Wirusy

Trojan Grandoreiro to wyrafinowane szkodliwe oprogramowanie bankowe, które aktywnie atakuje użytkowników głównie w Ameryce Łacińskiej, a ostatnio w Europie. Pochodzące z Brazylii szkodliwe oprogramowanie ewoluowało na przestrzeni lat, ukazując zdolność adaptacji i upór cyberprzestępców w wykorzystywaniu systemów finansowych na całym świecie. Jest to trojan bankowy napisany w języku Delphi, zaobserwowany po raz pierwszy w 2016 roku. Działa w modelu biznesowym Malware-as-a-Service (MaaS), umożliwiając jego dystrybucję i wykorzystywanie przez różne grupy cyberprzestępcze. Szkodnik ten znany jest ze swoich możliwości kradzieży informacji bankowych, przeprowadzania oszukańczych transakcji i wykonywania szeregu szkodliwych działań na zainfekowanych komputerach. Aby usunąć Grandoreiro z zainfekowanego systemu, zaleca się kompleksowe podejście polegające na odinstalowaniu złośliwych programów, zresetowaniu przeglądarek do ustawień domyślnych i użyciu specjalistycznych narzędzi do usuwania złośliwego oprogramowania, takich jak Malwarebytes i Spyhuner. Środki zapobiegawcze obejmują utrzymywanie świadomości cyberbezpieczeństwa, unikanie klikania podejrzanych linków lub pobierania załączników z nieznanych wiadomości e-mail oraz aktualizowanie oprogramowania zabezpieczającego.

BackMyData Ransomware to wariant złośliwego oprogramowania należący do rodziny Phobos, zidentyfikowany ze względu na zdolność do szyfrowania plików na zainfekowanych komputerach, czyniąc je w ten sposób niedostępnymi dla użytkowników. Działa na szeroką gamę typów plików, szyfrując je i dołączając rozszerzenie .backmydata rozszerzenie wraz z identyfikatorem ofiary i adresem e-mail ([backmydata@skiff.com]) do nazw plików. Ta zmiana nazwy sprawia, że ​​pliki są łatwe do zidentyfikowania, ale niedostępne bez odszyfrowania. Konkretny algorytm szyfrowania używany przez BackMyData nie jest wyraźnie wspomniany, ale podobnie jak inne warianty oprogramowania ransomware z rodziny Phobos, prawdopodobnie wykorzystuje ono silne metody szyfrowania, które utrudniają nieautoryzowane odszyfrowanie bez niezbędnych kluczy deszyfrujących. BackMyData generuje dwa żądania okupu o nazwie info.hta i info.txt, które są umieszczane na pulpicie ofiary. Notatki te zawierają wiadomości od atakujących, instruujące ofiary, jak skontaktować się z nimi za pośrednictwem poczty elektronicznej (backmydata@skiff.com) i żądające zapłaty okupu w zamian za klucze odszyfrowujące. W notatkach grożono również sprzedażą skradzionych danych, jeśli okup nie zostanie zapłacony, podkreślając pilność i powagę sytuacji.

Lkhy Ransomware to odmiana cieszącej się złą sławą rodziny ransomware STOP/DJVU, która szyfruje pliki na zainfekowanych komputerach, dołączając .lkhy rozszerzenia nazw plików. Wykorzystuje algorytm szyfrowania Salsa20 do blokowania plików, czyniąc je niedostępnymi dla użytkowników. Po zakończeniu procesu szyfrowania LKHY upuszcza list z żądaniem okupu o nazwie _readme.txt, żądając zapłaty w Bitcoinach w celu rzekomego przesłania klucza deszyfrującego. Ransomware LKHY atakuje określone typy plików, takie jak dokumenty, obrazy, filmy i bazy danych, używając symetrycznego algorytmu AES. Generuje unikalny klucz szyfrowania dla każdego pliku i usuwa oryginalne pliki, pozostawiając jedynie zaszyfrowane wersje. Żądanie okupu wymaga zapłaty od 499 do 999 dolarów w Bitcoinach z 50% zniżką, jeśli ofiara skontaktuje się z atakującymi w ciągu 72 godzin. Notatkę z żądaniem okupu zazwyczaj można znaleźć w każdym folderze zawierającym zaszyfrowane pliki.

PUA:Win32/Presenoker to nazwa wykrywania używana przez program antywirusowy Microsoft Defender i inne narzędzia bezpieczeństwa do identyfikowania potencjalnie niechcianych aplikacji (PUA). Aplikacje te często wydają się uzasadnione i przydatne, ale mogą działać w sposób niepożądany lub szkodliwy dla użytkownika. Mogą obejmować oprogramowanie reklamowe, porywacze przeglądarki i inne oprogramowanie o niejasnych celach. Ręczne usuwanie polega na przejściu do określonych katalogów na komputerze i usunięciu plików powiązanych z Presenokerem. Można to zrobić, uzyskując dostęp do Eksploratora plików i usuwając zawartość folderów DetectionHistory i folderów CacheManager w katalogu Windows Defender. Ponieważ Presenoker często zmienia ustawienia przeglądarki, zresetowanie przeglądarki do ustawień domyślnych może pomóc w usunięciu niepożądanych zmian. Można tego dokonać poprzez menu ustawień przeglądarki. Przeprowadzenie pełnego skanowania systemu za pomocą renomowanego oprogramowania antywirusowego, takiego jak Malwarebytes, Spyhunter, Norton, może pomóc w wykryciu i usunięciu Presenokera i innego powiązanego złośliwego oprogramowania. Narzędzia te mogą automatycznie identyfikować i poddawać kwarantannie złośliwe programy.

