Ratgeber zum entfernen von viren und spyware, anleitung zum deinstallieren

Was ist MONTI Ransomware?

MONTI ist ein Ransomware-artiges Programm, das Daten verschlüsselt und eine Zahlung für die Entschlüsselungswerkzeuge verlangt. Sie ist eine neue Variante der CONTI Ransomware. Darüber hinaus weist MONTI extreme Ähnlichkeiten mit der Arbeitsweise von CONTI auf.

Im Februar 2022 kam es bei der Gruppe, die hinter CONTI steht, zu einem massiven Verstoß und einem Datenleck. Die veröffentlichten Informationen, einschließlich Quellcodes, Hacking-Werkzeuge und anderer zugehöriger Daten, reichten aus, um als Schritt-für-Schritt-Anleitung für Cyberkriminelle zu dienen, die CONTI nachbauen wollten. Daher ist MONTI möglicherweise nicht die einzige Ransomware-Gruppe, die ihre Operationen auf die aus den CONTI-Leaks gewonnenen Informationen stützt.

MONTI Ransomware verschlüsselt Dateien und fügt ihren Dateinamen eine Erweiterung hinzu, die aus fünf zufälligen Zeichen besteht. So fügte das MONTI-Beispiel, das wir auf unserem Testrechner ausführten, den Dateinamen die Erweiterung ".PUUUK" hinzu, so dass z.B. eine Datei mit dem Titel "1.jpg" als "1.jpg.PUUUK" erschien. Nachdem die Verschlüsselung abgeschlossen ist, erstellt MONTI eine Lösegeldforderung mit dem Namen "readme.txt".

Was ist der "Your Order Is Processed" E-Mail-Betrug?

Nach der Analyse von zwei "Your Order Is Processed" E-Mails haben wir festgestellt, dass es sich um Spam handelt. In diesen Schreiben wird in ähnlicher Weise behauptet, der Empfänger habe einen teuren Artikel bei einem bekannten Einzelhändler gekauft. Ziel ist es, den Empfänger dazu zu bringen, die angegebene Telefonnummer anzurufen, um den Kauf zu stornieren - und so in einen ausgeklügelten Betrug verwickelt zu werden.

Beachten Sie, dass es neben den beiden von uns untersuchten Varianten auch andere Varianten dieser Spam-E-Mail geben kann. Es muss betont werden, dass es sich bei den "Your Order Is Processed" E-Mails um Fälschungen handelt und dass die darin genannten legitimen Unternehmen (z.B: Walmart, Target, PayPal, etc.) nicht mit dem Betrug in Verbindung stehen.

Was ist MLF Ransomware?

Unser Forscherteam hat das Ransomware-artige Programm MLF entdeckt, während es neue Einträge auf VirusTotal überprüfte. Außerdem gehört MLF zur Phobos-Ransomware-Familie.

Nach dem Ausführen einer Probe dieser Ransomware auf unserem Testcomputer, verschlüsselte sie Dateien und änderte ihre Dateinamen. Den Titeln der betroffenen Dateien wurde eine einzigartige ID hinzugefügt, die dem Opfer zugeschrieben wurde, die E-Mail-Adresse der Cyberkriminellen und die Erweiterung „.MLF". Eine Datei mit dem ursprünglichen Namen "1.jpg" erschien beispielsweise als "1.jpg.id[9ECFA84E-3377].[DataRecovery1@cock.li].MLF", etc.

Anschließend erstellte MLF zwei Dateien: "info.hta" (Dialogfenster) und "info.txt" und legte sie auf dem Desktop ab. Diese Dateien enthielten die Lösegeldforderungen.

Was ist Bobik?

Bobik ist eine bösartige Software, die als ein RAT (RAT (Remote Access Trojan - Fernzugriff-Trojaner) klassifiziert wird. Diese Trojaner sind so konzipiert, dass sie Fernzugriff/Kontrolle über infizierte Rechner ermöglichen. Bobik kann verschiedene bösartige Aktivitäten durchführen, darunter Ketteninfektionen, Datendiebstahl und das Hinzufügen kompromittierter Geräte zu einem Botnet um DDoS-Angriffe zu starten.

Diese Malware wurde aktiv bei geopolitisch motivierten Angriffen gegen die Ukraine und ihre Verbündeten eingesetzt. Bobik-aktivierte DDoS-Angriffe sind Cyberkriminalität-Elemente im Ukraine-Krieg.

