Guias De Remoção De Vírus E Spyware, Instruções Para Desinstalar

O que é ANNABELLE?

Descoberto pela primeira vez por Bart, ANNABELLE é um vírus do tipo ransomware que se infiltra furtivamente no sistema e encripta a maioria dos ficheiros armazenados. Durante a encriptação, este malware anexa nomes de ficheiros com a extensão ".ANNABELLE" (por exemplo "sample.jpg" é renomeado para "sample.jpg.ANNABELLE").

A partir daqui, o uso de ficheiros torna-se impossível. Os resultados da pesquisa demonstram que, após encriptar os ficheiros com sucesso, ANNABELLE também executa várias tarefas para corromper o sistema e, após reinicializá-lo, bloqueia o ecrã inteiro.

O que é o ransomware NMO?

Ao analisar novos envios ao VirusTotal, nossos pesquisadores encontraram outro programa do tipo ransomware - denominado NMO - que pertence à família de ransomware Dharma.

Depois de executar uma amostra do NMO na nossa máquina de teste, encriptou os ficheiros e alterou os seus nomes. Os títulos originais foram anexados com um ID exclusivo, o endereço de e-mail dos criminosos cibernéticos e uma extensão ".NMO". Por exemplo, um ficheiro denominado "1.jpg" apareceu como "1.jpg.id-9ECFA84E.[dr.nemo@tutanota.com].NMO".

Depois da encriptação ser concluída, o ransomware exibiu uma janela pop-up e lançou um ficheiro de texto intitulado "info.txt" na área de trabalho. Tanto o pop-up quanto o ficheiro de texto continham notas de resgate.

O que é o adware Healthy?

Healthy é uma aplicação nociva, que a nossa análise revelou ser um software suportado por publicidade (adware). As aplicações desta classificação operam a executar campanhas publicitárias intrusivas, ou seja, exibindo anúncios.

O que é o ransomware H0lyGh0st?

H0lyGh0st, também conhecido como HolyGhost, é um programa do tipo ransomware. Foi projetado para encriptar dados e exigir resgate para a desencriptação. Além disso, sabe-se que as infecções H0lyGh0st envolvem táticas de extorsão dupla (ou seja, ameaças adicionais envolvendo vazamentos de dados).

Este malware foi associado a criminosos cibernéticos norte-coreanos visando pequenas e médias empresas; Microsoft Threat Intelligence Center has been tracking this activity.

Depois de lançarmos uma amostra do H0lyGh0st no nosso sistema de teste, encriptou os ficheiros e modificou os seus nomes. Os nomes dos ficheiros originais foram alterados para uma cadeia de caracteres aleatória e foram anexados com a extensão ".h0lyenc". Por exemplo, um ficheiro intitulado "1.jpg" apareceu como "U3RhcnQgVG9yIEJyb3dzZXIubG5r.h0lyenc", "2.png" como "SVBWYW5pc2gubG5r.h0lyenc", etc.

Depois de um ficheiro HTML denominado "FOR_DECRYPT.html" ser colocado na área de trabalho. Este ficheiro continha a mensagem de resgate exigente.

Que tipo de página é cleancaptcha[.]top?

Cleancaptcha[.]top é um site fraudulento que descobrimos ao inspecionar sites que usam redes de publicidade fraudulentas. Exibe conteúdo fraudulento (um CAPTCHA falso) para induzir os visitantes a concordar em receber notificações. Além disso, cleancaptcha[.]top redireciona para sites fraudulentos.

O que é o adware Strength?

Ao inspecionar as páginas web fraudulentas, os nossos pesquisadores descobriram uma que promovia a aplicação não autorizada Strength. Depois de analisar esta aplicação, determinamos que funciona como um software suportado por publicidade (adware).

O que é ApolloRAT?

ApolloRAT é um software malicioso categorizado como RAT (Trojan de Acesso Remoto). Malware deste tipo permite acesso remoto e controlo sobre dispositivos infectados.

ApolloRAT é escrito em Python. As linguagens de programação como Python normalmente dependem de compiladores. Os desenvolvedores deste RAT usaram o compilador de fonte a fonte Nuitka, o que é incomum - mas a sua complexidade dificulta a engenharia reversa do ApolloRAT.

Também vale ressalvar que este malware usa a plataforma de mensagens Discord como o seu C&C servidor, que adiciona mais uma camada às qualidades do ApolloRAT que dificultam a sua detecção.

Que tipo de malware é Xrom?

Ao examinar amostras de malware enviadas à página do VirusTotal, a nossa equipa encontrou um ransomware denominado Xrom, que pertence à família Dharma. O Xrom encripta os ficheiros e anexa o ID da vítima, o endereço de e-mail money21@onionmail.org e a extensão ".xrom" aos nomes dos ficheiros. Além disso, rejeita o ficheiro "FILES ENCRYPTED.txt" e exibe uma janela pop-up que contém notas de resgate.

Um exemplo de como o ransomware Xrom modifica os nomes dos ficheiros: renomeia "1.jpg" para "1.jpg.id-9ECFA84E.[money21@onionmail.org].xrom", "2.png" para "2.png.id-9ECFA84E.[money21@onionmail.org].xrom", e assim por diante.

O que é o ransomware U2K?

Ao inspecionar novos envios ao VirusTotal, os nossos pesquisadores descobriram o ransomware U2K. Determinamos que este programa malicioso é idêntico ao ransomware MME.

Após lançarmos uma amostra do U2K na nossa máquina de teste, ela encriptou os ficheiros e alterou os seus nomes. Os nomes dos ficheiros foram anexados com a extensão ".U2K",por exemplo, um ficheiro inicialmente intitulado "1.jpg" apareceu como "1.jpg.U2K", "2.png" como "2.png.U2K", etc. Assim que este processo tenha concluído, uma mensagem de resgate exigente - "ReadMe.txt" - foi criada.

O que é Getmut Cleaner?

Ao inspecionar sites que oferecem software "pirateado" para descarregamento, a nossa equipa de pesquisa descobriu a API Getmut Cleaner (Aplicação Potencialmente Indesejada). A página promocional "oficial" da aplicação exibe-a como uma ferramenta capaz de limpar, proteger e melhorar o desempenho dos sistemas operativos.

O Getmut Cleaner é classificado como uma API devido a métodos duvidosos usados para distribuí-lo. Além disso, a maioria das aplicações indesejadas oferece funcionalidades falsas para atrair os utilizadores para a compra.

Várias ferramentas de segurança no VirusTotal classificam esta aplicação como uma ameaça aos sistemas; alguns até a detectam como "spyware". Portanto, é provável que o Getmut Cleaner tenha capacidades prejudiciais que incluem rastreio de dados.