Coyote to wieloetapowy trojan bankowy, który do dystrybucji wykorzystuje instalator Squirrel, co nie jest powszechnie kojarzone z dostarczaniem złośliwego oprogramowania. Nazywa się go „Kojot” ze względu na jego drapieżną naturę, przypominającą kojoty będące naturalnymi drapieżnikami wiewiórek, co jest zabawnym ukłonem w stronę wykorzystania instalatora Squirrel. Szkodnik wyróżnia się wyrafinowanym łańcuchem infekcji, wykorzystującym NodeJS i stosunkowo nowy wieloplatformowy język programowania o nazwie Nim jako moduł ładujący w celu zakończenia procesu infekcji. Trojan bankowy Coyote to wyrafinowane szkodliwe oprogramowanie atakujące ponad 60 instytucji bankowych, głównie w Brazylii. Wykorzystuje zaawansowane taktyki unikania, aby wykraść poufne informacje finansowe od ofiar. W tym artykule szczegółowo omówiono, czym jest Coyote, w jaki sposób infekuje komputery i jak go usunąć, ze szczególnym uwzględnieniem systemu operacyjnego Windows, ponieważ trojan ten atakuje w szczególności aplikacje komputerowe systemu Windows w celu jego dystrybucji i wykonywania.

Win32/FakeVimes to rodzina fałszywych programów zabezpieczających udających legalne oprogramowanie antywirusowe. Programy te rzekomo skanują w poszukiwaniu złośliwego oprogramowania i często zgłaszają liczne infekcje na komputerze użytkownika, które zazwyczaj nie istnieją. Głównym celem Win32/FakeVimes jest nakłonienie użytkowników do zakupu pełnej wersji oprogramowania w celu usunięcia fałszywych zagrożeń, które rzekomo wykryło. Należy pamiętać, że konkretne kroki usuwania mogą się różnić w zależności od wariantu Win32/FakeVimes i systemu operacyjnego użytkownika. Użytkownicy powinni także upewnić się, że ich oprogramowanie jest aktualne, aby zapobiec infekcjom w przyszłości. Głównym celem tego artykułu jest dostarczenie informacyjnego przewodnika na temat tego, czym jest Win32/FakeVimes, w jaki sposób infekuje komputery oraz szczegółowe kroki, jak go usunąć. Zawiera wskazówki dotyczące zapobiegania, które pomogą użytkownikom uniknąć przyszłych infekcji. Użyj renomowanego oprogramowania antywirusowego, aby wyszukać i usunąć infekcję. Często polecane są do tego programy takie jak Malwarebytes Anti-Malware lub Spyhunter.

Jackpot to rodzaj ransomware, złośliwego oprogramowania, które szyfruje pliki na komputerze ofiary i żąda okupu za ich odszyfrowanie. Po raz pierwszy zaobserwowano go na początku 2020 r. Ransomware modyfikuje edytor rejestru systemu Windows, zmienia tapetę i powiadamia ofiarę o infekcji. Podczas procesu szyfrowania Jackpot Ransomware dołącza .coin rozszerzenie na wszystkie zainfekowane pliki. Na przykład plik o nazwie 1.jpg pojawiłby się jako 1.jpg.coin. Konkretny algorytm szyfrowania używany przez Jackpot Ransomware nie jest określony w wynikach wyszukiwania. Po zakończeniu procesu szyfrowania Jackpot Ransomware tworzy wiadomości z żądaniem okupu payment request.html i payment request.txt pliki na pulpicie. Ransomware blokuje także ekran urządzenia, wyświetlając komunikat identyczny z tym, który znajduje się w plikach .html i .txt z żądaniem okupu.

CrackedCantil to wieloaspektowe złośliwe oprogramowanie, którego działanie polega na koordynowaniu różnych komponentów złośliwego oprogramowania w celu infekowania i naruszania zabezpieczeń systemów komputerowych. Nazwa „CrackedCantil” została wymyślona przez analityka złośliwego oprogramowania znanego jako LambdaMamba, przy czym „Cracked” odnosi się do powszechnej metody dystrybucji szkodliwego oprogramowania za pośrednictwem złamanego oprogramowania, a „Cantil” nawiązuje do jadowitej żmii Cantil, wskazując na potencjał szkodliwego oprogramowania. Szkodnik CrackedCantil jest przykładem niebezpieczeństw związanych z pobieraniem i używaniem pirackiego oprogramowania, ponieważ służy jako brama dla szeregu zagrożeń cybernetycznych, w tym kradzieży tożsamości i strat finansowych. Użytkownicy powinni zachować czujność i przyjąć praktyki bezpiecznego korzystania z komputera, aby chronić się przed tak wyrafinowanymi zagrożeniami związanymi ze złośliwym oprogramowaniem. Należy pamiętać, że ręczne usunięcie może nie być idealnym rozwiązaniem, ponieważ pozostałości złośliwego oprogramowania mogą nadal działać i powodować problemy. Dlatego zalecane jest korzystanie z programów zabezpieczających, które potrafią dokładnie wyeliminować oprogramowanie reklamowe i złośliwe oprogramowanie. Usunięcie CrackedCantil może być trudne ze względu na możliwość wdrażania wielu typów złośliwego oprogramowania, które działają wspólnie. Poniżej znajdują się ogólne kroki usuwania.