Ratgeber zum entfernen von viren und spyware, anleitung zum deinstallieren

as ist Adair?

Adair ist Teil der Phobos Ransomware-Familie. Wie die meisten Programme dieser Art verschlüsselt Adair Dateien, ändert ihre Dateinamen und gibt den Opfern Anweisungen, wie sie die Entwickler kontaktieren können.

Diese Ransomware benennt jede Datei um, indem sie die ID des Opfers und die E-Mail-Adresse der Entwickler hinzufügt und die Erweiterung ".Adair" an den Dateinamen anhängt. Beispielsweise wird "1.jpg" in "1.jpg.id[1E857D00-2261].[kusachi@cock.li].Adair" umbenannt, und so weiter.

Es bietet auch zwei Lösegeldnotizen: eine in einer Textdatei namens "info.txt" und eine weitere in einem Pop-up-Fenster, das über die Datei "info.hta" gestartet wird.

Was ist Dever?

Dever gehört zur Malware-Familie Crysis/Dharma und ist ein bösartiges Programm vom Typ Ransomware. Bei Geräten, die damit infiziert sind, werden die Daten verschlüsselt, und von den Opfern wird ein Lösegeld für die Entschlüsselungssoftware/-werkzeuge abverlangt.

Da Dever Dateien verschlüsselt, benennt es sie nach diesem Muster neu: eindeutige ID, E-Mail-Adresse der Entwickler (es gibt mehrere Mails, die die Cyberkriminellen hinter dieser Infektion verwenden, daher gibt es mehr als eine Variante in den geänderten Dateinamen) und hängt sie mit der Erweiterung ".Dever" an. Beispielsweise würde eine Datei wie "1.jpg" als etwas Ähnliches wie "1.jpg.id[1E857D00-2544].[lizethroyal@aol.com].Dever" nach der Verschlüsselung erscheinen.

Sobald dieser Prozess abgeschlossen ist, wird eine Textdatei - "info.txt" - und eine HTML-Anwendung - "info.hta" - auf dem Desktop erstellt. Aktualisierte Varianten dieser Ransomware verwendet ".[charlesetta.embody@aol.com]. Dever" für verschlüsselte Dateien.

Was ist Search by Live PDF Converter?

Search by Live PDF Converter ist ein Browserentführer. Er arbeitet mit modifizierten Browsern, um ihre gefälschte Suchmaschine - feed.livepdfconverter.com - zu fördern.

Darüber hinaus verfügt er über Datenverfolgungsfunktionen, mit denen die Surfgewohnheiten der Benutzer ausspioniert werden können. Aufgrund seiner zweifelhaften Verbreitungsmethoden wird Search by Live PDF Converter auch als PUA (potenziell unerwünschte Anwendung) angesehen.

Was ist hecktasit.club?

Hecktasit.club ist die Adresse einer gefälschten Suchmaschine und einer Webseite, die bei direktem Zugriff nicetab.live öffnet. Nicetab.live ist eine Downloadseite des NiceTab Startseiten-Browserentführers.

Typischerweise werden gefälschte Suchmaschinen durch betrügerische Downloadprogramme beworben, d.h. durch Installationsprogramme, die so konzipiert sind, dass sie die Browsereinstellungen ändern. Mit anderen Worten, man benutzt in der Regel nicht absichtlich gefälschte Suchmaschinen. Außerdem sind die meisten von ihnen dazu bestimmt, Informationen über die Surfgewohnheiten/-Aktivitäten der Benutzer zu sammeln.

Was ist NiceTab StartPage?

NiceTab StartPage ist ein Browserentführer, der als Werkzeug für die Anpassung der Startseiten-Schnittstelle des Browsers anerkannt ist. Zu diesen beworbenen Funktionen gehören: verschiedene Widgets (z.B. Ortszeit, aktuelles Wetter und Vorhersagen usw.), Auswahl von Hintergrundbildern auf der Startseite und so weiter.

NiceTab StartPage ändert jedoch die Einstellungen des Browsers, um nicetab.live - eine gefälschte Suchmaschine - zu fördern. Darüber hinaus können die meisten Softwareprogramme, die als Browserentführer klassifiziert sind, Informationen über das Surfen sammeln. Aufgrund der dubiosen Verbreitungsmethoden von NiceTab StartPage wird er auch als PUA (potenziell unerwünschte Anwendung) betrachtet.

Was ist DynoAppSearch?

DynoAppSearch ist eine potentiell unerwünschte Anwendung (PUA), ein Browserentführer. Sie fördert dynoappsearch.com, eine gefälschte Suchmaschine, indem sie die Einstellungen des Browsers ändert und Informationen über die Surfaktivitäten/Gewohnheiten der Benutzer sammelt. In den meisten Fällen laden Menschen unwissentlich solche Anwendungen herunter und installieren sie.

