Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat voor e-mail is "Proton.me"?

Na inspectie van deze "Proton.me" e-mail hebben we vastgesteld dat deze nep is. Dit spambericht beweert dat er verschillende e-mails zijn achtergehouden in de inbox van de ontvanger. Deze campagne lokt slachtoffers naar een phishing-website die gericht is op accountinloggegevens door ze te verleiden met de vermeende mogelijkheid om de niet-bestaande berichten te bekijken.

Wat is de valse "$PAWS Token Distribution" website?

Tijdens het onderzoeken van verdachte sites, ontdekten onze onderzoekers deze nep "$PAWS Token Distribution" pagina. De zwendel werd gepromoot op allocate-pawscoin[.]xyz, maar zou ook elders gehost kunnen worden.

De webpagina beweert tokens te distribueren - in plaats daarvan werkt het als een cryptocurrency drainer. In wezen worden fondsen overgedragen van de digitale portemonnees van slachtoffers naar die in het bezit van de oplichters.

Wat voor soort pagina is miwgh.co[.]in?

Miwgh.co[.]in is een malafide webpagina die is ontworpen om browser notificatie spam te promoten en bezoekers om te leiden naar verschillende (waarschijnlijk dubieuze/malafide) websites.

De meeste gebruikers komen op deze pagina's via omleidingen die worden veroorzaakt door sites die gebruikmaken van malafide advertentienetwerken. Ons onderzoeksteam ontdekte miwgh.co[.]in tijdens een routine-inspectie van een Torrenting-website die dergelijke netwerken gebruikt.

Wat voor soort malware is Cicada 3301?

Cicada 3301 is een ransomware die opdook in de zomer van 2024. Het wordt aangeboden als Ransomware-as-a-Service (RaaS) - een cybercrimineel bedrijfsmodel waarin toegang tot ransomware en bijbehorende infrastructuur wordt verleend aan betalende partners. Cicada 3301 is geschreven in de programmeertaal Rust. Ransomware is ontworpen om bestanden te versleutelen en losgeld te eisen voor de ontsleuteling.

Cicada 3301 versleutelt gegevens met het ChaCha20 cryptografisch algoritme (symmetrische cryptografie). De bestandsnamen van aangetaste bestanden worden toegevoegd met een extensie die bestaat uit zeven willekeurige tekens. Een bestand met de oorspronkelijke titel "1.jpg" verscheen bijvoorbeeld als "1.jpg.f11a46a1" op ons testsysteem.

Nadat het versleutelingsproces is voltooid, laat Cicada 3301 een losgeldbrief achter in een tekstbestand met de naam "RESTORE-[file_extension]-DATA.txt".

Wat voor pagina is install1check[.]com?

Onze onderzoekers ontdekten install1check[.]com bedrieglijke webpagina tijdens een routine onderzoek van verdachte sites. Na onderzoek leerden we dat deze pagina misleidende inhoud en spam voor browsermeldingen promoot. Het kan bezoekers ook omleiden naar andere websites (waarschijnlijk dubieuze/gevaarlijke websites).

Gebruikers krijgen voornamelijk toegang tot install1check[.]com en aanverwante webpagina's via omleidingen die worden veroorzaakt door sites die gebruikmaken van malafide advertentienetwerken.

Wat voor soort malware is ZipLOCK?

ZipLOCK is ransomware die, in tegenstelling tot de meeste malware van dit type, geen bestanden versleutelt. Het plaatst de bestanden van het slachtoffer in een met een wachtwoord beveiligd ZIP-bestand. ZipLOCK maakt ook een losgeldbrief ("[ZipLOCK]INSTRUCTIONS.txt") en hernoemt gearchiveerde bestanden door "[ZipLOCK]" en ".zip" eraan toe te voegen.

Het hernoemt bijvoorbeeld "1.jpg" naar "[ZipLOCK]1.jpg.zip" en "2.png" naar "[ZipLOCK]2.png.zip".

Wat is NotLockBit?

NotLockBit is ransomware die zich voordoet als de LockBit ransomware. Het is gericht op zowel Windows- als Mac-gebruikers. NotLockBit kan zowel bestanden versleutelen als exfiltreren (stelen). Deze ransomware verandert ook het bureaublad van het slachtoffer. Naast het versleutelen van bestanden, hernoemt NotLockBit ze ook.

Het hernoemt bestanden met het volgende formaat: [oorspronkelijke bestandsnaam].[initialisatievector].abcd. Het hernoemt bijvoorbeeld "1.jpg" naar "1.jpg.3544329bb141eea628f7c3bff6c79c11.abcd", "2.png" naar "2.png.c1f3b4d9f4c2eb1a6e7a9c3b7f1c2a92.abcd", enzovoort.

Wat voor soort malware is FIOI?

FIOI is ransomware die behoort tot de Makop-familie. Ons team ontdekte deze variant tijdens het onderzoeken van monsters die waren ingediend bij VirusTotal. We ontdekten dat FIOI bestanden versleutelt en de ".FIOI" extensie toevoegt (samen met een reeks willekeurige tekens en een e-mailadres). Het verandert ook de bureaubladachtergrond en creëert het bestand "+README-WARNING+.txt" (een losgeldbrief).

Een voorbeeld van hoe FIOI bestanden hernoemt: het verandert "1.jpg" in "1.jpg.[2AF20FA3].[help24dec@aol.com].FIOI", "2.png" in "2.png.[2AF20FA3].[help24dec@aol.com].FIOI", enzovoort.

Wat voor soort malware is REVRAC?

REVRAC is een kwaadaardig programma dat gegevens versleutelt en losgeld eist voor de ontsleuteling. Door dit gedrag wordt deze software geclassificeerd als ransomware.

Op ons testsysteem versleutelde REVRAC bestanden en veranderde de bestandsnamen. Originele titels werden toegevoegd met een unieke ID die was toegewezen aan het slachtoffer en de ".REVRAC" extensie. Een bestand met de oorspronkelijke naam "1.jpg" verscheen bijvoorbeeld als "1.jpg.{AE53F3C6-811D-F11F-76B5-35C72B99A5C9}.REVRAC".

Zodra het versleutelingsproces was voltooid, creëerde de REVRAC ransomware een losgeldbrief in een tekstbestand met de titel "README.txt".

Wat is de "ROBOTAXI ($TAXI)" zwendel?

Tijdens het onderzoeken van dubieuze websites ontdekten onze onderzoekers verschillende pagina's die de zwendelmunt "ROBOTAXI ($TAXI)" promoten. De aankoop van deze munt is een waardeloze investering. Het is mogelijk dat deze munt is gecreëerd om de interesse van gebruikers in de onlangs aangekondigde Tesla Cybercab te stimuleren.