Diese Aktivitäten wurden mit einer wenig bekannten pro-russischen Hackergruppe namens NoName057(16) in Verbindung gebracht, was durch die von den Avast-Forschern gesammelten Beweise bestätigt wird - wie z.B. die Prahlerei der Gruppe auf Telegram zeitgleich mit den DDoS-Angriffen von Bobik. Avast schätzt jedoch auch, dass die Erfolgsquote dieser Hackergruppe zwischen 20 und 40 % liegt.

Was ist Bl00dy Ransomware?

Bl00dy ist der Name eines Ransomware-artigen Programms, das unsere Forscher entdeckten, während sie sich neue Einträge auf VirusTotal ansahen. Dieses bösartige Programm ist Teil der Babuk-Ransomware-Familie.

Sobald eine Probe von Bl00dy auf unserem Testsystem ausgeführt wurde, begann sie Dateien zu verschlüsseln und fügte ihren Namen die Erweiterung ".bl00dy" hinzu. Zum Beispiel wurde eine Datei, die ursprünglich als "1.jpg" genannt wurde, "1.jpg.bl00dy", "2.png" als "2.png.bl00dy" und so weiter angezeigt.

Nachdem die Verschlüsselung abgeschlossen war, legte die Ransomware eine Textdatei mit dem Titel "How To Restore Your Files.txt" auf dem Desktop ab. Diese Datei enthielt die Lösegeldforderung, aus der hervorging, dass Bl00dy eher auf Unternehmen als auf Privatanwender abzielt. Außerdem nutzte diese bösartige Software eine doppelte Erpressungstaktik.

Welche Art von Software ist Cash?

Unsere Forscher entdeckten die betrügerische Anwendung Cash, als sie verdächtige Installationsprogramme untersuchten. Nach der Analyse dieser App bestimmten wird, dass sie als werbeunterstützte Software fungiert (Adware).

Was ist Weekly Hits?

Bei der Untersuchung betrügerischer Software-Installationsprogramme, entdeckten unsere Forscher die Browsererweiterung Weekly Hits. Diese Erweiterung verspricht, den Benutzern einen schnellen Zugriff auf die meistgesuchten Songtexte der Woche zu ermöglichen. Nach der Analyse dieser Software bestimmten wir, dass sie ein Browserentführer ist, der die gefälschte Suchmaschine weeklyhits.xyz fördert.

Was ist Zanubis?

Zanubis ist eine Schadsoftware, die als Bank Trojaner eingestuft wird. Diese Malware zielt auf Android-Betriebssysteme (OS) ab. Die Hauptfunktion dieses Programms besteht darin, sich heimlich Zugangsdaten für Online-Banking-Konten zu verschaffen und Zugriff auf die darin hinterlegten Gelder zu erhalten. Zanubis richtet sich an lateinamerikanische Banken, insbesondere an solche mit Sitz in Peru.

Welche Art von Malware ist Icarus?

Icarus ist der Name eines bösartigen Programms vom Typ Stealer. Er wurde entwickelt, um eine Vielzahl von gefährdeten Daten von infizierten Computern zu extrahieren. Die Bedrohungen, die von dieser Art von Malware ausgehen, können je nach den Zielen der Cyberkriminellen und der Sensibilität der auf den Geräten der Opfer gespeicherten Daten variieren.

Was ist "Cookie Stuffing Browser Extensions"?

"Cookie Stuffing Browser Extensions" bezieht sich auf bösartige Browsererweiterungen, die dazu dienen, IDs von Partnern in die Internet-Cookies bestimmter Webseiten einzufügen.

Wir haben vier solcher Erweiterungen untersucht. "AutoBuy Flash Sales, Deals und Coupons" - mit der versprochenen Funktionalität, automatisch Käufe bei zeitlich begrenzten Angeboten zu tätigen. "FlipShope - Price Tracker Extension" - kann Benutzer verfolgen und benachrichtigen, wenn Rabatte und andere Angebote verfügbar sind.

"Full Page Screenshot Capture - Screenshotting" - Werkzeug zum Erstellen und Bearbeiten von Screenshots auf Webseiten. "Netflix Party" - ermöglicht es Benutzern, aus der Ferne in der Gruppe Netflix Sendungen anzusehen.

Es muss betont werden, dass die von dieser Software angebotenen Funktionen nur selten wie versprochen funktionieren, und in den meisten Fällen funktionieren sie überhaupt nicht. Diese vier Erweiterungen platzierten Partner-IDs in den Cookies beliebter E-Commerce-Webseiten. Außerdem verfügen sie alle über die Möglichkeit der Datenverfolgung.