Guide de suppression de virus et de logiciels malveillants, instructions de désinstallation.

Qu'est-ce que Phoenix Phobos ?

Découvert pour la première fois par GrujaRS et appartenant à la famille des rançongiciels Phobos, Phoenix-Phobos est un rançongiciel à haut risque conçu pour crypter les données et faire des demandes de rançon. Lors du chiffrement, Phoenix-Phobos renomme chaque fichier en ajoutant à leurs noms l'extension ".phoenix" plus l'identifiant unique de la victime et l'adresse courriel du développeur.

Par exemple, "sample.jpg" peut être renommé comme "sample.jpg.id[1E857D00-0001].[absonkaine@aol.com].phoenix". Les variantes mises à jour du rançongiciel Phoenix-Phobos utilisent l'extension ".[britt.looper@aol.com].phoenix" pour les fichiers chiffrés. De plus, Phoenix-Phobos place les fichiers "info.hta" (qui s'ouvre également) et "info.txt" sur le bureau.

Qu'est-ce que DevilsTongue ?

D'abord étudié par Microsoft Threat Intelligence Center (MSTIC) en collaboration avec Citizen Lab, DevilsTongue est un maliciel multifonctionnel écrit en langages de programmation C et C++.

Les conclusions du MSTIC suggèrent que DevilsTongue est associé à des cybercriminels développant/vendant des maliciels et des packages d'outils de piratage pour la cyberguerre. Les cybercriminels derrière DevilsTongue, surnommé SOURGUM, sont soupçonnés d'être un groupe basé en Israël.

Les articles sophistiqués offerts par SOURGUM auraient été utilisés pour cibler plus d'une centaine de victimes, dont des politiciens, des employés d'ambassade, des universitaires, des militants des droits de l'homme, des journalistes et des dissidents politiques.

Qu'est-ce que le rançongiciel Redeemer ?

Un rançongiciel est un type de maliciel qui bloque l'accès aux fichiers en les cryptant, modifie leurs noms en ajoutant son extension et génère un message demandant une rançon.

Redeemer ajoute l'extension ".redeem", par exemple, il renomme un fichier nommé "1.jpg" en "1.jpg.redeem", "2.jpg" en "2.jpg.redeem", etc. Comme note de rançon, Redeemer crée le fichier texte "Read Me.TXT" (il crée sa note de rançon dans tous les dossiers contenant des fichiers cryptés).

Qu'est-ce qu'ANNABELLE ?

Découvert pour la première fois par Bart, ANNABELLE est un virus de type rançongiciel qui s'infiltre furtivement dans le système et crypte la plupart des fichiers stockés. Lors du cryptage, ce maliciel ajoute aux noms de fichiers l'extension ".ANNABELLE" (par exemple, "sample.jpg" est renommé en "sample.jpg.ANNABELLE").

À partir de ce moment, l'utilisation de fichiers devient impossible. Les résultats de la recherche montrent qu'après avoir réussi à chiffrer les fichiers, ANNABELLE effectue également diverses tâches pour corrompre le système et, après l'avoir redémarré, verrouille tout l'écran.

Qu'est-ce que BasicEngine ?

Nos chercheurs ont trouvé l'application malveillante BasicEngine lors de l'inspection de nouvelles soumissions à VirusTotal. Après avoir analysé cette application, nous avons déterminé qu'elle fonctionne comme un logiciel financé par la publicité (publiciel) et fait partie de la famille des maliciels AdLoad.

Qu'est-ce que le rançongiciel FARGO ?

FARGO est une nouvelle variante du rançongiciel TargetCompany. Les maliciels de ce type sont conçus pour crypter les données et exiger des rançons pour le décryptage.

Après avoir lancé un échantillon sur notre système de test, nous avons appris que ce rançongiciel chiffre les fichiers et ajoute à leurs noms une extension ".FARGO". Par exemple, un fichier initialement intitulé "1.jpg" apparaissait comme "1.jpg.FARGO", "2.png" comme "2.png.FARGO", et ainsi de suite.

Une fois le processus de cryptage terminé, FARGO a déposé une note de rançon nommée "FILE RECOVERY.txt" sur le bureau.

Quel type de maliciel est CloudMensis ?

Lors de l'analyse des échantillons soumis à la page VirusTotal, notre équipe a découvert un logiciel espion ciblant les utilisateurs de macOS appelé CloudMensis. Il a été constaté que CloudMensis est écrit en langage de programmation Objective-C. Il peut exfiltrer des documents et des pièces jointes, capturer l'écran, enregistrer les frappes au clavier et voler d'autres données sensibles.

Qu'est-ce que le rançongiciel H0lyGh0st ?

H0lyGh0st, également connu sous le nom de HolyGhost, est un programme de type rançongiciel. Il est conçu pour chiffrer les données et demander une rançon pour le déchiffrement. En outre, les infections d'H0lyGh0st sont connues pour impliquer des tactiques de double extorsion (c'est-à-dire des menaces supplémentaires impliquant des fuites de données).

Ce maliciel a été associé à des cybercriminels nord-coréens ciblant les petites et moyennes entreprises ; le Microsoft Threat Intelligence Center suit cette activité.

Après avoir lancé un échantillon de H0lyGh0st sur notre système de test, il a chiffré les fichiers et modifié leurs noms. Les noms de fichiers d'origine ont été remplacés par une chaîne de caractères aléatoires et l'extension ".h0lyenc" a été ajouté. Par exemple, un fichier intitulé "1.jpg" apparaissait comme "U3RhcnQgVG9yIEJyb3dzZXIubG5r.h0lyenc", "2.png" comme "SVBWYW5pc2gubG5r.h0lyenc", etc.

Ensuite, un fichier HTML nommé "FOR_DECRYPT.html" a été déposé sur le bureau. Ce fichier contenait le message demandant une rançon.

Qu'est-ce que l'escroquerie par courriel Beneficiary/Inheritance ?

Généralement, les escrocs derrière les escroqueries par courriel comme celle-ci tentent de faire croire aux destinataires qu'ils sont les bénéficiaires d'un testament, d'une police d'assurance-vie, etc. Les escrocs demandent aux destinataires de les contacter et de fournir diverses informations. À un moment donné, les destinataires sont invités à payer des frais de traitement ou des frais de transfert.

Notez que les escrocs exploitent les noms d'organisations et d'entreprises existantes, souvent bien connues, pour donner l'impression que leurs courriels sont légitimes.

Qu'est-ce que "Chance To Win The New iPad Pro" ?

Il est courant que les escrocs utilisent des sites Web d'hameçonnage pour inciter les utilisateurs à fournir des informations sensibles. Cependant, il est rare que ces pages soient visitées intentionnellement par les utilisateurs.

Dans la plupart des cas, les pages d'hameçonnage s'ouvrent après avoir cliqué sur des publicités louches, via d'autres pages douteuses ou par des applications potentiellement indésirables (PUA) d'installées.

La plupart des escrocs utilisent ces pages pour inciter les utilisateurs peu méfiants à fournir des identifiants de connexion (par exemple, noms d'utilisateur, adresses courriel, mots de passe), des numéros de compte bancaire, des détails de carte de crédit, des numéros de sécurité sociale ou d'autres informations personnelles sensibles.