Guide de suppression de virus et de logiciels malveillants, instructions de désinstallation.

Qu'est-ce que le rançongiciel MMXXII ?

Lors de l'inspection de nouvelles soumissions à VirusTotal, notre équipe de recherche a découvert le rançongiciel MMXXII. Ce programme malveillant fait partie de la famille des rançongiciels Phobos.

Après avoir exécuté un échantillon de MMXXII sur notre système de test, il a commencé à chiffrer les fichiers et à modifier leurs noms. Il a été ajouté aux noms des fichiers concernés un identifiant unique attribué à la victime, l'adresse courriel des cybercriminels et une extension ".MMXXII". Par exemple, un fichier initialement nommé "1.jpg" apparaissait comme "1.jpg.id[9ECFA84E-3378].[casecrosu@eml.cc].MMXXII".

Une fois ce processus terminé, des messages demandant une rançon ont été créés/affichés dans une fenêtre pop-up ("info.hta") et un fichier texte ("info.txt").

Quel type de logiciel est FLB Music ?

FLB Music est l'une des variantes du maliciel ChromeLoader. Il s'agit d'une application financée par la publicité déguisée en lecteur multimédia. Elle génère des publicités indésirables et permet au maliciel de charger des modules pour la communication réseau et l'espionnage DHCP. Notre équipe a découvert l'application FLB Music après avoir téléchargé un fichier ISO à partir d'une page trompeuse.

Quel type d'extension est "Movie Database" ?

Nos chercheurs ont découvert l'extension de navigateur Movie Database en enquêtant sur des sites Web suspects promus par des logiciels. Elle est présentée comme un outil d'accès rapide à TMDB (The Move Database) - une base de données en ligne pour les films et les émissions de télévision. Après avoir analysé cette extension, nous avons déterminé que Movie Database fonctionne plutôt comme un logiciel financé par la publicité (publiciel).

Qu'est-ce que Streamlink-twitch-gui ?

Lors de l'inspection de sites Web trompeurs faisant la promotion de logiciels, notre équipe de recherche a découvert un fichier ISO contenant le publiciel Streamlink-twitch-gui. Les logiciels de cette classification sont conçus pour exécuter des campagnes publicitaires intrusives. Cependant, Streamlink-twitch-gui fait partie de la famille des maliciels ChromeLoader ; par conséquent, il peut également provoquer des infections en chaîne.

Quel type de maliciel est BlackBit ?

BlackBit est un rançongiciel identique à un autre rançongiciel appelé Loki Locker. Notre équipe a découvert BlackBit lors de l'inspection d'échantillons de maliciels soumis à VirusTotal. BlackBit crypte les fichiers (les rend inaccessibles), modifie leurs noms, change le fond d'écran du bureau, affiche une fenêtre pop-up et crée le fichier "Restore-My-Files.txt".

La fenêtre pop-up et le fichier texte de BlackBit contiennent une note de rançon. Ce rançongiciel modifie les noms de fichiers en ajoutant l'adresse courriel spystar@onionmail.org, l'identifiant de la victime et en ajoutant l'extension ".BlackBit" aux noms de fichiers.

Par exemple, il renomme "1.jpg" en "[spystar@onionmail.org][9ECFA84E]1.jpg.BlackBit", "2.png" en "[spystar@onionmail.org][9ECFA84E]2.png. BlackBit", et ainsi de suite.

Qu'est-ce que le publiciel "Mobile" ?

Lors de l'inspection de sites Web suspects faisant la promotion de logiciels, notre équipe de recherche a découvert une application de type publiciel appelée Mobile. Cette application est conçue pour exécuter des campagnes publicitaires intrusives. De plus, Mobile peut avoir des fonctionnalités de suivi des données.

Qu'est-ce que le maliciel Harly ?

Harly est un maliciel ciblant les systèmes d'exploitation Android. Il s'agit d'un type de maliciel à la fraude téléphonique conçu pour abonner furtivement les victimes à divers services payants. Harly prolifère sous couvert de diverses applications utiles et d'apparence anodine.

Quel type de maliciel est Duck ?

Duck est un rançongiciel qui fait partie de la famille des rançongiciels Phobos. Notre équipe a découvert Duck en inspectant des échantillons de maliciels soumis sur la page VirusTotal. Nous avons constaté qu'il crypte les fichiers, ajoute l'ID de la victime, l'adresse courriel supprecovery@torguard.tg et l'extension ".duck" aux noms de fichiers. Il génère également deux notes de rançon : les fichiers "info.hta" et "info.txt".

Un exemple de la façon dont le rançongiciel Duck modifie les noms de fichiers : il renomme "1.jpg" en "1.jpg.id[9ECFA84E-3316].[supprecovery@torguard.tg].duck", "2.png" en "2.png.id[9ECFA84E-3316].[supprecovery@torguard.tg].duck", et ainsi de suite.

Quel type de logiciel est Markets ?

Markets est le nom d'un programme financé par la publicité que nous avons découvert après avoir examiné un fichier ISO téléchargé à partir d'une page trompeuse. Nous avons classé Markets comme publiciel car il affiche des publicités indésirables. Nous avons également constaté que ce publiciel s'exécute sous le nom de "Markets tech Copyright © 2022" dans le gestionnaire de tâches.

Qu'est-ce que l'escroquerie par courriel "Windows Defender Advanced Threat Protection" ?

En examinant ce courriel, nous avons appris qu'il était envoyé par des escrocs qui visent à inciter les destinataires à appeler un faux numéro d'assistance. Les escrocs cachés derrière affirment que les destinataires ont été facturés un montant spécifié pour l'abonnement Windows Defender Advanced Threat Protection. Ils ont déguisé ce courriel en une lettre de Microsoft.