Как избавиться от вредоносного ПО TrickBot (04.25.24)

Хакеры становятся все более изобретательными в разработке вредоносных программ, чтобы сделать их более мощными, опасными и эффективными. Вредоносное ПО, которое крадет пароли или регистрирует ваши действия с клавиатурой, теперь кажется элементарным. Вы должны быть на уровне программы-вымогателя или крипто-майнера, чтобы выделиться в этой конкурентной отрасли.

Из-за этой тенденции вредоносные объекты со временем становятся все более агрессивными и сложными. проходит мимо. Прекрасным примером является вредоносная программа TrickBot. Эта вредоносная программа была разработана для взлома электронной почты и существует уже довольно давно. Фактически, вредоносная программа TrickBot на данный момент взломала 250 миллионов учетных записей электронной почты.

Вредоносная программа TrickBot существует с 2016 года. Но вместо того, чтобы сокращаться или исчезать, вредоносная программа оставалась сильной и развивалась с годами. Сегодня это даже считается одной из главных угроз для бизнеса. В последние годы вредоносное ПО эволюционировало и добавило новые функции, которые делают его намного страшнее, чем раньше.

Что может сделать вредоносное ПО TrickBot?

Изначально TrickBot был банковским трояном, как и вредоносное ПО Emotet . Он предназначен для кражи банковской и другой финансовой информации с зараженного компьютера. Обычно он распространяется через целевые фишинговые электронные письма, отправляемые ничего не подозревающим сотрудникам организаций или компаний. Например, он может маскироваться под фальшивое резюме, отправленное заявителем сотрудникам отдела кадров, или под фальшивый счет, отправленный в бухгалтерию. Вредоносная программа TrickBot скрывается в зараженном файле Microsoft Word или Excel, прикрепленном к письму.

Попав внутрь, вредоносное ПО может легко распространиться по организации разными способами. Самый простой способ - использовать уязвимости в блоке сообщений сервера (SMB), протоколе обмена файлами, используемом компаниями. Он позволяет пользователям Windows в одной сети легко обмениваться файлами и получать к ним доступ.

По мнению экспертов по безопасности DeepInstinct, TrickBot превратился в «надежную, продуманную и изощренную угрозу, предназначенную для различных целей. Мероприятия." Они обнаружили вариант вредоносного ПО TrickBot, получивший название TrickBooster, вредоносный модуль распространения по электронной почте, который собирает электронные письма и контакты из адресной книги и учетных записей электронной почты зараженного компьютера. Затем вредоносная программа рассылает спам из учетной записи электронной почты пользователя и удаляет отправленные сообщения, чтобы избежать обнаружения. Таким образом вредоносное ПО быстро распространяется и собирает учетные записи электронной почты для целей монетизации.

Таким образом, вредоносное ПО TrickBot работает в четыре этапа:

  • Компьютер жертвы заражается TrickBot и получает инструкцию от управляющего сервера TrickBot для загрузки TrickBooster.
  • Затем загруженный TrickBooster отправляет отчет на управляющий сервер и рассылает списки собранных адресов электронной почты и учетных данных. с зараженного компьютера.
  • Затем управляющий сервер TrickBooster инструктирует вредоносного бота отправлять вредоносные электронные письма из почтовых ящиков жертвы.
  • Бот TrickBooster рассылает спам-сообщения для распространения вредоносного ПО далее.

Согласно расследованию DeepInstinct, база данных вредоносного ПО TrickBot содержала около 250 миллионов адресов электронной почты, которые были недавно собраны. Из 250 миллионов адресов электронной почты 25 миллионов поступили от Gmail, 21 миллион от Yahoo !, 11 миллионов от Hotmail и 10 миллионов от AOL и MSN. Остальные записи поступили из почтовых доменов, принадлежащих компаниям и государственным учреждениям. Были даже получены адреса электронной почты от Министерства юстиции, национальной безопасности США, IRS, НАСА и ATF.

Как защитить свой компьютер от TrickBot

Профилактика лучше лечения, и эта концепция идеально подходит Вредоносное ПО TrickBot. Видите ли, эта вредоносная программа очень коварна, и ее очень сложно обнаружить. Поскольку он удаляет все отправленные сообщения, вы ничего не сможете заметить, если только кто-то, кому было отправлено спам-письмо, не уведомил вас об этом. В этом случае проявление бдительности - лучшая форма защиты от этого хитрого вредоносного ПО.

