Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat voor extensie is QuickSearch?

Tijdens onze inspectie van QuickSearch ontdekten we dat deze extensie functioneert als een browser hijacker. Het doel is om een valse zoekmachine te promoten door de instellingen van een gekaapte browser te wijzigen. Gebruikers moeten voorkomen dat QuickSearch wordt toegevoegd aan browsers en het verwijderen als het al aanwezig is.

Wat voor soort malware is TodoSwift?

TodoSwift is een kwaadaardig programma dat wordt geclassificeerd als een dropper. Deze malware werd ontdekt in de zomer van 2024 en is ontworpen om payloads in de tweede fase af te leveren terwijl een vervalst document wordt weergegeven aan slachtoffers.

TodoSwift vertoont vergelijkbaar gedrag met malware die is ontwikkeld en wordt gebruikt door een Noord-Koreaanse dreigingsactor die wordt gesteund door de staat, met name de BlueNorOff-eenheid van de Lazarus Group. Het is daarom waarschijnlijk dat TodoSwift een hulpmiddel is dat wordt gebruikt door deze speler.

Wat voor soort software is Top Two?

Onze onderzoekers ontdekten de "Top Two" browserextensie tijdens het inspecteren van dubieuze sites. Na onderzoek van deze software, leerden we dat het een browser hijacker is. Top Two wijzigt browserinstellingen om (via omleidingen) de valse zoekmachine toptosearch.com te ondersteunen.

Wat voor soort malware is Defi?

Onze onderzoekers ontdekten een ransomware-type programma van de Makop-familie genaamd Defi tijdens het inspecteren van nieuwe aanmeldingen op de VirusTotal-website. Ransomware versleutelt de gegevens van slachtoffers en eist losgeld voor de ontsleuteling.

Op ons testsysteem versleutelde Defi bestanden en wijzigde de titels ervan. Aan de oorspronkelijke bestandsnamen werd een unieke ID toegevoegd die aan het slachtoffer was toegewezen, het e-mailadres van de cybercriminelen en een ".defi1328" extensie (merk op dat het getal in de extensie kan variëren afhankelijk van de variant van de ransomware). Een bestand met de oorspronkelijke naam "1.jpg" verscheen als "1.jpg.[2AF20FA3].[wewillrestoreyou@cyberfear.com].defi1328" op onze testmachine.

Zodra het versleutelingsproces was voltooid, veranderde Defi ransomware de bureaubladachtergrond en liet een losgeldbrief achter in een tekstbestand met de titel "+README-WARNING+.txt".

Wat voor pagina is oneladsblog[.]com?

Onze inspectie van oneladsblog[.]com heeft aangetoond dat deze pagina een misleidende methode gebruikt om ontvangers te verleiden tot het geven van meldingen. Doorgaans bombarderen sites zoals oneladsblog[.]com gebruikers met vervelende en misleidende meldingen. Het is dus aan te raden om dit soort websites geen toestemming te geven.

Wat is searchresultsadblocker.com?

Tijdens ons onderzoek naar searchresultsadblocker.com hebben we ontdekt dat het een valse zoekmachine is die gepromoot wordt via een browser hijacker (een ongewenste extensie). Meestal voegen gebruikers extensies die adressen promoten zoals searchresultsadblocker.com onbedoeld toe. Het is belangrijk voor gebruikers om voorzichtig te zijn met verdachte extensies en ze te verwijderen als ze al aanwezig zijn.

Wat is de valse Online Security Chrome-extensie?

Deze browserextensie "Online Security" is nep omdat het een legitieme extensie met dezelfde naam imiteert. De imitatiesoftware kan gegevens volgen en het gedrag van browsers wijzigen.

Onze onderzoekers ontdekten deze kwaadaardige extensie in een installatie-setup die werd gepromoot door een scam-pagina die werd gevonden tijdens een routineonderzoek van een Torrenting-website die gebruikmaakt van malafide advertentienetwerken. De installatie bevatte ook andere ongewenste en potentieel gevaarlijke software.

Wat voor website is telixsearch.com?

Telixsearch.com is het adres van een valse zoekmachine die wordt gepromoot door de Telix Search browser hijacker. Software in deze categorie wijzigt browserinstellingen om (via omleidingen) de website telixsearch.com te ondersteunen.

Wat voor website is search-boss.com?

Search-boss.com is een nep-zoekmachine en kan - zoals de meeste - geen zoekresultaten genereren. Browser-hijacking software onderschrijft sites zoals search-boss.com via omleidingen. Het is relevant om te vermelden dat gebruikers die gedwongen worden om search-boss.com te bezoeken ook omleidingen naar een andere onwettige zoekmachine kunnen ervaren - exploreahoy.com.

Wat voor soort malware is DennisTheHitman?

Tijdens het beoordelen van nieuwe malware-inzendingen op het VirusTotal-platform ontdekte ons onderzoeksteam de DennisTheHitman ransomware. Dit schadelijke programma maakt deel uit van de GlobeImposter ransomware-familie. Deze klasse van malware versleutelt gegevens en eist betaling voor de ontsleuteling.

Op onze testmachine versleutelde DennisTheHitman bestanden en voegde aan hun bestandsnamen een ".247_dennisthehitman" extensie toe. Zo verscheen een bestand met de oorspronkelijke naam "1.jpg" als "1.jpg.247_dennisthehitman", enzovoort voor alle vergrendelde bestanden. Het is opmerkelijk dat het getal in de extensie kan verschillen afhankelijk van de ransomware variant.

Zodra het versleutelingsproces was voltooid, creëerde DennisTheHitman een losgeld-eisend bericht in een HTML-bestand met de titel "how_to_back_files.html". Gebaseerd op de notitie is het duidelijk dat deze ransomware zich richt op bedrijven in plaats van thuisgebruikers. Het gebruikt ook dubbele afpersingstactieken.