Kako se riješiti zlonamjernog softvera TrickBot (04.26.24)

Hakeri postaju kreativniji u dizajniranju zlonamjernog softvera kako bi ih učinili snažnijim, opasnijim i učinkovitijim. Zlonamjerni softver koji krade lozinke ili bilježi vaše aktivnosti na tipkovnici sada se čini osnovnim. Morate biti na razini ransomwarea ili crypto-minera da biste se mogli istaknuti u ovoj konkurentnoj industriji.

Zbog ovog trenda, entiteti zlonamjernog softvera samo postaju agresivniji i kompliciraniji s vremenom prolazi. Savršen primjer je zlonamjerni softver TrickBot. Ovaj zlonamjerni softver osmišljen je tako da ugrožava e-poštu i postoji već duže vrijeme. Zapravo je zlonamjerni softver TrickBot do sada ugrozio 250 milijuna računa e-pošte.

Zlonamjerni softver TrickBot postoji od 2016. No, umjesto da se smanji ili nestane, zlonamjerni softver ostao je jak i evoluirao je tijekom godina. Čak se smatra jednom od glavnih prijetnji koja danas cilja na tvrtke. Posljednjih godina malver se razvija i dodaje novu funkcionalnost koja ga čini puno strašnijim nego što je bio prije.

Što može učiniti malver TrickBot?

TrickBot je izvorno bankarski trojanski virus, baš kao i malver Emotet . Dizajniran je za krađu bankovnih i drugih financijskih podataka sa zaraženog računala. Obično se širi e-poštom s krađom krađe s kopljem koja se šalje nesuđenom osoblju organizacija ili tvrtki. Na primjer, mogao bi se maskirati kao lažni životopis koji je podnositelj zahtjeva poslao osoblju za ljudske reimgese ili lažni račun koji je poslan računovodstvu. Zlonamjeran softver TrickBot skriva se u zaraženoj datoteci Microsoft Word ili Excel priloženoj uz e-poštu.

Jednom kada zlonamjerni softver uđe, može se lako proširiti organizacijom na puno načina. Najlakši je način iskorištavanjem ranjivosti u Server Message Block (SMB), protokolu za dijeljenje datoteka koji koriste tvrtke. Omogućuje korisnicima Windowsa u istoj mreži da lako dijele i pristupaju datotekama.

Prema sigurnosnim stručnjacima iz DeepInstinct, TrickBot se razvio u „robusnu, razrađenu i sofisticiranu prijetnju, višenamjensku za razne vrste zlonamjernih aktivnost." Otkrili su varijantu zlonamjernog softvera TrickBot, nazvanu TrickBooster, zlonamjeran modul za distribuciju zasnovan na e-pošti koji skuplja e-poštu i kontakte iz adresara i računa e-pošte zaraženog računala. Zlonamjerni softver zatim šalje neželjenu poštu s korisničkog računa e-pošte i briše poslane poruke kako bi se izbjeglo otkrivanje. Ovo je način na koji se zlonamjerni softver brzo širi i prikuplja račune e-pošte radi unovčavanja.

Ukratko, zlonamjerni softver TrickBot radi u četiri faze:

  • Računalo žrtve zarazi se TrickBotom i od upravljačkog poslužitelja TrickBot dobiva upute za preuzimanje TrickBoostera.
  • Preuzeti TrickBooster potom se izvještava na kontrolni poslužitelj i šalje popise prikupljenih adresa e-pošte i vjerodajnica za prijavu sa zaraženog računala.
  • Kontrolni poslužitelj TrickBooster tada upućuje bota zlonamjernog softvera da pošalje zlonamjernu e-poštu s računa e-pošte žrtve.
  • Robot TrickBooster šalje neželjenu e-poštu za širenje zlonamjernog softvera dalje.

