Guias De Remoção De Vírus E Spyware, Instruções Para Desinstalar

O que é a fraude por email Beneficiary/Inheritance?

Geralmente, os criminosos cibernéticos por trás de fraudes de e-mail, como esta, tentam enganar os destinatários para que acreditem que são beneficiários de um testamento, apólice de seguro de vida, etc. Os criminosos cibernéticos pedem aos destinatários que entrem em contato com e forneçam várias informações. Em momento algum, os destinatários são pedidos a pagar uma taxa de processamento ou uma taxa de transferência.

Note que os criminosos cibernéticos exploram os nomes de organizações e empresas existentes, muitas vezes conhecidas, para fazer com que os seus e-mails pareçam legítimos.

O que é ANNABELLE?

Descoberto pela primeira vez por Bart, ANNABELLE é um vírus do tipo ransomware que se infiltra furtivamente no sistema e encripta a maioria dos ficheiros armazenados. Durante a encriptação, este malware anexa nomes de ficheiros com a extensão ".ANNABELLE" (por exemplo "sample.jpg" é renomeado para "sample.jpg.ANNABELLE").

A partir daqui, o uso de ficheiros torna-se impossível. Os resultados da pesquisa demonstram que, após encriptar os ficheiros com sucesso, ANNABELLE também executa várias tarefas para corromper o sistema e, após reinicializá-lo, bloqueia o ecrã inteiro.

O que é o ransomware NMO?

Ao analisar novos envios ao VirusTotal, nossos pesquisadores encontraram outro programa do tipo ransomware - denominado NMO - que pertence à família de ransomware Dharma.

Depois de executar uma amostra do NMO na nossa máquina de teste, encriptou os ficheiros e alterou os seus nomes. Os títulos originais foram anexados com um ID exclusivo, o endereço de e-mail dos criminosos cibernéticos e uma extensão ".NMO". Por exemplo, um ficheiro denominado "1.jpg" apareceu como "1.jpg.id-9ECFA84E.[dr.nemo@tutanota.com].NMO".

Depois da encriptação ser concluída, o ransomware exibiu uma janela pop-up e lançou um ficheiro de texto intitulado "info.txt" na área de trabalho. Tanto o pop-up quanto o ficheiro de texto continham notas de resgate.

O que é o adware Healthy?

Healthy é uma aplicação nociva, que a nossa análise revelou ser um software suportado por publicidade (adware). As aplicações desta classificação operam a executar campanhas publicitárias intrusivas, ou seja, exibindo anúncios.

O que é o ransomware H0lyGh0st?

H0lyGh0st, também conhecido como HolyGhost, é um programa do tipo ransomware. Foi projetado para encriptar dados e exigir resgate para a desencriptação. Além disso, sabe-se que as infecções H0lyGh0st envolvem táticas de extorsão dupla (ou seja, ameaças adicionais envolvendo vazamentos de dados).

Este malware foi associado a criminosos cibernéticos norte-coreanos visando pequenas e médias empresas; Microsoft Threat Intelligence Center has been tracking this activity.

Depois de lançarmos uma amostra do H0lyGh0st no nosso sistema de teste, encriptou os ficheiros e modificou os seus nomes. Os nomes dos ficheiros originais foram alterados para uma cadeia de caracteres aleatória e foram anexados com a extensão ".h0lyenc". Por exemplo, um ficheiro intitulado "1.jpg" apareceu como "U3RhcnQgVG9yIEJyb3dzZXIubG5r.h0lyenc", "2.png" como "SVBWYW5pc2gubG5r.h0lyenc", etc.

Depois de um ficheiro HTML denominado "FOR_DECRYPT.html" ser colocado na área de trabalho. Este ficheiro continha a mensagem de resgate exigente.

Que tipo de página é cleancaptcha[.]top?

Cleancaptcha[.]top é um site fraudulento que descobrimos ao inspecionar sites que usam redes de publicidade fraudulentas. Exibe conteúdo fraudulento (um CAPTCHA falso) para induzir os visitantes a concordar em receber notificações. Além disso, cleancaptcha[.]top redireciona para sites fraudulentos.

O que é o adware Strength?

Ao inspecionar as páginas web fraudulentas, os nossos pesquisadores descobriram uma que promovia a aplicação não autorizada Strength. Depois de analisar esta aplicação, determinamos que funciona como um software suportado por publicidade (adware).

O que é ApolloRAT?

ApolloRAT é um software malicioso categorizado como RAT (Trojan de Acesso Remoto). Malware deste tipo permite acesso remoto e controlo sobre dispositivos infectados.

ApolloRAT é escrito em Python. As linguagens de programação como Python normalmente dependem de compiladores. Os desenvolvedores deste RAT usaram o compilador de fonte a fonte Nuitka, o que é incomum - mas a sua complexidade dificulta a engenharia reversa do ApolloRAT.

Também vale ressalvar que este malware usa a plataforma de mensagens Discord como o seu C&C servidor, que adiciona mais uma camada às qualidades do ApolloRAT que dificultam a sua detecção.

Que tipo de malware é Xrom?

Ao examinar amostras de malware enviadas à página do VirusTotal, a nossa equipa encontrou um ransomware denominado Xrom, que pertence à família Dharma. O Xrom encripta os ficheiros e anexa o ID da vítima, o endereço de e-mail money21@onionmail.org e a extensão ".xrom" aos nomes dos ficheiros. Além disso, rejeita o ficheiro "FILES ENCRYPTED.txt" e exibe uma janela pop-up que contém notas de resgate.

Um exemplo de como o ransomware Xrom modifica os nomes dos ficheiros: renomeia "1.jpg" para "1.jpg.id-9ECFA84E.[money21@onionmail.org].xrom", "2.png" para "2.png.id-9ECFA84E.[money21@onionmail.org].xrom", e assim por diante.

O que é o ransomware U2K?

Ao inspecionar novos envios ao VirusTotal, os nossos pesquisadores descobriram o ransomware U2K. Determinamos que este programa malicioso é idêntico ao ransomware MME.

Após lançarmos uma amostra do U2K na nossa máquina de teste, ela encriptou os ficheiros e alterou os seus nomes. Os nomes dos ficheiros foram anexados com a extensão ".U2K",por exemplo, um ficheiro inicialmente intitulado "1.jpg" apareceu como "1.jpg.U2K", "2.png" como "2.png.U2K", etc. Assim que este processo tenha concluído, uma mensagem de resgate exigente - "ReadMe.txt" - foi criada.