Πώς να απαλλαγείτε από το κακόβουλο λογισμικό TrickBot (04.25.24)

Οι χάκερ γίνονται πιο δημιουργικοί στο σχεδιασμό κακόβουλου λογισμικού για να τα κάνουν πιο ισχυρά, πιο επικίνδυνα και πιο αποτελεσματικά. Ένα κακόβουλο λογισμικό που κλέβει κωδικούς πρόσβασης ή καταγράφει τις δραστηριότητες του πληκτρολογίου σας φαίνεται τώρα στοιχειώδες. Πρέπει να είστε στο επίπεδο ενός ransomware ή ενός crypto-miner για να μπορείτε να ξεχωρίσετε σε αυτόν τον ανταγωνιστικό κλάδο.

Λόγω αυτής της τάσης, οι οντότητες κακόβουλου λογισμικού συνεχίζουν να γίνονται πιο επιθετικές και περίπλοκες όσο ο χρόνος περνάει. Ένα τέλειο παράδειγμα είναι το κακόβουλο λογισμικό TrickBot. Αυτό το κακόβουλο λογισμικό σχεδιάστηκε για να θέτει σε κίνδυνο τα μηνύματα ηλεκτρονικού ταχυδρομείου και υπάρχει εδώ και αρκετό καιρό. Στην πραγματικότητα, το κακόβουλο λογισμικό TrickBot έχει παραβιάσει 250 εκατομμύρια λογαριασμούς email μέχρι στιγμής.

Το κακόβουλο λογισμικό TrickBot υπάρχει από το 2016. Αλλά αντί να μειώνεται ή να εξαφανίζεται, το κακόβουλο λογισμικό παρέμεινε ισχυρό και εξελίχθηκε με την πάροδο των ετών. Θεωρείται ακόμη μία από τις κορυφαίες απειλές που στοχεύουν επιχειρήσεις σήμερα. Τα τελευταία χρόνια είδαμε το κακόβουλο λογισμικό να εξελίσσεται και να προσθέτει νέα λειτουργικότητα που το καθιστά πολύ πιο τρομακτικό από ό, τι στο παρελθόν.

Τι μπορεί να κάνει το TrickBot Malware;

Το TrickBot είναι αρχικά ένας τραπεζικός Trojan, ακριβώς όπως το κακόβουλο λογισμικό Emotet . Έχει σχεδιαστεί για να κλέβει τραπεζικές και άλλες χρηματοοικονομικές πληροφορίες από τον μολυσμένο υπολογιστή. Συνήθως διαδίδεται μέσω ηλεκτρονικού ψαρέματος ηλεκτρονικού ψαρέματος που αποστέλλεται σε ανυποψίαστο προσωπικό οργανισμών ή εταιρειών. Για παράδειγμα, θα μπορούσε να μεταμφιέζεται ως ένα ψεύτικο βιογραφικό που έστειλε ένας αιτών στο προσωπικό ανθρωπίνων reimgs ή ένα ψευδές τιμολόγιο που στάλθηκε στη λογιστική υπηρεσία. Το κακόβουλο λογισμικό TrickBot κρύβεται στο μολυσμένο αρχείο Microsoft Word ή Excel που είναι συνημμένο στο email.

Μόλις εισέλθει το κακόβουλο λογισμικό, μπορεί εύκολα να εξαπλωθεί μέσω του οργανισμού με πολλούς τρόπους. Ο ευκολότερος τρόπος είναι να εκμεταλλευτείτε τις ευπάθειες στο Server Message Block (SMB), ένα πρωτόκολλο κοινής χρήσης αρχείων που χρησιμοποιείται από εταιρείες. Επιτρέπει στους χρήστες των Windows στο ίδιο δίκτυο να μοιράζονται και να έχουν εύκολη πρόσβαση σε αρχεία.

Σύμφωνα με τους ειδικούς ασφαλείας στο DeepInstinct, το TrickBot έχει εξελιχθεί σε μια «ισχυρή, περίπλοκη και εξελιγμένη απειλή, πολλαπλών σκοπών για διάφορους τύπους κακόβουλων δραστηριότητα." Ανακάλυψαν μια παραλλαγή του κακόβουλου λογισμικού TrickBot, που ονομάζεται TrickBooster, μια κακόβουλη μονάδα διανομής βάσει email που συλλέγει μηνύματα ηλεκτρονικού ταχυδρομείου και επαφές από το βιβλίο διευθύνσεων και τους λογαριασμούς email του μολυσμένου υπολογιστή. Το κακόβουλο λογισμικό στέλνει στη συνέχεια ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου από τον λογαριασμό email του χρήστη και διαγράφει τα απεσταλμένα μηνύματα για να αποφύγει τον εντοπισμό. Αυτός είναι ο τρόπος με τον οποίο το κακόβουλο λογισμικό διαδίδεται γρήγορα και συλλέγει λογαριασμούς email για σκοπούς δημιουργίας εσόδων.

