal. We ontdekten dat VXUG een variant is van CryLock. Eenmaal geïnfiltreerd, versleutelt en hernoemt het bestanden en creëert het een losgeldbrief ("how_to_decrypt.hta"). VXUG voegt een e-mailadres, een nummer en de ID van een slachtoffer toe aan bestandsnamen.

Het verandert bijvoorbeeld "1.jpg" in "1.jpg[staff@vx-underground.org][1].[F27195A8-B7BFB093]", "2.png" in "2.png[staff@vx-underground.org][1].[F27195A8-B7BFB093]", enzovoort.

Wat voor soort malware is Hawk?

Tijdens het analyseren van malware samples geüpload naar het VirusTotal platform, ontdekten we Hawk, een ransomware variant ontworpen om bestanden te versleutelen. Naast het versleutelen van gegevens maakt Hawk een losgeldbrief ("#Recover-Files.txt") en voegt het de ID van het slachtoffer, het e-mailadres sup.logical@gmail.com en de extensie ".hawk" toe aan bestandsnamen.

Het hernoemt bijvoorbeeld "1.jpg" naar "1.jpg.id[XX-B2750012].[sup.logical@gmail.com].hawk", "2.png" naar "2.png.id[XX-B2750012].[sup.logical@gmail.com].hawk", enzovoort.