Guias De Remoção De Vírus E Spyware, Instruções Para Desinstalar

O que é o ransomware MONTI?

MONTI é um programa de tipo ransomware concebido para encriptar dados e exigir o pagamento das ferramentas de desencriptação. É uma nova variante do ransomware CONTI. Além disso, MONTI partilha semelhanças extremas com o modus operandi do CONTI.

Em Fevereiro de 2022, o grupo por detrás do CONTI sofreu uma violação maciça e fuga de dados. A informação divulgada, incluindo códigos-fonte, ferramentas de pirataria informática, e outros dados associados - foi suficiente para servir essencialmente de guia passo-a-passo para os criminosos cibernéticos que desejavam replicar o CONTI. Portanto, MONTI pode não ser o único grupo de ransomware a basear as suas operações nas informações obtidas a partir das fugas de informação do CONTI.

O ransomware MONTI encripta ficheiros e anexa os seus nomes de ficheiros com uma extensão de extensão comprometida de cinco caracteres aleatórios. Por exemplo, a amostra MONTI que executámos na nossa máquina de testes adicionou uma extensão ".PUUUK" aos nomes dos ficheiros, por exemplo, um ficheiro intitulado "1.jpg" apareceu como "1.jpg.PUUUK". Depois de terminada a encriptação, MONTI cria uma nota de resgate com o nome readme.txt".

O que é a fraude por email "Your Order Is Processed"?

Após análise de dois emails "Your Order Is Processed", determinámos que são spam. Estas cartas fazem afirmações semelhantes sobre o destinatário ter comprado um artigo caro a um revendedor bem conhecido. O objectivo é enganar o destinatário para que este ligue para o número de telefone fornecido para cancelar a compra - e assim ser atraído para uma fraude elaborada.

Note-se que podem existir outras variantes deste email de spam, para além das duas que inspeccionámos. É de salientar que os emails "Your Order Is Processed" são falsos e que as entidades legítimas neles mencionadas (por exemplo, Walmart, Target, PayPal, etc.) não estão associados à fraude.

O que é o ransomware MLF?

A nossa equipa de investigação descobriu o programa do tipo ransomware MLF enquanto inspeccionava novas submissões a VirusTotal. Além disso, o MLF pertence à família de ransomware Phobos.

Uma vez que uma amostra deste ransomware foi executada na nossa máquina de testes, encriptou ficheiros e alterou os seus nomes de ficheiro. Os títulos dos ficheiros afectados foram anexados com uma identificação única atribuída à vítima, o endereço de email dos criminosos cibernéticos, e uma extensão ".MLF". Por exemplo, um ficheiro originalmente nomeado "1.jpg" aparecia como "1.jpg.id[9ECFA84E-3377].[DataRecovery1@cock.li].MLF", etc.

Posteriormente, o MLF criou dois ficheiros - "info.hta" (pop-up) e "info.txt" - e largou-os no ambiente de trabalho. Estes ficheiros continham as notas de resgate.

O que é Bobik?

Bobik é um software malicioso classificado como RAT ( Trojan de Acesso Remoto). Estes trojans são concebidos para permitir o acesso/controlo remoto sobre máquinas infectadas. Bobik pode realizar várias actividades maliciosas, que incluem - causar infecções em cadeia, roubar dados, e adicionar dispositivos comprometidos a um botnet para lançar ataques DDoS.

Este malware tem sido activamente utilizado em ataques com motivações geopolíticas contra a Ucrânia e os seus aliados. Os ataques de DDoS com base em Bobik são elementos de cibercrime na guerra ucraniana.

Esta actividade tem sido ligada a um grupo hacker pró-russo pouco conhecido, chamado NoName057(16); verificado ainda mais pelas provas recolhidas pelos investigadores de Avast - tais como a vanglória do grupo no Telegram coincidindo com os ataques DDoS de Bobik. No entanto, Avast também estimou que as taxas de sucesso deste grupo pirata informático variam entre 20-40%.

O que é o ransomware Bl00dy?

Bl00dy é o nome de um programa do tipo ransomware, que os nossos investigadores descobriram enquanto procuravam através de novas submissões de malware para o VirusTotal. Este programa malicioso faz parte da família do ransomware Babuk.

Assim que uma amostra de Bl00dy foi executada no nosso sistema de testes, começou a encriptar ficheiros e anexou os seus nomes com uma extensão ".bl00dy". Por exemplo, um nome de ficheiro original como "1.jpg" aparecia como "1.jpg.bl00dy", "2.png" como "2.png.bl00dy", e assim por diante.

Após a encriptação ter sido concluída, o ransomware lançou um ficheiro de texto com o título "How To Restore Your Files.txt" para o ambiente de trabalho. Este ficheiro continha a nota de resgate, o que tornava evidente que Bl00dy visava as empresas e não os utilizadores domésticos. Além disso, este software malicioso utilizava tácticas de dupla extorsão.

Que tipo de software é Cash?

Os nossos investigadores descobriram a aplicação fraudulenta Cash durante a inspecção de instaladores suspeitos. Após análise desta aplicação, ficámos a saber que se trata de software apoiado por publicidade (adware).

O que é Weekly Hits?

Ao inspeccionar instaladores de software fraudulentos, os nossos investigadores descobriram a extensão do navegador Weekly Hits. Esta extensão promete permitir aos utilizadores aceder rapidamente às letras de canções mais pesquisadas da semana. Depois de analisar esta parte do software, determinámos que se trata de um sequestrador de navegador que promove o motor de pesquisa falso weeklyhits.xyz.

O que é Zanubis?

Zanubis é uma peça de software malicioso classificada como trojan bancário. Este malware visa os sistemas operativos Android (OSes). A principal função deste programa é obter furtivamente credenciais de contas bancárias online e obter acesso aos fundos nelas armazenados. Zanubis tem como alvo os bancos latino-americanos, particularmente os sediados no Peru.

Que tipo de malware é Icarus?

Icarus é o nome de um programa malicioso do tipo ladrão. É concebido para extrair uma grande variedade de dados vulneráveis de máquinas infectadas. As ameaças colocadas por malware deste tipo podem variar dependendo dos objectivos dos criminosos cibernéticos e da sensibilidade dos dados armazenados nos dispositivos das vítimas.

O que é "Cookie Stuffing Browser Extensions"?

""Cookie Stuffing Browser Extensions" refere-se a extensões de navegador maliciosas concebidas para inserir IDs de afiliados nos cookies de Internet de sites específicos.

Inspeccionámos quatro extensões deste tipo. "AutoBuy Flash Sales, Deals, and Coupons" - com a prometida funcionalidade de fazer compras automáticas em ofertas de tempo limitado. "FlipShope - Price Tracker Extension" - capaz de rastrear e notificar os utilizadores quando descontos e outras ofertas estão disponíveis.

"Full Page Screenshot Capture - Screenshotting" - ferramenta de captura e edição de ecrã de página web. "Netflix Party" - permitindo aos utilizadores assistir remotamente a programas de grupo Netflix.

É de salientar que as funcionalidades oferecidas por esse software raramente funcionam como prometido, e na maioria dos casos - não funcionam de todo. Estas quatro extensões colocaram IDs de afiliados em populares cookies de websites de comércio electrónico. Além disso, todas têm capacidade de rastreio de dados.