Συνοπτικά, το κακόβουλο λογισμικό TrickBot λειτουργεί σε τέσσερα στάδια:

  • Ο υπολογιστής του θύματος μολύνεται με το TrickBot και λαμβάνει οδηγίες από τον διακομιστή ελέγχου TrickBot για λήψη του TrickBooster.
  • Το ληφθέν TrickBooster αναφέρει στη συνέχεια στον διακομιστή ελέγχου και στέλνει λίστες συλλεγμένων διευθύνσεων email και διαπιστευτηρίων σύνδεσης από τον μολυσμένο υπολογιστή.
  • Ο διακομιστής ελέγχου TrickBooster, στη συνέχεια, δίνει εντολή στο bot κακόβουλου λογισμικού να στείλει κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου από τους λογαριασμούς email του θύματος.
  • Το bot TrickBooster στέλνει μηνύματα spam για να διαδώσει το κακόβουλο λογισμικό περαιτέρω.

Σύμφωνα με την έρευνα του DeepInstinct, η βάση δεδομένων κακόβουλου λογισμικού του TrickBot περιείχε περίπου 250 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου που είχαν πρόσφατα συλλεχθεί. Από τα 250 εκατομμύρια διευθύνσεις ηλεκτρονικού ταχυδρομείου, 25 εκατομμύρια προήλθαν από το Gmail, 21 εκατομμύρια από το Yahoo !, 11 εκατομμύρια από το Hotmail και 10 εκατομμύρια από την AOL και MSN. Οι υπόλοιπες καταχωρήσεις προήλθαν από τομείς email που ανήκουν σε εταιρείες και κυβερνητικές υπηρεσίες. Υπήρξαν ακόμη και διευθύνσεις ηλεκτρονικού ταχυδρομείου που συλλέχθηκαν από το Υπουργείο Δικαιοσύνης των ΗΠΑ, την Εσωτερική Ασφάλεια, την IRS, τη NASA και την ATF. Κακόβουλο λογισμικό TrickBot. Βλέπετε, αυτό το κακόβουλο λογισμικό είναι πολύ ύπουλο και μπορεί να είναι πολύ δύσκολο να εντοπιστεί. Δεδομένου ότι διαγράφει όλα τα απεσταλμένα μηνύματα, δεν θα μπορείτε να παρατηρήσετε τίποτα, εκτός εάν κάποιος από τον οποίο στάλθηκε το ανεπιθύμητο μήνυμα ηλεκτρονικού ταχυδρομείου για να σας ειδοποιήσει. Σε αυτήν την περίπτωση, η επαγρύπνηση είναι η καλύτερη μορφή προστασίας από αυτό το δύσκολο κακόβουλο λογισμικό

Ακολουθούν ορισμένες συμβουλές για να αποτρέψετε το TrickBot να μολύνει τον υπολογιστή σας και να προστατεύσει τα δεδομένα σας:

  • Εγκαταστήστε όλες τις διαθέσιμες ενημερώσεις των Windows. Η Microsoft κυκλοφορεί τις πιο πρόσφατες ενημερώσεις ασφαλείας μέσω του Windows Update, οπότε φροντίστε να τις εγκαταστήσετε όταν είναι διαθέσιμες. Μπορείτε επίσης να ελέγξετε με μη αυτόματο τρόπο το Windows Update μεταβαίνοντας στις Ρυθμίσεις & gt; Ενημέρωση & amp; Ασφάλεια & gt; Ενημερωμένη έκδοση για Windows. Κάντε κλικ στο κουμπί Έλεγχος για ενημερώσεις για να δείτε εάν υπάρχουν νέες ενημερώσεις που πρέπει να εγκατασταθούν.
  • Ενημερώστε το λογισμικό προστασίας από ιούς, συμπεριλαμβανομένων εκείνων από υπολογιστές που είναι συνδεδεμένοι στο ίδιο δίκτυο.
  • Να είστε προσεκτικοί κατά το άνοιγμα μηνυμάτων ηλεκτρονικού ταχυδρομείου, ειδικά εκείνων με συνημμένα. Τα ηλεκτρονικά μηνύματα ηλεκτρονικού "ψαρέματος" είναι ο νούμερο ένα τρόπος διανομής του κακόβουλου λογισμικού TrickBot, οπότε δώστε ιδιαίτερη προσοχή σε ασυνήθιστα μηνύματα ηλεκτρονικού ταχυδρομείου που λαμβάνετε. Εάν λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου από έναν τομέα εκτός του δικτύου της εταιρείας σας και το θέμα του μηνύματος ηλεκτρονικού ταχυδρομείου σχετίζεται με την εργασία, αναζητήστε πρώτα τον τομέα για να επαληθεύσετε εάν το μήνυμα ηλεκτρονικού ταχυδρομείου είναι νόμιμο. Μπορεί να είναι πολύ δύσκολο να προσδιοριστεί η αυθεντικότητα του μηνύματος ηλεκτρονικού ταχυδρομείου, καθώς το κακόβουλο λογισμικό μιμείται συνήθως πραγματικές επιχειρήσεις για να εξαπατήσει τους χρήστες να το ανοίξουν.
  • Μην δίνετε τα διαπιστευτήριά σας για σύνδεση Ορισμένοι εισβολείς TrickBot στοχεύουν χρήστες PayPal και τους εξαπατούν για να δώσουν τα στοιχεία σύνδεσής τους. Εάν κάνετε κλικ σε έναν σύνδεσμο και σας ζητηθεί να συνδεθείτε, είτε πρόκειται για PayPal, email ή άλλους λογαριασμούς, κλείστε αμέσως το πρόγραμμα περιήγησης.
Τρόπος κατάργησης του κακόβουλου λογισμικού TrickBot

