Τι είναι το Orcus RAT (05.19.24)

Στον τομέα των υπολογιστών, ένας Δούρειος Δήμος αναφέρεται σε κακόβουλο λογισμικό που κρύβει την πραγματική του πρόθεση στο θύμα-στόχο. Προερχόμενος από την ελληνική μυθολογία που λέει την πτώση της πόλης της Τροίας μέσω της χρήσης ενός παραπλανητικού Δούρειου ίππου, τέτοιο κακόβουλο λογισμικό είναι μεταμφιεσμένο ώστε να φαίνεται ανύποπτο.

Υπάρχουν πολλοί τύποι Τρώων και ο αντίκτυπός τους είναι σοβαρός . Ως οντότητα κακόβουλου λογισμικού, μπορεί να προκαλέσει βλάβη τόσο στον χρήστη όσο και στη συσκευή. Σε αυτό το άρθρο, θα επικεντρωθούμε στο Orcus RAT (Remote Access Trojan).

Σχετικά με το Orcus RAT

Το Orcus RAT είναι ένας ιός υπολογιστών που διαδίδεται μέσω εξελιγμένων καμπανιών. Αυτό το κακόβουλο λογισμικό στοχεύει σε μεγάλο βαθμό τους επενδυτές Bitcoin σε μια προσπάθεια να εξαφανίσουν τα οικονομικά τους. Εμφανίστηκε το 2016 και έκτοτε κατάφερε να χτυπήσει πολλές τοποθεσίες σε ολόκληρο τον κόσμο. Αυτή η απειλή μπορεί να προκαλέσει σοβαρές οικονομικές απώλειες και κλοπή ταυτότητας.

Ένας χρήστης του Twitter που πήρε το όνομα Armada διερευνήθηκε μετά τη διάδοση του Trojan ως γνήσιου εργαλείου απομακρυσμένης διαχείρισης. Κατά τη διάρκεια της έρευνας, καταγράφηκε αυξημένος αριθμός μολυσμένων υπολογιστών στο Ηνωμένο Βασίλειο και τον Καναδά. Η εξάπλωση αυτού του ιού γίνεται μέσω καμπανιών ηλεκτρονικού ταχυδρομείου ηλεκτρονικού ψαρέματος (phear-phishing) και μέσω drive-by-downloads.

Τι κάνει το Orcus RAT;

Όταν το Orcus RAT εντοπίσει έναν κεντρικό υπολογιστή, εκτελεί τη διαδικασία που ονομάζεται PK Holdings. exe από το Task Manager. Στη συνέχεια, αποκτά πρόσβαση και διαμορφώνει καταχωρήσεις μητρώου και ενεργοποιεί μια προηγμένη προσθήκη συστήματος και άλλες αμφίβολες δραστηριότητες. Ο στόχος είναι να επιτρέψουμε τελικά στον δράστη να πάρει τον πλήρη έλεγχο του συστήματος από απόσταση. Όταν συμβεί αυτό, ο εγκληματίας στον κυβερνοχώρο αρχίζει να συλλέγει τα τραπεζικά στοιχεία του θύματος, να τραβάει πλήκτρα, να ηχογραφεί βίντεο μέσω της κάμερας web, καθώς και να επιτίθεται σε πορτοφόλια Bitcoin Τελικά, το θύμα υποφέρει τεράστιες οικονομικές απώλειες.

Οι ΗΠΑ και οι περιοχές του Καναδά αποτελούν τον πρωταρχικό στόχο του Orcus RAT Ανεξάρτητα, οι ειδικοί της ασφάλειας στον κυβερνοχώρο δείχνουν ότι το κακόβουλο λογισμικό κατάφερε επίσης να χτυπήσει άλλα μέρη της σφαίρας. Ο δράστης αυτού του Trojan άρχισε να πουλά το κακόβουλο λογισμικό το 2016 για 40 $. Ο πωλητής παρείχε επίσης μαθήματα σχετικά με τον τρόπο χρήσης του ιού σε λιγότερο έμπειρους χρήστες όταν επιτίθενται σε άλλους υπολογιστές. Οι οδηγίες περιελάμβαναν τη χρήση αμφίβολων εγγράφων του MS Office με μακροεντολές, σενάρια ή εκμεταλλεύσεις CVE-2017-8759.