Prema istrazi DeepInstinct, baza podataka zlonamjernog softvera TrickBot sadržavala je oko 250 milijuna e-adresa koje su nedavno prikupljene. Od 250 milijuna adresa e-pošte, 25 milijuna dolazi iz Gmaila, 21 milijun iz Yahooa !, 11 milijuna iz Hotmaila i 10 milijuna iz AOL-a i MSN-a. Ostatak unosa stigao je s domena e-pošte u vlasništvu tvrtki i državnih agencija. Čak su i adrese e-pošte prikupljene od Ministarstva pravosuđa SAD-a, Državne sigurnosti, IRS-a, NASA-e i ATF-a.

Kako zaštititi svoje računalo od TrickBot-a

Prevencija je bolja od liječenja, a ovaj se koncept savršeno odnosi na Zlonamjerni softver TrickBot. Vidite, ovaj je zlonamjerni softver vrlo pritajen i može ga biti vrlo teško otkriti. Budući da briše sve poslane poruke, nećete moći ništa primijetiti osim ako vas netko o kome je poslana neželjena pošta obavijesti o tome. U ovom slučaju, budnost je najbolji oblik zaštite od ovog nezgodnog zlonamjernog softvera.

Evo nekoliko savjeta kako spriječiti TrickBot da zarazi vaše računalo i zaštiti vaše podatke:

  • Instalirajte sva dostupna ažuriranja za Windows. Microsoft objavljuje najnovije sigurnosne zakrpe putem servisa Windows Update, pa ih svakako instalirajte kad su dostupne. Windows Update možete i ručno provjeriti odlaskom na Postavke & gt; Ažuriranje & amp; Sigurnost & gt; Windows Update. Kliknite gumb Provjeri ažuriranja da biste vidjeli postoje li nova ažuriranja koja treba instalirati.
  • Ažurirajte svoj antivirusni softver, uključujući one s računala povezanih na istu mrežu.
  • Budite oprezni prilikom otvaranja e-poruka, posebno onih s prilozima. Phishing e-pošta najvažniji je način distribucije zlonamjernog softvera TrickBot, stoga pažljivo obratite pažnju na neobične e-poruke koje primate. Ako e-poštu dobijete s domene izvan mreže vaše tvrtke, a tema je povezane s poslom, prvo istražite domenu da biste provjerili je li e-adresa legitimna. Može biti vrlo teško utvrditi autentičnost e-pošte, jer zlonamjerni softver obično oponaša stvarne tvrtke kako bi ih prijevarom otvorio.
  • Ne dajte svoje vjerodajnice za prijavu. Neki TrickBot napadači ciljaju korisnike PayPala i zavaravaju ih da daju svoje podatke za prijavu. Ako kliknete vezu i od vas se zatraži da se prijavite, bilo da se radi o PayPalu, e-pošti ili drugim računima, odmah zatvorite preglednik.
Kako ukloniti zlonamjerni softver TrickBot

Kao što je ranije spomenuto, s TrickBotom je vrlo lukavo nositi se. To je jedna od najvećih cyber prijetnji danas i rješavanje nje zahtjeva puno truda i pažnje. Ova vrsta trojanaca zna se dobro sakriti, pa morate biti temeljiti prilikom uklanjanja ovog zlonamjernog softvera. Zlonamjerne datoteke obično skriva duboko u sustavu, što ga otežava otkrivanje i uklanjanje.

Ako sumnjate da je vaše računalo zaraženo zlonamjernim softverom TrickBot, slijedite upute u nastavku kako ga ručno izbrisati i pobrinite se da se ne vrati.

1. korak: Pokrenite se u sigurnom načinu.

Pokretanjem sigurnog načina onemogućite sve nepotrebne procese nezavisnih proizvođača, tako da možete lako razlikovati sumnjive procese koji se izvode na vašem računalu. Da biste se pokrenuli u sigurnom načinu, slijedite korake u nastavku:

  • Kliknite Start , a zatim kliknite ikonu gumba za napajanje u donjem lijevom kutu izbornika. Ovo bi otkrilo izbornik opcija napajanja.
  • Držite pritisnutu tipku Shift na tipkovnici, a zatim kliknite Ponovno pokreni .
  • Računalo će se ponovo pokrenuti i preći u Siguran način .
    • 2. korak: Deinstalirajte sumnjive programe.

