Guide de suppression de virus et de logiciels malveillants, instructions de désinstallation.

Qu'est-ce que le rançongiciel Lorenz ?

Lorenz est une nouvelle variante du rançongiciel Sz40. Il est conçu pour crypter les données et exiger des rançons pour le décryptage. En d'autres termes, Lorenz rend les fichiers concernés inaccessibles et demande aux victimes de payer - pour récupérer l'accès à leurs données.

Pendant le processus de cryptage, il est ajouté aux fichiers l'extension ".Lorenz.sz40". Par exemple, un fichier initialement intitulé "1.jpg" apparaîtrait comme "1.jpg.Lorenz.sz40",  "2.jpg" comme "2.jpg.Lorenz.sz40", et ainsi de suite.

Une fois le processus de cryptage terminé, une note de rançon avec le nom de fichier "HELP_SECURITY_EVENT.html" est créée.

Au moment de la recherche, le rançongiciel Lorenz avait un bogue (défaut), qui corrompait certains fichiers. Cette corruption s'est produite en raison de la suppression d'une partie du fichier crypté. Par conséquent, la récupération complète de ces fichiers n'est pas possible, même avec l'implication des cybercriminels.

Cependant, il existe un outil de décryptage gratuit capable de restaurer les fichiers cryptés par Lorenz (mais non corrompus). Ce décrypteur prend en charge les documents Microsoft Office et PDF, ainsi que certains fichiers au format image et vidéo. Le logiciel de décryptage a été développé par Tesorion ; il peut être téléchargé via l'initiative NoMoreRansom - gratuitement.

Quel type d'application est Snetchball ?

Lors de l'analyse de l'application Snetchball, nous avons constaté qu'elle fonctionnait comme un publiciel - elle affichait des publicités intrusives. Il est courant que les publiciels soient promus et distribués à l'aide de méthodes louches. Nous avons découvert Snetchball après avoir téléchargé un programme d'installation malveillant à partir d'une page Web non fiable.

Qu'est-ce que Split Files ?

Lors de l'inspection de sites Web suspects, nos chercheurs ont trouvé une page trompeuse faisant la promotion d'un assistant de téléchargement malveillant. Après l'installation sur notre machine de test, nous avons appris qu'il était fourni avec une variété de logiciels nuisibles, y compris Split Files (également intitulé Split Files Setup). Cette application fonctionne comme un publiciel et peut avoir des fonctionnalités dangereuses supplémentaires.

Qu'est-ce que Library Games ?

Nous avons découvert l'application Library Games après avoir téléchargé et utilisé un programme d'installation malveillant. Après avoir testé Library Games, nous avons constaté qu'il affichait des publicités intrusives. Ainsi, nous avons classé Library Games comme publiciel. Cette application s'exécute dans le Gestionnaire des tâches en tant que Library Games 1.1.

Quel type de courriel est "Unknown Browser Login" ?

Notre inspection du courriel "Unknown Browser Login" a révélé qu'il s'agissait d'un spam fonctionnant comme une escroquerie par hameçonnage. Elle se présente comme une notification de sécurité de compte de messagerie avertissant le destinataire qu'il y a eu une connexion suspecte. Ce spam vise à extraire les mots de passe des comptes de messagerie des utilisateurs via une fausse page de connexion.

Quel type d'application est ExtendedTech ?

En testant l'application ExtendedTech, notre équipe a découvert qu'elle affichait des publicités intrusives. Par conséquent, nous avons classé cette application comme publiciel. Il est courant que les publiciels soient promus et distribués à l'aide de méthodes douteuses (souvent trompeuses). Ainsi, les utilisateurs les téléchargent et les installent souvent par inadvertance.

Quel type de maliciel est Mao ?

Lors de l'inspection d'échantillons de maliciels soumis au site Web de VirusTotal, nous avons découvert une variante d'un rançongiciel appartenant à la famille Dharma surnommée Mao. Nous avons découvert que Mao chiffre les fichiers et ajoute l'identifiant de la victime, l'adresse courriel sony.mao@techmail.info et l'extension ".mao" aux noms de fichiers.

Mao affiche aussi une fenêtre pop-up et dépose le fichier "info.txt" (fournit deux notes de rançon). Un exemple de la façon dont Mao modifie les noms de fichiers : il renomme "1.jpg" en "1.jpg.id-9ECFA84E.[sony.mao@techmail.info].mao", "2.png" en "2.png.id -9ECFA84E.[sony.mao@techmail.info].mao", et ainsi de suite.

Quel type de maliciel est Ekipa ?

Ekipa est le nom d'un cheval de Troie d'administration à distance (RAT) vendu sur un forum de hackers pour 4 500 $. Les pirates utilisent des RAT pour effectuer des activités malveillantes à distance sur des ordinateurs infectés. le RAT Ekipa peut collecter des informations système, gérer des fichiers et effectuer d'autres tâches. Il doit être immédiatement supprimé des ordinateurs infectés.

Qu'est-ce que BetterSearch Default Search ?

BetterSearch Default Search est une extension de navigateur que nous avons trouvée lors de l'inspection de sites Web non fiables. Nos chercheurs ont classé ce logiciel comme étant un pirate de navigateur. BetterSearch Default Search fonctionne en modifiant les paramètres du navigateur et promeut le faux moteur de recherche better-search.xyz.

Qu'est-ce que le rançongiciel CatB ?

CatB est un programme de type rançongiciel. Il crypte les données et exige un paiement pour le décryptage. En testant ce rançongiciel, nous avons appris qu'il ne modifie pas les noms de fichiers des fichiers cryptés - un phénomène rare dans ces types d'infections.

CatB insère des notes de rançon au début de chaque fichier crypté. Par conséquent, le message apparaît lorsqu'un fichier crypté est ouvert. De plus, il ressort clairement des notes que le rançongiciel CatB cible les entreprises plutôt que les particuliers.