Το 2018, οι επιθέσεις ιών εμφανίστηκαν ξανά, αυτή τη φορά στοχεύοντας τους φορολογούμενους των ΗΠΑ μέσω καμπανιών ηλεκτρονικού ψαρέματος (phishing). Το Orcus RAT διανεμήθηκε ως πακέτο με το Netwire. Το Trojan συνέχισε να εμφανίζεται ξανά το 2019, αλλά εκείνη τη στιγμή, χρησιμοποίησε μια νέα στρατηγική διανομής που έκρυψε το RAT σε ένα βίντεο με θέμα την Coca-Cola Ramadan. Ανεξάρτητα από το είδος της καμπάνιας που χρησιμοποιείται, οι στόχοι και οι λειτουργίες του RAT είναι οι ίδιοι - αποκτήστε οικονομικά κέρδη και αποκτήστε τραπεζικά διαπιστευτήρια.

Το περιεχόμενο που παρουσιάζεται κατά την εξαπάτηση του χρήστη μέσω email για πρόσβαση στο συνημμένο κακόβουλο περιεχόμενο έχει ως εξής:

Αγαπητέ Κύριε Κυρία, Καλημέρα!

Είμαστε εμπορική εταιρεία στην Ταϊβάν με επιχειρηματική γραμμή μηχανημάτων τόρνου και CNC, ΗΛΕΚΤΡΙΚΩΝ, BOLT & amp; NUTS σχετικά με αυτό, παρακαλούμε ανατρέξτε στα ακόλουθα στοιχεία και δώστε την καλύτερη προσφορά σας το συντομότερο δυνατό, ευχαριστώ.

  • CIF Kaohsiung Port Taiwan
  • Αεροπορικώς .1 Δια θαλάσσης ξεχωριστά
  • Χρειάζεστε φωτογραφία πινακίδας για αυτό το μηχάνημα που επισυνάπτεται;

    • Επιστρέψτε με την τιμή το συντομότερο δυνατόν. Επισυνάπτεται το Πιστοποιητικό Λειτουργίας / Άδεια και Παραγγελία για Προδιαγραφές και Αναφορές

    Εάν έχετε οποιαδήποτε ερώτηση, μην διστάσετε να επικοινωνήσετε μαζί μου.

    Με εκτίμηση

    Amy Wu

    Διευθυντής πωλήσεων

    PROTOM MACHINERY TOOLS LTD.

    55 Chin Shan South Road Sec. 2

    Ταϊπέι, Ταϊβάν 10603 TAIWAN, R. 0. C.

    Παρακαλούμε να λάβετε υπόψη το περιβάλλον πριν εκτυπώσετε αυτό το e-mail

    Για την επίτευξη αυτών των στόχων, ο προγραμματιστής του Orcus RAT εξοπλίζει το κακόβουλο λογισμικό με αυτές τις δυνατότητες:

    • Εκτέλεση επιθέσεων DDoS
    • Αναλάβετε τη λειτουργικότητα της κάμερας web και απενεργοποιήστε τη λυχνία δραστηριότητάς της
    • Λήψη βίντεο και ήχου χρησιμοποιώντας επανασυνδέσεις συστήματος
    • Λήψη ζωτικών πληροφοριών συστήματος
    • Λήψη στιγμιότυπων
    • Συλλογή κωδικών πρόσβασης και cookie προγράμματος περιήγησης

    Μεταξύ αυτών των δραστηριοτήτων, το μόνο που μπορεί να παρατηρηθεί είναι το φως δραστηριότητας μιας κάμερας με ειδικές ανάγκες. Άλλες λειτουργίες αυτού του RAT εκτελούνται στο παρασκήνιο καθιστώντας δύσκολο για έναν μέσο χρήστη υπολογιστή να αναγνωρίσει την ύπαρξή του. Για να εντοπίσετε αυτό το RAT, πρέπει να εκτελέσετε ισχυρό λογισμικό προστασίας από κακόβουλο λογισμικό.

