Guide de suppression de virus et de logiciels malveillants, instructions de désinstallation.

Qu'est-ce qu'ApolloRAT ?

ApolloRAT est un maliciel classé comme un RAT (Remote Access Trojan). Les maliciels de ce type permettent d'accéder et de contrôler à distance les appareils infectés.

ApolloRAT est écrit en Python. Les langages de programmation comme Python reposent généralement sur des compilateurs. Les développeurs de ce RAT ont utilisé le compilateur source à source Nuitka, ce qui est rare - mais sa complexité rend ApolloRAT difficile à désosser.

Il convient également de noter que ce maliciel utilise la plate-forme de messagerie Discord comme serveur C&C, ce qui ajoute encore une autre couche aux qualités d'ApolloRAT qui entravent sa détection.

Qu'est-ce que le rançongiciel Lilith ?

Lilith est le nom d'un programme malveillant classé comme rançongiciel. Les maliciels de cette catégorie sont conçus pour crypter les données et exiger un paiement pour le décryptage.

Lorsque nous avons exécuté un échantillon de Lilith sur notre machine de test, il a crypté les fichiers et ajouté une extension ".lilith". Par exemple, un fichier initialement intitulé "1.jpg" est apparu comme "1.jpg.lilith", "2.png" comme "2.png.lilith", etc. Ensuite, un message demandant une rançon nommé "Restore_Your_Files.txt" - a été créé sur le bureau.

Qu'est-ce que le rançongiciel NMO ?

En parcourant les nouvelles soumissions à VirusTotal, nos chercheurs ont trouvé un autre programme de type rançongiciel - appelé NMO - qui appartient à la famille des rançongiciels Dharma.

Après avoir exécuté un échantillon de NMO sur notre machine de test, il a chiffré les fichiers et modifié leurs noms. Les titres originaux étaient accompagnés d'un identifiant unique, de l'adresse courriel des cybercriminels et d'une extension ".NMO". Par exemple, un fichier nommé "1.jpg" apparaissait comme "1.jpg.id-9ECFA84E.[dr.nemo@tutanota.com].NMO".

Une fois le cryptage terminé, le rançongiciel a affiché une fenêtre pop-up et a déposé un fichier texte intitulé "info.txt" sur le bureau. La fenêtre pop-up et le fichier texte contenaient des notes de rançon.

Qu'est-ce que le publiciel Healthy ?

Healthy est une application malveillante, que notre analyse a révélée être un logiciel financé par la publicité (publiciel). Les applications de cette classification fonctionnent en exécutant des campagnes publicitaires intrusives, c'est-à-dire en affichant des publicités.

Qu'est-ce que le publiciel Strength ?

En inspectant des pages Web frauduleuses, nos chercheurs en ont découvert une faisant la promotion de l'application malveillante Strength. Après avoir analysé cette application, nous avons déterminé qu'elle fonctionne comme un logiciel financé par la publicité (publiciel).

Quel type de maliciel est Xrom ?

Lors de l'examen d'échantillons de maliciels soumis sur la page VirusTotal, notre équipe est tombée sur un rançongiciel appelé Xrom, qui appartient à la famille Dharma. Xrom crypte les fichiers et ajoute l'ID de la victime, l'adresse courriel money21@onionmail.org et l'extension ".xrom" aux noms de fichiers. En outre, il dépose le fichier "FILES ENCRYPTED.txt" et affiche une fenêtre pop-up contenant des notes de rançon.

Un exemple de la façon dont le rançongiciel Xrom modifie les noms de fichiers : il renomme "1.jpg" en "1.jpg.id-9ECFA84E.[money21@onionmail.org].xrom", "2.png" en "2.png.id- 9ECFA84E.[money21@onionmail.org].xrom", et ainsi de suite.

Qu'est-ce que le rançongiciel U2K ?

Lors de l'inspection de nouvelles soumissions à VirusTotal, nos chercheurs ont découvert le rançongiciel U2K. Nous avons déterminé que ce programme malveillant est identique au rançongiciel MME.

Après avoir lancé un échantillon d'U2K sur notre machine de test, il a crypté les fichiers et modifié leurs noms. Il a été ajouté aux noms de fichiers l'extension ".U2K", par exemple, un fichier initialement intitulé "1.jpg" apparaissait comme "1.jpg.U2K", "2.png" comme "2.png.U2K", etc. Une fois ce processus terminé, un message demandant une rançon - "ReadMe.txt" - a été créé.

Quel type de page est cleancaptcha[.]top ?

Cleancaptcha[.]top est un site Web trompeur que nous avons découvert lors de l'inspection de sites Web utilisant des réseaux publicitaires malveillants. Il affiche un contenu trompeur (un faux CAPTCHA) pour inciter les visiteurs à accepter de recevoir des notifications. De plus, cleancaptcha[.]top redirige vers des sites Web frauduleux.

Qu'est-ce que Getmut Cleaner ?

En inspectant des sites Web proposant des logiciels "crackés" à télécharger, notre équipe de recherche a découvert Getmut Cleaner PUA (Application Potentiellement Indésirable). La page Web promotionnelle "officielle" de l'application l'approuve comme outil capable de nettoyer, de protéger et d'améliorer les performances des systèmes d'exploitation.

Getmut Cleaner est classé comme PUA en raison des méthodes douteuses utilisées pour le distribuer. De plus, la plupart des applications indésirables offrent de fausses fonctionnalités pour inciter les utilisateurs à les acheter.

Plusieurs outils de sécurité sur VirusTotal classent cette application comme une menace pour les systèmes ; certains la détectent même comme "logiciel espion". Par conséquent, il est probable que Getmut Cleaner ait des capacités nuisibles qui incluent le suivi des données.

Qu'est-ce que Togo tab ?

Togo Tab est une extension de navigateur malveillante que nous avons trouvée lors de l'inspection de pages Web de téléchargement douteuses. Nous avons déterminé que ce logiciel fonctionne comme un pirate de navigateur. Il modifie les navigateurs et promeut le moteur de recherche illégitime togosearching.com.