Guide de suppression de virus et de logiciels malveillants, instructions de désinstallation.

Qu'est-ce que l'arnaque par courriel "Your Order Is Processed" ?

Après avoir analysé deux courriels "Your Order Is Processed", nous avons déterminé qu'il s'agissait de spam. Ces lettres font des déclarations similaires sur le destinataire qui prétendent qu'il a acheté un article coûteux auprès d'un détaillant bien connu. Le but est d'inciter le destinataire à appeler le numéro de téléphone fourni pour annuler l'achat - et ainsi être attiré dans une arnaque élaborée.

Notez qu'il peut y avoir d'autres variantes de ce courrier indésirable, en dehors des deux que nous avons inspectées. Il convient de souligner que les courriels "Your Order Is Processed" sont faux et que les entités légitimes qui y sont mentionnées (par exemple, Walmart, Target, PayPal, etc.) ne sont pas associées à l'escroquerie.

Qu'est-ce que le rançongiciel MLF ?

Notre équipe de recherche a découvert le programme de type rançongiciel MLF lors de l'inspection de nouvelles soumissions à VirusTotal. De plus, MLF appartient à la famille des rançongiciels Phobos.

Une fois qu'un échantillon de ce rançongiciel a été exécuté sur notre machine de test, il a crypté les fichiers et modifié leurs noms. Les titres des fichiers concernés étaient accompagnés d'un identifiant unique attribué à la victime, de l'adresse courriel des cybercriminels et d'une extension ".MLF". Par exemple, un fichier initialement nommé "1.jpg" apparaissait comme "1.jpg.id[9ECFA84E-3377].[DataRecovery1@cock.li].MLF", etc.

Ensuite, MLF a créé deux fichiers - "info.hta" (pop-up) et "info.txt" - et les a déposés sur le bureau. Ces fichiers contenaient les notes de rançon.

Qu'est-ce que Bobik ?

Bobik est un maliciel classé comme RAT (Remote Access Trojan - Cheval de Troie d'Accès à Distance). Ces chevaux de Troie sont conçus pour permettre l'accès/le contrôle à distance des machines infectées. Bobik peut effectuer diverses activités malveillantes, notamment provoquer des infections en chaîne, voler des données et ajouter des appareils compromis dans un botnet pour lancer des attaques DDoS.

Ce maliciel a été activement utilisé dans des attaques géopolitiques contre l'Ukraine et ses alliés. Les attaques DDoS activées par Bobik sont des éléments de la cybercriminalité dans la guerre ukrainienne.

Cette activité a été liée à un groupe de hackers pro-russe peu connu appelé NoName057(16) ; vérifié par les preuves recueillies par les chercheurs d'Avast - telles que la vantardise du groupe sur Telegram coïncidant avec les attaques DDoS de Bobik. Cependant, Avast a également estimé que les taux de réussite de ce groupe de pirates variaient de 20 à 40 %.

Qu'est-ce que le rançongiciel Bl00dy ?

Bl00dy est le nom d'un programme de type rançongiciel, que nos chercheurs ont découvert en examinant les nouvelles soumissions de maliciels à VirusTotal. Ce programme malveillant fait partie de la famille des rançongiciels Babuk.

Une fois qu'un échantillon de Bl00dy a été exécuté sur notre système de test, il a commencé à chiffrer les fichiers et à ajouter à leurs noms une extension ".bl00dy". Par exemple, un nom de fichier original comme "1.jpg" apparaissait comme "1.jpg.bl00dy", "2.png" comme "2.png.bl00dy", et ainsi de suite.

Une fois le cryptage terminé, le rançongiciel a déposé un fichier texte intitulé "Comment restaurer vos fichiers.txt" sur le bureau. Ce fichier contenait la note de rançon, ce qui montrait clairement que Bl00dy cible les entreprises plutôt que les particuliers. De plus, ce maliciel utilisait des tactiques de double extorsion.

Que sont les "extensions de navigateur Cookie Stuffing" ?

"Extensions de navigateur Cookie Stuffing" fait référence à des extensions de navigateur malveillantes conçues pour insérer des identifiants d'affiliés dans les cookies Internet de sites Web spécifiques.

Nous avons inspecté quatre de ces extensions. "AutoBuy Flash Sales, Deals, and Coupons" - avec la fonctionnalité promise d'effectuer des achats automatiques sur des offres à durée limitée. "FlipShope - Price Tracker Extension" - capable de suivre et d'avertir les utilisateurs lorsque des remises et d'autres offres sont disponibles.

"Full Page Screenshot Capture - Screenshotting" - outil de prise et d'édition de capture d'écran de page Web. "Netflix Party" - permettant aux utilisateurs de regarder à distance des émissions Netflix en groupe.

Il faut souligner que les fonctionnalités offertes par ces logiciels fonctionnent rarement comme promis et, dans la plupart des cas, elles ne fonctionnent pas du tout. Ces quatre extensions ont placé des identifiants d'affiliés dans des cookies de sites Web de commerce électronique populaires. De plus, elles ont toutes des capacités de suivi des données.

Qu'est-ce que l'escroquerie par courriel "you have used up your mail storage" ?

"You have used up your mail storage" (You have used up your mail storage) est le nom d'une campagne de spam par courriel. Ces lettres affirment que les comptes de messagerie des destinataires seront bloqués en raison du dépassement des limites de stockage - à moins qu'ils ne soient mis à niveau. Le but de ce courrier indésirable est de pousser un site Web d'hameçonnage déguisé en page Web de connexion à un compte de messagerie.

Quel type de logiciel est Cash ?

Nos chercheurs ont découvert l'application malveillante Cash lors de l'inspection d'installateurs suspects. Après avoir analysé cette application, nous avons appris qu'il s'agit d'un logiciel financé par la publicité (publiciel).

Quel type de maliciel est Icarus ?

Icarus est le nom d'un programme malveillant de type voleur. Il est conçu pour extraire une grande variété de données vulnérables des machines infectées. Les menaces posées par les maliciels de ce type peuvent varier en fonction des objectifs des cybercriminels et de la sensibilité des données stockées sur les appareils des victimes.

Qu'est-ce que Zanubis ?

Zanubis est un maliciel classé comme cheval de Troie bancaire. Ce maliciel cible les systèmes d'exploitation Android (OS). La fonction principale de ce programme est d'obtenir furtivement des informations d'identification de compte bancaire en ligne et d'accéder aux fonds qui y sont stockés. Zanubis cible les banques latino-américaines, en particulier celles basées au Pérou.

Qu'est-ce que Weekly Hits ?

Lors de l'inspection d'installateurs de maliciels, nos chercheurs ont découvert l'extension de navigateur Weekly Hits. Cette extension promet de permettre aux utilisateurs d'accéder rapidement aux paroles des chansons les plus recherchées de la semaine. Après avoir analysé ce logiciel, nous avons déterminé qu'il s'agissait d'un pirate de navigateur faisant la promotion du faux moteur de recherche week-end.xyz.