    Većina zlonamjernog softvera instalira drugi zlonamjerni softver na vaše računalo. U slučaju TrickBot-a preuzima i instalira TrickBooster za prikupljanje adresa e-pošte i podataka za kontakt na zaraženom računalu. Morate provjeriti koji su programi instalirani na računalo legitimni, a koji sumnjivi.

    Da biste deinstalirali sumnjive aplikacije s računala, učinite sljedeće:

  • Otvorite Pokreni pritiskom na tipke Windows + R zajedno.
  • U dijalog okvir upišite appwiz.cpl, a zatim kliknite U redu . Ovo bi otvorilo Upravljačku ploču.
  • Potražite programe koje niste instalirali, a zatim ih deinstalirajte.
    • 3. korak: Onemogućite sumnjive unose pri pokretanju.

    TrickBot, baš kao i drugi zlonamjerni softver, dizajniran je za pokretanje kada se sustav učita. Morate provjeriti stavke pokretanja da biste otkrili da li se nepoznati procesi učitavaju tijekom pokretanja.

    Da biste to učinili:

  • Otvorite Pokreni pritiskom na < jake> tipke Windows + R zajedno.
  • U dijaloški okvir upišite msconfig, a zatim pritisnite Enter . Ovo bi trebalo otvoriti prozor Usluge .
  • Kliknite karticu Pokretanje .//li>
  • Potražite unose s Nepoznato u kategoriji Proizvođač i poništite ih.
    • 4. korak: Ubijte sumnjive procese.

    Osim onemogućavanja sumnjivih unosa pri pokretanju i deinstalacije lažnih programa, važno je provjeriti i procesi koji se izvode na vašem računalu su zlonamjerni softver. Te procese morate odmah ubiti i izbrisati direktorije u kojima su skrivene njihove datoteke. Da biste to učinili:

  • Pritisnite Ctrl + Shift + Esc da biste otvorili Upravitelj zadataka.
  • Kliknite karticu Procesi .//li>
  • Googlingom odredite koji su procesi zlonamjerni softver.
  • Desno- kliknite sumnjivi postupak, a zatim odaberite Otvori lokaciju datoteke . Ovo bi trebalo otvoriti direktorij u kojem se nalaze datoteke procesa.
  • Vratite se u Upravitelj zadataka, ponovo kliknite desnom tipkom miša sumnjivi postupak i kliknite Završi postupak.
  • Vratite se u otvorenu mapu i izbrišite sve datoteke.
    • 5. korak: Skenirajte svoje računalo pomoću programa za zaštitu od zlonamjernih programa.

    Da biste se riješili TrickBot-a, preporučuje se skenirajte svoje računalo i njegove direktorije pomoću ažuriranog softvera za zaštitu od zlonamjernog softvera . Jednom otkriveni, slijedite upute da biste se u potpunosti riješili zlonamjernog softvera TrickBot.

    6. korak: Izbrišite lijeve datoteke.

    Jedan od razloga zašto je TrickBot teško ukloniti je taj što svoje datoteke jako dobro skriva. Morate biti sigurni da su sve datoteke povezane sa zlonamjernim softverom izbrisane kako bi se spriječio njegov povratak. Te su datoteke obično skrivene u direktorijima s nasumičnim imenima. Možete pretražiti ove mape kako biste provjerili skrivaju li se preostale datoteke TrickBot:

    • C: \
    • C: \ Windows
    • C: \ Windows \ System32
    • C: \ Windows \ Syswow64
    • C: \ Windows \ ProgramData
    • % AppData% mape, posebno mapa Roaming
    Sažetak

    Zlonamjerni softver TrickBot pokazuje nam kako se jednostavan zlonamjerni softver može prilagoditi novim tehnologijama i povisiti razinu igre. Budnost i svjesnost prva je zaštita od upornih i teško otkrivenih zlonamjernih programa poput TrickBot-a. Ako mislite da je vaš sustav zaražen, slijedite naš gornji vodič za potpuno uklanjanje zlonamjernog softvera TrickBot s računala.

    Youtube video: Kako se riješiti zlonamjernog softvera TrickBot

    04, 2024