    Πώς να καταργήσετε το Orcus RAT;

    Αυτό που καθιστά δύσκολη την αντιμετώπιση του Orcus RAT είναι ότι ο ιός διεισδύει σε ιερές περιοχές του υπολογιστή. Διαχειρίζεται τις καταχωρήσεις μητρώου και τοποθετεί διάφορες διαδικασίες στο σύστημα. Επομένως, ακόμη και αν καταργήσετε το πρόγραμμα από το σύστημα, ο δράστης μπορεί να αποκτήσει πρόσβαση σε αυτό χρησιμοποιώντας τις ρίζες που έχουν μείνει πίσω. Εάν υπάρχουν τέτοιες διεργασίες στον υπολογιστή σας, μπορούν να καταναλώνουν πολλή ισχύ CPU και συστήματα. Αυτός είναι ο λόγος για τον οποίο θα πρέπει να εξετάσετε το ενδεχόμενο να χρησιμοποιήσετε ένα αυτόματο βοηθητικό πρόγραμμα σε συνδυασμό με μια χειροκίνητη επιλογή. Επομένως, σας συμβουλεύουμε να χρησιμοποιήσετε την αυτόματη λύση εάν οι δεξιότητες του υπολογιστή σας δεν είναι τόσο προηγμένες. Ωστόσο, εάν θέλετε να χρησιμοποιήσετε τη χειροκίνητη προσέγγιση, το αρχικό βήμα που πρέπει να κάνετε είναι να προσδιορίσετε το όνομα του Τρώου που θέλετε να απαλλαγείτε. Μόλις το κάνετε αυτό, μπορείτε να προχωρήσετε και να ξεκινήσετε τη διαδικασία κατάργησης όπως φαίνεται παρακάτω:

    Βήμα 1: Εισαγάγετε την ασφαλή λειτουργία με το δίκτυο
  • Πατήστε τα πλήκτρα Windows + I για να ξεκινήσετε τις Ρυθμίσεις app.
  • Τώρα, ελέγξτε για Ενημέρωση & amp; Ασφάλεια και κάντε κλικ σε αυτό.
  • Τοποθετήστε το δείκτη του ποντικιού στο αριστερό παράθυρο και επιλέξτε Ανάκτηση .
  • Κάντε κλικ στο Επανεκκίνηση τώρα επιλογή στην ενότητα Εκκίνηση για προχωρημένους .
  • Κάντε κλικ στην επιλογή Αντιμετώπιση προβλημάτων πριν ορίσετε τις επιλογές Για προχωρημένους .
  • Τώρα, επιλέξτε Ρυθμίσεις εκκίνησης πριν πατήσετε την επιλογή Επανεκκίνηση .
  • Επιλέξτε την επιλογή 5) Ενεργοποίηση ασφαλούς λειτουργίας με δίκτυο.
    • Βήμα 2: Τερματισμός ύποπτων διαδικασιών από τη Διαχείριση εργασιών
  • Πατήστε Ctrl + Alt + Delete και κάντε κλικ στην επιλογή Διαχείριση εργασιών για να ξεκινήσετε το βοηθητικό πρόγραμμα.
  • Τώρα, κάντε κλικ στην επιλογή Περισσότερες λεπτομέρειες και, στη συνέχεια, κάντε κύλιση προς τα κάτω στην ενότητα με την ένδειξη Διαδικασίες παρασκηνίου . Ελέγξτε μεταξύ της λίστας των διαδικασιών εάν υπάρχουν ύποπτες.
  • Κάντε δεξί κλικ σε οποιαδήποτε αμφίβολη διαδικασία και επιλέξτε Άνοιγμα τοποθεσίας αρχείου .
  • Επιστρέψτε στη Διαχείριση εργασιών και κάντε δεξί κλικ στο ύποπτο διαδικασίες. Αυτή τη φορά, επιλέξτε Τερματισμός εργασίας .
    • Επαναλάβετε τα βήματα 3 και 4 σε όλες τις αμφίβολες διαδικασίες.
  • Όταν τελειώσετε, μεταβείτε στο όλες οι ανοιχτές τοποθεσίες αρχείων και διαγράψτε το περιεχόμενο.
  • Τώρα, μεταβείτε στην καρτέλα Εκκίνηση και εντοπίστε το ύποπτο πρόγραμμα. Κάντε δεξί κλικ και επιλέξτε Απενεργοποίηση .
    • Βήμα 3: Απαλλαγή από αρχεία ιών

