Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat voor soort software is EasySearch?

Tijdens het inspecteren van een Torrenting-website die gebruikmaakt van malafide advertentienetwerken, ontdekten onze onderzoekers een misleidende pagina die een malafide installatieprogramma onderschreef. De installatie bevatte de EasySearch browserextensie. Na analyse leerden we dat het een browser hijacker is. EasySearch wijzigt de browserinstellingen om valse zoekmachines te promoten.

Wat is gotoyahoo.com?

Tijdens het analyseren van gotoyahoo.com hebben we ontdekt dat het een valse zoekmachine is die gepromoot wordt via browser hijackers (extensies zoals Image Size Info). Valse zoekmachines en extensies die deze promoten, moeten worden vermeden. Als ze aanwezig zijn in browserinstellingen en (of) toegevoegd zijn aan browsers, moeten ze verwijderd worden.

Wat voor soort malware is King?

King is een ransomware-variant uit de Proton-familie. Ons team ontdekte King tijdens het inspecteren van malware samples die waren ingediend bij VirusTotal. Deze ransomware versleutelt bestanden, voegt een e-mailadres en de extensie ".king" toe aan bestandsnamen en maakt een bestand aan met de naam "#Read-for-recovery.txt" (een losgeldbrief). King verandert ook de bureaubladachtergrond.

Een voorbeeld van hoe King ransomware bestandsnamen verandert: het hernoemt "1.jpg" naar "1.jpg.[king_ransom1@mailfence.com].king", "2.png" naar "2.png.[king_ransom1@mailfence.com].king", enzovoort.

Wat voor soort zwendel is "ClickFix"?

"ClickFix" verwijst naar zwendelpraktijken met malware die gebruikers verleiden tot het uitvoeren van schadelijke opdrachten op hun apparaten door te beweren dat dit een oplossing is voor een probleem. Deze zwendelpraktijken instrueren slachtoffers om de kwaadaardige scripts te kopiëren/plakken en beweren dat ze zo documenten kunnen maken/bewerken/delen, kunnen deelnemen aan videoconferenties, problemen met de weergave van websites kunnen oplossen, enzovoort.

Deze bedrieglijke inhoud wordt voornamelijk onderschreven op het web, maar we hebben ook gezien dat de zwendel wordt gefaciliteerd via bedrieglijke bestanden die via e-mailspamcampagnes worden verspreid.

Wat voor extensie is QuickSearch?

Tijdens onze inspectie van QuickSearch ontdekten we dat deze extensie functioneert als een browser hijacker. Het doel is om een valse zoekmachine te promoten door de instellingen van een gekaapte browser te wijzigen. Gebruikers moeten voorkomen dat QuickSearch wordt toegevoegd aan browsers en het verwijderen als het al aanwezig is.

Wat voor soort malware is TodoSwift?

TodoSwift is een kwaadaardig programma dat wordt geclassificeerd als een dropper. Deze malware werd ontdekt in de zomer van 2024 en is ontworpen om payloads in de tweede fase af te leveren terwijl een vervalst document wordt weergegeven aan slachtoffers.

TodoSwift vertoont vergelijkbaar gedrag met malware die is ontwikkeld en wordt gebruikt door een Noord-Koreaanse dreigingsactor die wordt gesteund door de staat, met name de BlueNorOff-eenheid van de Lazarus Group. Het is daarom waarschijnlijk dat TodoSwift een hulpmiddel is dat wordt gebruikt door deze speler.

Wat voor soort software is Top Two?

Onze onderzoekers ontdekten de "Top Two" browserextensie tijdens het inspecteren van dubieuze sites. Na onderzoek van deze software, leerden we dat het een browser hijacker is. Top Two wijzigt browserinstellingen om (via omleidingen) de valse zoekmachine toptosearch.com te ondersteunen.

Wat voor soort malware is Defi?

Onze onderzoekers ontdekten een ransomware-type programma van de Makop-familie genaamd Defi tijdens het inspecteren van nieuwe aanmeldingen op de VirusTotal-website. Ransomware versleutelt de gegevens van slachtoffers en eist losgeld voor de ontsleuteling.

Op ons testsysteem versleutelde Defi bestanden en wijzigde de titels ervan. Aan de oorspronkelijke bestandsnamen werd een unieke ID toegevoegd die aan het slachtoffer was toegewezen, het e-mailadres van de cybercriminelen en een ".defi1328" extensie (merk op dat het getal in de extensie kan variëren afhankelijk van de variant van de ransomware). Een bestand met de oorspronkelijke naam "1.jpg" verscheen als "1.jpg.[2AF20FA3].[wewillrestoreyou@cyberfear.com].defi1328" op onze testmachine.

Zodra het versleutelingsproces was voltooid, veranderde Defi ransomware de bureaubladachtergrond en liet een losgeldbrief achter in een tekstbestand met de titel "+README-WARNING+.txt".

Wat voor pagina is oneladsblog[.]com?

Onze inspectie van oneladsblog[.]com heeft aangetoond dat deze pagina een misleidende methode gebruikt om ontvangers te verleiden tot het geven van meldingen. Doorgaans bombarderen sites zoals oneladsblog[.]com gebruikers met vervelende en misleidende meldingen. Het is dus aan te raden om dit soort websites geen toestemming te geven.

Wat is searchresultsadblocker.com?

Tijdens ons onderzoek naar searchresultsadblocker.com hebben we ontdekt dat het een valse zoekmachine is die gepromoot wordt via een browser hijacker (een ongewenste extensie). Meestal voegen gebruikers extensies die adressen promoten zoals searchresultsadblocker.com onbedoeld toe. Het is belangrijk voor gebruikers om voorzichtig te zijn met verdachte extensies en ze te verwijderen als ze al aanwezig zijn.