Virus en spyware verwijderingsrichtlijnen, instructies om de installatie ongedaan te maken

Wat voor soort malware is Heda?

Onze ontdekking van Heda vond plaats tijdens een analyse van malwarevoorbeelden die waren ingediend bij VirusTotal. We ontdekten dat Heda ransomware is die bestanden op geïnfecteerde computers versleutelt. Het wijzigt ook bestandsnamen, verandert de bureaubladachtergrond en genereert een tekstbestand (een losgeldbrief met de naam "#HowToRecover.txt").

Heda wijzigt de naam van bestanden door de ID van het slachtoffer, een e-mailadres en de extensie ".Heda" toe te voegen aan bestandsnamen. Het verandert bijvoorbeeld "1.jpg" in "1.jpg.[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda" en "2.png" in "2.png.[ID-E8330FE1-1337].[hedaransom@gmail.com].Heda". Het is vermeldenswaard dat Heda identiek is aan de Sauron ransomware.

Wat is de valse "EtherMail ($EMT) Airdrop"?

Tijdens het onderzoeken van bedrieglijke sites ontdekten onze onderzoekers deze valse "EtherMail ($EMT) Airdrop". De zwendel doet zich voor als het EtherMail-platform (ethermail.io) dat een EMT (EMAIL) token airdrop doet.

Het moet worden benadrukt dat deze giveaway nep is en niet is geassocieerd met de echte EtherMail of andere bestaande platforms en entiteiten. Deze zwendel is een crypto-drainer die digitale activa probeert te stelen die zijn opgeslagen in de cryptocurrency-portefeuilles van slachtoffers.

Wat voor extensie is PrimeLookup?

We hebben de PrimeLookup browserextensie getest en vastgesteld dat het toevoegen ervan resulteert in browser hijacking. Gewoonlijk wijzigen extensies van dit type de instellingen van webbrowsers om bepaalde adressen te promoten. PrimeLookup kaapt webbrowsers om finditfasts.com, een valse zoekmachine, te promoten.

Wat voor soort malware is VXUG?

VXUG is ransomware die ons team heeft ontdekt tijdens een inspectie van monsters die zijn ingediend bij VirusTotal. We ontdekten dat VXUG een variant is van CryLock. Eenmaal geïnfiltreerd, versleutelt en hernoemt het bestanden en creëert het een losgeldbrief ("how_to_decrypt.hta"). VXUG voegt een e-mailadres, een nummer en de ID van een slachtoffer toe aan bestandsnamen.

Het verandert bijvoorbeeld "1.jpg" in "1.jpg[staff@vx-underground.org][1].[F27195A8-B7BFB093]", "2.png" in "2.png[staff@vx-underground.org][1].[F27195A8-B7BFB093]", enzovoort.

Wat voor soort malware is Hawk?

Tijdens het analyseren van malware samples geüpload naar het VirusTotal platform, ontdekten we Hawk, een ransomware variant ontworpen om bestanden te versleutelen. Naast het versleutelen van gegevens maakt Hawk een losgeldbrief ("#Recover-Files.txt") en voegt het de ID van het slachtoffer, het e-mailadres sup.logical@gmail.com en de extensie ".hawk" toe aan bestandsnamen.

Het hernoemt bijvoorbeeld "1.jpg" naar "1.jpg.id[XX-B2750012].[sup.logical@gmail.com].hawk", "2.png" naar "2.png.id[XX-B2750012].[sup.logical@gmail.com].hawk", enzovoort.

Wat voor soort malware is PlayBoy LOCKER?

PlayBoy LOCKER is ransomware die is ontworpen om bestanden te versleutelen en de extensie ".PLBOY" toe te voegen aan bestandsnamen. Het genereert ook een tekstbestand ("INSTRUCTIONS.txt") met een losgeldbrief en verandert de bureaubladachtergrond. Een voorbeeld van hoe PlayBoy LOCKER bestandsnamen wijzigt: het verandert "1.jpg" in "1.jpg.PLBOY", "2.png" in "2.png.PLBOY", enzovoort.

Wat is de valse "Soneium Registratie" website?

Tijdens het inspecteren van malafide pagina's, ontdekten onze onderzoekers deze nep "Soneium Registration" website (event-soneium[.]org; merk op dat het ergens anders gehost zou kunnen worden).

Het wordt voorgesteld als een blockchainplatform, maar deze bedrieglijke pagina is niet geassocieerd met bestaande platforms of legitieme entiteiten. Dit schema functioneert als een crypto-onttrekker, dat wil zeggen dat het digitale activa overbrengt van blootgestelde cryptocurrency-portefeuilles.

Wat is "Binance USDC Distributie"?

Tijdens onze analyse van de pagina (binance-airdrop-carv[.]info) hebben we vastgesteld dat het om een scam-website gaat. Het is ontworpen om bezoekers te laten geloven dat ze kunnen deelnemen aan een cryptocurrency weggeefactie. De oplichters achter dit frauduleuze plan willen nietsvermoedende personen verleiden tot acties die kunnen leiden tot financiële verliezen.

Wat voor soort pagina is alaskariver[.]top?

We hebben alaskariver[.]top geïnspecteerd en geleerd dat het een methode gebruikt die bekend staat als clickbait om bezoekers te verleiden tot het toestaan van het verzenden van meldingen. Wanneer webpagina's zoals alaskariver[.]top toestemming hebben om meldingen te tonen, leveren ze meestal valse waarschuwingen of andere berichten. Deze sites moeten dus niet vertrouwd worden.

Wat is de nepwebsite "$RUNE Loot Crate Claims"?

Deze "$RUNE Loot Crate Claims" zwendel (runiverse[.]claims; kan ook ergens anders gehost worden) is een cryptocurrency drainer. Het lokt gebruikers met de belofte van een kans om RUNE tokens te ontvangen. Dit plan verdeelt geen digitale activa - in plaats daarvan steelt het deze door het geld over te hevelen van blootgestelde cryptowallets.