Vírus

Também conhecido como Processo de tempo de execução do serviço ao cliente, Csrss.exe é um processo de sistema legítimo essencial para a integridade do Windows. Ele pode ser encontrado em execução junto com outros processos em segundo plano no Gerenciador de Tarefas. O local nativo Csrss.exe sempre está enraizado C:\Windows\System32\. Se você encontrá-lo presente em outros diretórios, é mais provável que seja uma infecção por vírus disfarçada como um processo legítimo. Os cibercriminosos usam os nomes dos processos do Windows para ocultar cavalos de Tróia ou software semelhante. Ao fazer isso, eles também obscurecem algoritmos de varredura de software anti-malware, que às vezes tem dificuldade em defini-lo como malware. Apesar disso, é muito fácil determinar se esse processo é malicioso ou não. Você pode encontrá-lo na lista de processos em segundo plano no Gerenciador de Tarefas, clique com o botão direito sobre ele e escolha "Abrir local do arquivo" para ver onde ele está. Se você suspeitar que realmente é um vírus, certifique-se de seguir nossas diretrizes abaixo. O processo Csrss.exe é conhecido por ser explorado por desenvolvedores de malware para ocultar software malicioso que rouba dados pessoais e também ativa a instalação de outros programas. É por isso que é necessário removê-lo o mais rápido possível antes que cause danos graves à privacidade.

MME é classificado como uma infecção de ransomware que se espalha em sistemas desprotegidos para criptografar dados e extorquir dinheiro das vítimas para sua devolução. O vírus usa sua própria extensão (.MME) para destacar os dados bloqueados e fazer com que os usuários identifiquem sua restrição. Por exemplo, um arquivo anteriormente intocado chamado 1.pdf mudará para 1.pdf.MME e redefinir seu ícone original após a criptografia bem-sucedida. Como resultado dessa mudança, as vítimas não poderão mais acessar o arquivo. Para consertar isso e voltar ao uso regular de arquivos, os cibercriminosos se oferecem para optar pela solução paga - compre um software de descriptografia especial que retornará seus dados. As instruções a fazer estão listadas em uma nota de texto chamada Leia-me.txt que vem junto com a criptografia. Você pode dar uma olhada em seu conteúdo detalhado aqui abaixo:

ResumoEmu é um vírus Android de alto risco detectado em 7 aplicativos disponíveis em lojas de aplicativos Android legítimas. Após a instalação e interação com um desses aplicativos, o malware oculto AbstractEmu enraíza todo o smartphone para conceder a si mesmo direitos privilegiados sobre o sistema. Não requer nenhum controle remoto - a ativação do malware acontece imediatamente assim que as pessoas começam a usar um aplicativo. Ao fazer isso, AbstractEmu terá acesso a tudo o que está presente dentro de um dispositivo. O vírus será capaz de agir de acordo com sua finalidade, executando várias ações em um sistema comprometido. Isso significa que os desenvolvedores do AbstractEmu podem manipular seu smartphone da maneira que quiserem - por exemplo, coletar dados confidenciais, abrir aplicativos, ler bate-papos pessoais, vigiar sua câmera frontal ou até mesmo instalar malware adicional. Essas capacidades de vírus são bastante semelhantes ao que vimos com o spyware FluBot - já discutido em nosso blog. A variedade de plataformas que distribuíram aplicativos relacionados ao AbstractEmu foram Google Play, Amazon Appstore, Samsung Galaxy Store, Aptoide e até mesmo APKPure.

ARMÁRIO AZUL é uma infecção de alto risco classificada como ransomware. Seu principal objetivo consiste em extorquir dinheiro das vítimas após a criptografia bem-sucedida de dados pessoais. Ele atribui o novo .azul extensão e emite uma nota de texto chamada arquivo_restauração.txt para orientar as vítimas durante o processo de recuperação. Isso significa um arquivo como 1.pdf será alterado para 1.pdf.blue e redefinir seu ícone original. O texto dentro da nota é semelhante a outras infecções de ransomware. Diz-se que todos os arquivos foram criptografados, os backups excluídos e copiados para o servidor dos cibercriminosos. Para reverter o dano e retornar à experiência normal com arquivos totalmente funcionais, as vítimas devem comprar um descriptografador universal mantido por desenvolvedores de malware. Se você decidir ignorar as solicitações dos cibercriminosos, eles começarão a liberar seus arquivos em recursos da dark web. Ao entrar em contato com os desenvolvedores sobre a descriptografia, é oferecido o envio de 1 arquivo para que eles possam desbloqueá-lo gratuitamente. A comunicação entre as vítimas e os cibercriminosos é escrita para ser estabelecida através de métodos de e-mail (grepmord@protonmail.com). Depois de entrar em contato com eles, as vítimas obterão mais instruções sobre como pagar e adquirir o software de descriptografia.