Was ist Snake?

Snake Ransomware wurde vom MalwareHunterTeam entdeckt. Untersuchungen zeigen, dass die dahinter stehenden Cyberkriminellen auf Unternehmensnetzwerke abzielen. Snake wurde entwickelt, um Dateien zu verschlüsseln, die auf allen Computern in einem Netzwerk gespeichert sind. Es verschlüsselt sie mit den kryptographischen Algorithmen AES-256 und RSA-2048.

Außerdem wird eine Lösegeldforderung mit dem Namen "Fix-Your-Files.txt" erstellt. Die meisten Programme vom Typ Ransomware benennen verschlüsselte Dateien um, indem sie eine Erweiterung an ihren Dateinamen anhängen, Snake ändert ihre Namen jedoch in keiner Weise.

Was ist Pashka?

Pashka ist ein bösartiges Programm, das als Ransomware eingestuft wird. Es soll die Daten von infizierten Geräten verschlüsseln und die Bezahlung von Entschlüsselungswerkzeugen verlangen.

Es wird über ein gehacktes YouTube-Konto verbreitet - Noted; YouTuber Noted hat ein Video veröffentlicht, in dem es heißt, dass sein Konto gehackt wurde. Um genau zu sein, wird es über einen Link in der Beschreibung eines Videos mit dem Titel "Malwarebytes 4.0.4 Premium Key Cracked 2020 Protect Yourself" verbreitet.

Der Link führt zu einer Cloud-Speicherseite, von der (eine archivierte) bösartige ausführbare Datei heruntergeladen werden kann. Die Anweisungen zum "Knacken" (illegale Aktivierung) informieren die Benutzer, dass sie alle Antiviren-Software deaktivieren müssen.

Beim Verschlüsseln mit Pashka werden Dateien mit der Erweiterung ". pashka" angehängt. Beispielsweise würde eine Datei wie "1.jpg" als "1.jpg.pashka" erscheinen, und so weiter für alle betroffenen Dateien. Nachdem dieser Vorgang abgeschlossen ist, wird eine Textdatei - "HELP_ME_RECOVER_MY_FILES.txt" - auf dem Desktop abgelegt.

Was ist Deal?

Bei dem von dnwls0719 entdeckten Deal handelt es sich um bösartige Software aus der Phobos Ransomware-Familie. Sie ist so konzipiert, dass Daten verschlüsselt und unter Verschluss gehalten werden, bis ein Lösegeld für die Entschlüsselung gezahlt wird.

Während des Verschlüsselungsprozesses werden alle Dateien mit der eindeutigen ID-Nummer des Opfers, der E-Mail-Adresse des Entwicklers und der Erweiterung ".deal" umbenannt. Beispielsweise könnte "1.jpg" in "1.jpg.id[1E857D00-2423].[butters.felicio@aol.com].deal" umbenannt werden.

Nachdem der Prozess abgeschlossen ist, erstellt dieses bösartige Programm zwei Dateien mit den Namen "info.txt" und "info.hta" und speichert sie auf dem Desktop. Aktualisierte Varianten dieser Ransomware verwenden die Erweiterungen ".[kenny.sarginson@aol.com].deal", ".[harlin_marten@aol.com].deal", ".[lewisswaffield.a@aol.com].deal" und ".[relvirosa1981@aol.com].deal" für verschlüsselte Dateien.

Was ist s3.amazonaws[.]com?

S3.amazonaws[.]com ist eine Webseite, bei welcher beobachtet wurde, dass sie zum Zweck der Förderung einer Vielzahl von unerwünschten und bösartigen Inhalten verwendet wird. Bei ihrem Host handelt es sich um Amazon AWS (Amazon Web Services), dieser seriöse Dienstleister ist dafür bestimmt, verschiedene IT-bezogene Ressourcen/Funktionen zur Verfügung zu stellen.

Er wird jedoch häufig schmerzlich von Cyberkriminellen missbraucht, um als Host für bösartige Seiten zu dienen. Diese Seiten können dann dafür verwendet werden, verschiedene potenziell unerwünschte Anwendungen (falsche Systemreiniger/-Optimierer, Adware, Browserentführer, usw.) und Malware (Ransomware, Trojaner, usw.) zu verbreiten.

Diese Webseite generiert Weiterleitungen auf verschiedene seriöse und unseriöse Webseiten. Bei einer untersuchten Variante von s3.amazonaws[.]com arbeitet sie, indem sie ein falsches Adobe Flash Player Update programm fördert, welcher wiederum dafür verwendet werden kann, das System zu infiltrieren und/oder mit den zuvor genannten Inhalten zu infizieren.

Häufig besuchen s3.amazonaws[.]com unbeabsichtigt, sie werden von aufdringlichen Werbeanzeigen oder von PUAs umgeleitet, die das Gerät bereit infiziert haben.