Όπως αναφέρθηκε προηγουμένως, το TrickBot είναι πολύ δύσκολο να αντιμετωπιστεί. Είναι μια από τις μεγαλύτερες απειλές στον κυβερνοχώρο σήμερα και η απαλλαγή της απαιτεί πολλή προσπάθεια και προσοχή. Αυτός ο τύπος Trojan ξέρει πώς να κρύβεται καλά, οπότε πρέπει να είστε προσεκτικοί κατά την εξάλειψη αυτού του κακόβουλου λογισμικού. Συνήθως κρύβει τα κακόβουλα αρχεία μέσα στο σύστημα, καθιστώντας δύσκολο τον εντοπισμό και την αφαίρεση.

Εάν υποψιάζεστε ότι ο υπολογιστής σας έχει μολυνθεί από κακόβουλο λογισμικό TrickBot, ακολουθήστε τον παρακάτω οδηγό σχετικά με τον τρόπο διαγραφής και βεβαιωθείτε ότι δεν επιστρέφει.

Βήμα 1: Εκκίνηση σε ασφαλή λειτουργία.

Η εκκίνηση σε ασφαλή λειτουργία απενεργοποιεί όλες τις περιττές διαδικασίες τρίτων, ώστε να μπορείτε εύκολα να διακρίνετε τις ύποπτες διαδικασίες που εκτελούνται στον υπολογιστή σας. Για εκκίνηση σε ασφαλή λειτουργία, ακολουθήστε τα παρακάτω βήματα:

  • Κάντε κλικ στην επιλογή Έναρξη και, στη συνέχεια, κάντε κλικ στο εικονίδιο του κουμπιού λειτουργίας στην κάτω αριστερή γωνία του μενού. Αυτό θα αποκαλύψει το μενού επιλογών ενέργειας.
  • Κρατήστε πατημένο το κουμπί Shift στο πληκτρολόγιό σας και, στη συνέχεια, κάντε κλικ στην επιλογή Επανεκκίνηση
  • Ο υπολογιστής σας θα επανεκκινήσει και θα μεταβεί σε Ασφαλή λειτουργία .
    • Βήμα 2: Απεγκατάσταση ύποπτων προγραμμάτων.

    Τα περισσότερα κακόβουλα προγράμματα εγκαθιστούν άλλο κακόβουλο λογισμικό στον υπολογιστή σας. Στην περίπτωση του TrickBot, κατεβάζει και εγκαθιστά το TrickBooster για τη συλλογή διευθύνσεων email και στοιχείων επικοινωνίας στον μολυσμένο υπολογιστή. Πρέπει να ελέγξετε ποια προγράμματα που είναι εγκατεστημένα στον υπολογιστή σας είναι νόμιμα και ποια είναι ύποπτα.

    Για να απεγκαταστήσετε ύποπτες εφαρμογές από τον υπολογιστή σας, κάντε τα εξής:

  • Άνοιγμα Εκτέλεση πατώντας ταυτόχρονα τα κουμπιά Windows + R .
  • Πληκτρολογήστε appwiz.cpl στο πλαίσιο διαλόγου και, στη συνέχεια, κάντε κλικ στο κουμπί OK Αυτό θα ανοίξει τον Πίνακα Ελέγχου.
  • Αναζητήστε προγράμματα που δεν έχετε εγκαταστήσει και, στη συνέχεια, απεγκαταστήστε τα.
    • Βήμα 3: Απενεργοποίηση ύποπτων καταχωρίσεων εκκίνησης.