    Τα αρχεία κακόβουλου λογισμικού μπορούν να εντοπιστούν σε διαφορετικές τοποθεσίες στο σύστημά σας. Ακολουθήστε αυτές τις οδηγίες για να τις βρείτε:

  • Πατήστε το πλήκτρο Windows και πληκτρολογήστε Εκκαθάριση δίσκου πριν πατήσετε το κουμπί Enter .
  • Επιλέξτε τη μονάδα αποθήκευσης που θέλετε να καθαρίσετε (σας συνιστούμε να επιλέξετε αυτήν που έχετε εγκαταστήσει το λειτουργικό σύστημα, για παράδειγμα, στη μονάδα δίσκου C).
  • Στην περιοχή Αρχεία προς διαγραφή, ελέγξτε τα εξής:
    • Προσωρινά αρχεία Διαδικτύου
    • Λήψεις
    • Κάδος ανακύκλωσης
    • Προσωρινά αρχεία
  • Όταν τελειώσετε, μπορείτε να ελέγξετε άλλες τοποθεσίες που φιλοξενούν συνήθως κακόβουλο περιεχόμενο όπως:
    • % AppData%
    • % LocalAppData%
    • % ProgramData%
    • % WinDir%

    • Όταν τελειώσετε, μπορείτε να επανεκκινήσετε το σύστημα σε κανονική λειτουργία .

    Χρησιμοποιήστε την αυτόματη λύση για να απαλλαγείτε από το Orcus RAT

    Η πιο αποτελεσματική μέθοδος για να απαλλαγείτε από το Orcus Trojan είναι να χρησιμοποιήσετε ισχυρό και αξιόπιστο λογισμικό προστασίας από κακόβουλο λογισμικό. Τα αξιόπιστα βοηθητικά προγράμματα ασφαλείας ενημερώνουν τα δεδομένα τους εγκαίρως για να εντοπίσουν το πιο πρόσφατο περιεχόμενο κακόβουλου λογισμικού. Επομένως, πρέπει να θεωρήσετε μια αξιόπιστη εταιρεία για να διασφαλίσετε ότι θα απαλλαγείτε από όλα τα κακόβουλα προγράμματα στο σύστημά σας για πάντα.

    Κατεβάστε το πρόγραμμα ασφαλείας από τον επίσημο ιστότοπό του και εγκαταστήστε το. Μόλις τελειώσετε, εκτελέστε το πρόγραμμα και επιλέξτε την επιλογή Πλήρης σάρωση. Περιμένετε να ολοκληρωθεί η σάρωση ολόκληρου του συστήματος και να εμφανιστεί όλο το περιεχόμενο που έχει επισημανθεί. Επιλέξτε την προτεινόμενη ενέργεια για την Καραντίνα / Κατάργηση κακόβουλου λογισμικού.

    Συμπέρασμα

    Παρόλο που η Orcus Technologies επέβαλε πρόστιμο 115.000 CAD για την εξάπλωση του Orcus RAT, δεν έχει σταματήσει τη διάδοση του ιού. Είναι ακόμα θανατηφόρο και πρέπει να αντιμετωπιστεί αμέσως για να αποφευχθούν σοβαρές ζημιές και απώλειες. Συνιστούμε στους χρήστες να διατηρούν ένα ισχυρό πρόγραμμα προστασίας από κακόβουλο λογισμικό στο παρασκήνιο για να λάβουν προστασία σε πραγματικό χρόνο. Επίσης, είναι ένα μέτρο ασφαλείας για να ενημερώνετε όλο το λογισμικό σας για να επωφεληθείτε από τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας.

    Βίντεο YouTube: Τι είναι το Orcus RAT

    05, 2024