Wirusy

Pegasus to wysoce wyrafinowana forma oprogramowania szpiegującego opracowana przez izraelską firmę zajmującą się cyberbronią NSO Group. Jest w stanie infekować urządzenia z systemem iOS i Android w celu monitorowania i wydobywania dużej ilości prywatnych danych. Pegasus może czytać wiadomości tekstowe, śledzić połączenia, zbierać hasła, śledzić lokalizację urządzenia i zbierać informacje z aplikacji, w tym WhatsApp, Facebook, Skype i innych. Może także zdalnie aktywować kamerę i mikrofon urządzenia, aby obserwować otoczenie. Wykrycie oprogramowania szpiegującego Pegasus na urządzeniu jest trudne ze względu na jego ukryty charakter. Jednakże zestaw narzędzi do weryfikacji mobilnej (MVT) opracowany przez Amnesty International może być używany przez technologów i badaczy do sprawdzania telefonów komórkowych pod kątem oznak infekcji. To narzędzie wymaga wiedzy technicznej i nie jest przeznaczone dla przeciętnego użytkownika.

Trojan Grandoreiro to wyrafinowane szkodliwe oprogramowanie bankowe, które aktywnie atakuje użytkowników głównie w Ameryce Łacińskiej, a ostatnio w Europie. Pochodzące z Brazylii szkodliwe oprogramowanie ewoluowało na przestrzeni lat, ukazując zdolność adaptacji i upór cyberprzestępców w wykorzystywaniu systemów finansowych na całym świecie. Jest to trojan bankowy napisany w języku Delphi, zaobserwowany po raz pierwszy w 2016 roku. Działa w modelu biznesowym Malware-as-a-Service (MaaS), umożliwiając jego dystrybucję i wykorzystywanie przez różne grupy cyberprzestępcze. Szkodnik ten znany jest ze swoich możliwości kradzieży informacji bankowych, przeprowadzania oszukańczych transakcji i wykonywania szeregu szkodliwych działań na zainfekowanych komputerach. Aby usunąć Grandoreiro z zainfekowanego systemu, zaleca się kompleksowe podejście polegające na odinstalowaniu złośliwych programów, zresetowaniu przeglądarek do ustawień domyślnych i użyciu specjalistycznych narzędzi do usuwania złośliwego oprogramowania, takich jak Malwarebytes i Spyhuner. Środki zapobiegawcze obejmują utrzymywanie świadomości cyberbezpieczeństwa, unikanie klikania podejrzanych linków lub pobierania załączników z nieznanych wiadomości e-mail oraz aktualizowanie oprogramowania zabezpieczającego.

BackMyData Ransomware to wariant złośliwego oprogramowania należący do rodziny Phobos, zidentyfikowany ze względu na zdolność do szyfrowania plików na zainfekowanych komputerach, czyniąc je w ten sposób niedostępnymi dla użytkowników. Działa na szeroką gamę typów plików, szyfrując je i dołączając rozszerzenie .backmydata rozszerzenie wraz z identyfikatorem ofiary i adresem e-mail ([backmydata@skiff.com]) do nazw plików. Ta zmiana nazwy sprawia, że ​​pliki są łatwe do zidentyfikowania, ale niedostępne bez odszyfrowania. Konkretny algorytm szyfrowania używany przez BackMyData nie jest wyraźnie wspomniany, ale podobnie jak inne warianty oprogramowania ransomware z rodziny Phobos, prawdopodobnie wykorzystuje ono silne metody szyfrowania, które utrudniają nieautoryzowane odszyfrowanie bez niezbędnych kluczy deszyfrujących. BackMyData generuje dwa żądania okupu o nazwie info.hta i info.txt, które są umieszczane na pulpicie ofiary. Notatki te zawierają wiadomości od atakujących, instruujące ofiary, jak skontaktować się z nimi za pośrednictwem poczty elektronicznej (backmydata@skiff.com) i żądające zapłaty okupu w zamian za klucze odszyfrowujące. W notatkach grożono również sprzedażą skradzionych danych, jeśli okup nie zostanie zapłacony, podkreślając pilność i powagę sytuacji.

Lkhy Ransomware to odmiana cieszącej się złą sławą rodziny ransomware STOP/DJVU, która szyfruje pliki na zainfekowanych komputerach, dołączając .lkhy rozszerzenia nazw plików. Wykorzystuje algorytm szyfrowania Salsa20 do blokowania plików, czyniąc je niedostępnymi dla użytkowników. Po zakończeniu procesu szyfrowania LKHY upuszcza list z żądaniem okupu o nazwie _readme.txt, żądając zapłaty w Bitcoinach w celu rzekomego przesłania klucza deszyfrującego. Ransomware LKHY atakuje określone typy plików, takie jak dokumenty, obrazy, filmy i bazy danych, używając symetrycznego algorytmu AES. Generuje unikalny klucz szyfrowania dla każdego pliku i usuwa oryginalne pliki, pozostawiając jedynie zaszyfrowane wersje. Żądanie okupu wymaga zapłaty od 499 do 999 dolarów w Bitcoinach z 50% zniżką, jeśli ofiara skontaktuje się z atakującymi w ciągu 72 godzin. Notatkę z żądaniem okupu zazwyczaj można znaleźć w każdym folderze zawierającym zaszyfrowane pliki.