    Το TrickBot, όπως και άλλα κακόβουλα προγράμματα, έχει σχεδιαστεί για να λειτουργεί όταν φορτώνεται το σύστημα. Πρέπει να ελέγξετε τα στοιχεία εκκίνησης για να ανακαλύψετε εάν υπάρχουν άγνωστες διαδικασίες κατά τη διάρκεια της εκκίνησης.

    Για να το κάνετε αυτό:

  • Άνοιγμα Εκτέλεση πατώντας το < Ισχυρά> κουμπιά Windows + R .
  • Πληκτρολογήστε msconfig στο πλαίσιο διαλόγου και, στη συνέχεια, πατήστε Enter . Αυτό θα πρέπει να ανοίξει τις Υπηρεσίες παράθυρο.
  • Κάντε κλικ στο Εκκίνηση καρτέλα.
  • Αναζητήστε καταχωρήσεις με Άγνωστο < στην κατηγορία Κατασκευαστής και καταργήστε την επιλογή τους.
    • Βήμα 4: Σκοτώστε ύποπτες διαδικασίες.

    Εκτός από την απενεργοποίηση ύποπτων καταχωρίσεων εκκίνησης και την απεγκατάσταση πλαστών προγραμμάτων, είναι επίσης σημαντικό να ελέγξετε ποια οι διαδικασίες που εκτελούνται στον υπολογιστή σας είναι κακόβουλο λογισμικό. Πρέπει να σκοτώσετε αυτές τις διαδικασίες αμέσως και να διαγράψετε τους καταλόγους όπου τα αρχεία τους είναι κρυμμένα. Για να το κάνετε αυτό:

  • Πατήστε Ctrl + Shift + Esc για να ανοίξετε το Διαχείριση εργασιών.
  • Κάντε κλικ στο Διαδικασίες καρτέλα .
  • Προσδιορίστε ποιες διεργασίες είναι οντότητες κακόβουλου λογισμικού μέσω αυτών. κάντε κλικ στην ύποπτη διαδικασία και, στη συνέχεια, επιλέξτε Άνοιγμα τοποθεσίας αρχείου . Αυτό θα ανοίξει τον κατάλογο όπου βρίσκονται τα αρχεία της διαδικασίας.
  • Επιστρέψτε στη Διαχείριση εργασιών, κάντε δεξί κλικ στην ύποπτη διαδικασία ξανά και κάντε κλικ στην επιλογή Τερματισμός διαδικασίας
  • Επιστρέψτε στον ανοιχτό φάκελο και διαγράψτε όλα τα αρχεία.
    • Βήμα 5: Σάρωση του υπολογιστή σας χρησιμοποιώντας Anti-Malware.

    Για να απαλλαγείτε από το TrickBot, συνιστάται να σαρώστε τον υπολογιστή σας και τους καταλόγους του χρησιμοποιώντας το ενημερωμένο λογισμικό προστασίας από κακόβουλο λογισμικό . Μόλις εντοπιστεί, ακολουθήστε τις οδηγίες για να απαλλαγείτε εντελώς από το κακόβουλο λογισμικό TrickBot.

    Βήμα 6: Διαγραφή αρχείων από αριστερά.

    Ένας από τους λόγους για τους οποίους το TrickBot είναι δύσκολο να αφαιρεθεί είναι επειδή κρύβει τα αρχεία του πολύ καλά. Πρέπει να βεβαιωθείτε ότι όλα τα αρχεία που σχετίζονται με το κακόβουλο λογισμικό έχουν διαγραφεί για να αποτραπεί η επιστροφή του. Αυτά τα αρχεία συνήθως κρύβονται σε καταλόγους με τυχαία ονόματα. Μπορείτε να πραγματοποιήσετε αναζήτηση σε αυτούς τους φακέλους για να δείτε αν υπάρχουν αρχεία TrickBot που παραμένουν πίσω:

    • C: \
    • C: \ Windows
    • C: \ Windows \ System32
    • C: \ Windows \ Syswow64
    • C: \ Windows \ ProgramData
    • % AppData% φάκελοι, ειδικά ο φάκελος Roaming
    Περίληψη

    Το κακόβουλο λογισμικό TrickBot μας δείχνει πώς ένα απλό κακόβουλο λογισμικό μπορεί να προσαρμοστεί στις νέες τεχνολογίες και να βελτιώσει το παιχνίδι τους. Η επαγρύπνηση και η ευαισθητοποίηση είναι η νούμερο ένα προστασία από επίμονο και δύσκολο να εντοπιστεί κακόβουλο λογισμικό όπως το TrickBot. Εάν πιστεύετε ότι το σύστημά σας έχει μολυνθεί, ακολουθήστε τον παραπάνω οδηγό μας για να καταργήσετε εντελώς το κακόβουλο λογισμικό TrickBot από τον υπολογιστή σας.

    Βίντεο YouTube: Πώς να απαλλαγείτε από το κακόβουλο λογισμικό TrickBot

    04, 2024