Originário da Itália, Giuliano é um programa do tipo ransomware configurado com fortes algoritmos criptográficos (AES-256) para executar criptografia segura de dados. Ao bloquear o acesso aos arquivos pessoais, os extorsionários tentam enganar as vítimas, fazendo-as pagar pela descriptografia dos dados. As vítimas podem detectar que seus arquivos foram criptografados simplesmente olhando para a extensão - o vírus anexa a nova extensão ".Giuliano" para destacar os dados bloqueados. Isso significa um arquivo como 1.pdf mudará para 1.pdf.Giuliano e redefinir seu ícone original. As informações sobre a recuperação de arquivos podem ser encontradas em uma nota de texto chamada README.txt. As instruções de descriptografia dentro deste arquivo são representadas no idioma italiano. Os cibercriminosos informam as vítimas sobre a infecção bem-sucedida e as incentivam a seguir as instruções listadas. Eles dizem que você deve visitar uma página do GitHub para preencher alguns formulários. Depois disso, os desenvolvedores de malware provavelmente entrarão em contato com suas vítimas e pedirão um resgate em dinheiro. Normalmente, é solicitada a execução do pagamento em BTC ou outra criptomoeda usada pelos desenvolvedores. Infelizmente, as cifras aplicadas por Giuliano Ransomware são fortes e dificilmente decifráveis ​​com ferramentas de terceiros. Por enquanto, a melhor maneira de recuperar seus arquivos além de colaborar com vigaristas é usar cópias de backup.

Sendo um vírus ransomware perigoso, Torre visa a criptografia de dados e tenta chantagear os usuários para que paguem o resgate. O vírus é fácil de distinguir de outras versões, pois atribui o .torre extensão para todos os dados bloqueados. Isso significa um arquivo como 1.pdf mudará para 1.pdf.rook e redefinir seu ícone original após a criptografia bem-sucedida. Logo depois disso, Rook Ransomware cria uma nota de texto chamada Como restaurar seus arquivos.txt mostrando aos usuários como eles podem recuperar os dados. O conteúdo da nota de texto diz que você pode restaurar o acesso a todos os dados apenas entrando em contato com vigaristas e pagando o resgate em dinheiro. A comunicação deve ser estabelecida por e-mail (rook@onionmail.org; segurançaRook@onionmail.org) ou link do navegador TOR anexado à nota. Ao escrever uma mensagem para criminosos cibernéticos, as vítimas podem enviar até 3 arquivos (não mais que 1 MB) e descriptografá-los gratuitamente. Dessa forma, os cibercriminosos comprovam suas habilidades de descriptografia junto com sua confiabilidade até certo ponto. Além disso, se você entrar em contato com extorsionários dentro de 3 dias, os cibercriminosos oferecerão um desconto de 50% no preço da descriptografia. A menos que você se encaixe neste prazo, os desenvolvedores do Rook começarão a vazar seus arquivos para sua rede para abusar deles nas páginas darknet posteriormente. Eles também dizem que nenhum instrumento de terceiros o ajudará a recuperar os arquivos.

ArpoonLocker é o nome de uma infecção de ransomware recente relatada por usuários em fóruns de malware. O vírus executa a criptografia de dados com algoritmos AES-256 e RSA-1024, tornando todos os dados restritos criptograficamente seguros. Como resultado dessa mudança de configuração, os usuários não poderão mais acessar seus próprios dados armazenados em dispositivos infectados. O HarpoonLocker atribui o .bloqueado extensão, que é comumente usada por muitas outras infecções de ransomware. Isso o torna mais genérico e às vezes difícil de diferir de outras infecções como essa. Também cria uma nota de texto (restaurar-arquivos.txt) contendo instruções de resgate. Os desenvolvedores dizem que todos os dados foram criptografados e vazados para seus servidores. A única maneira de reverter isso e ter os arquivos de volta com segurança é concordar em pagar o resgate. As vítimas são instruídas a baixar o qTOX messenger e entrar em contato com extorsionários lá. Também existe a opção de tentar descriptografar 3 arquivos bloqueados gratuitamente. Esta é uma garantia dada pelos cibercriminosos para provar que eles são confiáveis. Infelizmente, não há nenhum outro contato além do qTOX que as vítimas possam usar para entrar em uma discussão com os cibercriminosos. Muitos pesquisadores cibernéticos brincaram que HarpoonLocker também deveria ser chamado de qTOX Ransomware sem nome, uma vez que as vítimas não podem falar com ninguém. Por esse e muitos outros motivos, é altamente recomendável não atender aos requisitos listados e pagar o resgate. Muitas vezes, os cibercriminosos enganam suas vítimas e não enviam nenhuma ferramenta de descriptografia, mesmo depois de receber o dinheiro.

Encontrado e pesquisado pela primeira vez por um especialista independente chamado S! R !, NoCry é um programa de ransomware projetado para executar a criptografia de dados. É um esquema muito popular empregado por desenvolvedores de ransomware para extorquir dinheiro das vítimas mediante restrição bem-sucedida de dados. Por enquanto, existem duas versões conhecidas de NoCry que diferem por extensões atribuídas aos dados bloqueados. É também .Cry or .IHA extensão que será anexada aos arquivos criptografados. Por exemplo, 1.pdf mudará sua aparência para 1.pdf.Cry or 1.pdf.IHA e redefina seu ícone de atalho para branco após ser afetado por malware. Os extorsionários por trás do NoCry Ransomware exigem pagamento para retornar os dados por meio de um arquivo HTML chamado How To Decrypt My Files.html. Ele também abre à força uma janela pop-up com a qual as vítimas podem interagir para enviar o resgate e descriptografar seus dados. O conteúdo de ambos é idêntico e informa as vítimas sobre o mesmo. NoCry dá cerca de 72 horas para enviar 100 $ em BTC para o endereço criptográfico anexado. Se nenhum dinheiro for entregue dentro do cronograma alocado, NoCry excluirá seus arquivos para sempre. Esta é uma estratégia de intimidação que visa apressar as vítimas e pagar o resgate exigido com mais rapidez.