PUA:Win32/Presenoker to nazwa wykrywania używana przez program antywirusowy Microsoft Defender i inne narzędzia bezpieczeństwa do identyfikowania potencjalnie niechcianych aplikacji (PUA). Aplikacje te często wydają się uzasadnione i przydatne, ale mogą działać w sposób niepożądany lub szkodliwy dla użytkownika. Mogą obejmować oprogramowanie reklamowe, porywacze przeglądarki i inne oprogramowanie o niejasnych celach. Ręczne usuwanie polega na przejściu do określonych katalogów na komputerze i usunięciu plików powiązanych z Presenokerem. Można to zrobić, uzyskując dostęp do Eksploratora plików i usuwając zawartość folderów DetectionHistory i folderów CacheManager w katalogu Windows Defender. Ponieważ Presenoker często zmienia ustawienia przeglądarki, zresetowanie przeglądarki do ustawień domyślnych może pomóc w usunięciu niepożądanych zmian. Można tego dokonać poprzez menu ustawień przeglądarki. Przeprowadzenie pełnego skanowania systemu za pomocą renomowanego oprogramowania antywirusowego, takiego jak Malwarebytes, Spyhunter, Norton, może pomóc w wykryciu i usunięciu Presenokera i innego powiązanego złośliwego oprogramowania. Narzędzia te mogą automatycznie identyfikować i poddawać kwarantannie złośliwe programy.

Coyote to wieloetapowy trojan bankowy, który do dystrybucji wykorzystuje instalator Squirrel, co nie jest powszechnie kojarzone z dostarczaniem złośliwego oprogramowania. Nazywa się go „Kojot” ze względu na jego drapieżną naturę, przypominającą kojoty będące naturalnymi drapieżnikami wiewiórek, co jest zabawnym ukłonem w stronę wykorzystania instalatora Squirrel. Szkodnik wyróżnia się wyrafinowanym łańcuchem infekcji, wykorzystującym NodeJS i stosunkowo nowy wieloplatformowy język programowania o nazwie Nim jako moduł ładujący w celu zakończenia procesu infekcji. Trojan bankowy Coyote to wyrafinowane szkodliwe oprogramowanie atakujące ponad 60 instytucji bankowych, głównie w Brazylii. Wykorzystuje zaawansowane taktyki unikania, aby wykraść poufne informacje finansowe od ofiar. W tym artykule szczegółowo omówiono, czym jest Coyote, w jaki sposób infekuje komputery i jak go usunąć, ze szczególnym uwzględnieniem systemu operacyjnego Windows, ponieważ trojan ten atakuje w szczególności aplikacje komputerowe systemu Windows w celu jego dystrybucji i wykonywania.

Win32/FakeVimes to rodzina fałszywych programów zabezpieczających udających legalne oprogramowanie antywirusowe. Programy te rzekomo skanują w poszukiwaniu złośliwego oprogramowania i często zgłaszają liczne infekcje na komputerze użytkownika, które zazwyczaj nie istnieją. Głównym celem Win32/FakeVimes jest nakłonienie użytkowników do zakupu pełnej wersji oprogramowania w celu usunięcia fałszywych zagrożeń, które rzekomo wykryło. Należy pamiętać, że konkretne kroki usuwania mogą się różnić w zależności od wariantu Win32/FakeVimes i systemu operacyjnego użytkownika. Użytkownicy powinni także upewnić się, że ich oprogramowanie jest aktualne, aby zapobiec infekcjom w przyszłości. Głównym celem tego artykułu jest dostarczenie informacyjnego przewodnika na temat tego, czym jest Win32/FakeVimes, w jaki sposób infekuje komputery oraz szczegółowe kroki, jak go usunąć. Zawiera wskazówki dotyczące zapobiegania, które pomogą użytkownikom uniknąć przyszłych infekcji. Użyj renomowanego oprogramowania antywirusowego, aby wyszukać i usunąć infekcję. Często polecane są do tego programy takie jak Malwarebytes Anti-Malware lub Spyhunter.

Jackpot to rodzaj ransomware, złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda okupu za ich odszyfrowanie. Po raz pierwszy zaobserwowano go na początku 2020 r. Ransomware modyfikuje edytor rejestru systemu Windows, zmienia tapetę i powiadamia ofiarę o infekcji. Podczas procesu szyfrowania Jackpot Ransomware dołącza .coin rozszerzenie na wszystkie zainfekowane pliki. Na przykład plik o nazwie 1.jpg pojawiłby się jako 1.jpg.coin. Konkretny algorytm szyfrowania używany przez Jackpot Ransomware nie jest określony w wynikach wyszukiwania. Po zakończeniu procesu szyfrowania Jackpot Ransomware tworzy wiadomości z żądaniem okupu payment request.html i payment request.txt pliki na pulpicie. Ransomware blokuje także ekran urządzenia, wyświetlając komunikat identyczny z tym, który znajduje się w plikach .html i .txt z żądaniem okupu.