Вот несколько советов по предотвращению заражения TrickBot вашего компьютера и защите ваших данных:

  • Установите все доступные обновления Windows. Microsoft выпускает последние исправления безопасности через Центр обновления Windows, поэтому обязательно установите их, когда они станут доступны. Вы также можете вручную проверить Центр обновления Windows, выбрав «Настройки» & gt; Обновить & amp; Безопасность & gt; Центр обновления Windows. Нажмите кнопку "Проверить наличие обновлений", чтобы узнать, есть ли новые обновления, которые необходимо установить.
  • Обновите антивирусное программное обеспечение, в том числе с компьютеров, подключенных к той же сети.
  • Будьте осторожны, открывая электронные письма, особенно с прикрепленными файлами. Фишинговые письма - это способ номер один распространения вредоносного ПО TrickBot, поэтому обращайте пристальное внимание на необычные электронные письма, которые вы получаете. Если вы получаете электронное письмо из домена за пределами сети вашей компании, а тема письма связана с работой, сначала исследуйте домен, чтобы проверить, является ли электронное письмо законным. Определить подлинность электронного письма может быть очень сложно, поскольку вредоносные программы обычно имитируют реальный бизнес, чтобы обманом заставить пользователей их открыть.
  • Не сообщайте свои учетные данные. Некоторые злоумышленники TrickBot нацелены на пользователей PayPal и обманом заставляют их выдать данные для входа. Если вы щелкнете ссылку и вас попросят войти в систему, будь то учетная запись PayPal, электронная почта или другие учетные записи, немедленно закройте браузер.
Как удалить вредоносное ПО TrickBot

Как упоминалось ранее, с TrickBot очень сложно справиться. Сегодня это одна из самых серьезных киберугроз, и избавление от нее требует больших усилий и внимания. Этот тип трояна умеет хорошо скрываться, поэтому при удалении этого вредоносного ПО нужно быть внимательным. Обычно он скрывает вредоносные файлы глубоко внутри системы, что затрудняет их обнаружение и удаление.

Если вы подозреваете, что ваш компьютер заражен вредоносной программой TrickBot, следуйте приведенному ниже руководству о том, как вручную удалить его и убедитесь, что он не возвращается.

Шаг 1. Загрузитесь в безопасном режиме.

Загрузка в безопасном режиме отключает все ненужные сторонние процессы, чтобы вы могли легко распознать подозрительные процессы, запущенные на вашем компьютере. Чтобы загрузиться в безопасном режиме, выполните следующие действия:

  • Нажмите Пуск , затем нажмите значок кнопки питания в нижнем левом углу меню. Это откроет меню параметров питания.
  • Удерживая кнопку Shift на клавиатуре, нажмите Перезагрузить
  • После этого компьютер перезагрузится и перейдет в безопасный режим. .
    • Шаг 2. Удалите подозрительные программы.

    Большинство вредоносных программ устанавливает другие вредоносные программы на ваш компьютер. В случае TrickBot он загружает и устанавливает TrickBooster для сбора адресов электронной почты и контактной информации на зараженном компьютере. Вам необходимо проверить, какие программы, установленные на вашем компьютере, являются законными, а какие подозрительными.

    Чтобы удалить подозрительные приложения со своего компьютера, выполните следующие действия:

  • Откройте Выполнить , одновременно нажав кнопки Windows + R .
  • Введите appwiz.cpl в диалоговом окне и нажмите ОК . Это откроет Панель управления.
  • Найдите программы, которые вы не устанавливали, а затем удалите их.
    • Шаг 3. Отключите подозрительные записи при запуске.

    TrickBot, как и другие вредоносные программы, предназначен для запуска при загрузке системы. Вам необходимо проверить элементы автозагрузки, чтобы определить, не загружаются ли незнакомые процессы во время запуска.

    Для этого:

  • Откройте Выполнить , нажав Windows + R вместе.
  • Введите msconfig в диалоговое окно и нажмите Enter . Должно открыться окно Службы .
  • Нажмите вкладку Запуск .
  • Найдите записи с Неизвестно в категории Производитель и снимите с них флажки.
    • Шаг 4. Убейте подозрительные процессы.

    Помимо отключения подозрительных записей при запуске и удаления поддельных программ, также важно проверить, какие процессы, запущенные на вашем компьютере, являются вредоносными. Вам нужно немедленно убить эти процессы и удалить каталоги, в которых скрыты их файлы. Для этого:

  • Нажмите Ctrl + Shift + Esc , чтобы открыть Диспетчер задач.
  • Щелкните вкладку Процессы .
  • Определите, какие процессы являются вредоносными объектами, выполнив поиск в Google.
  • Справа: нажмите на подозрительный процесс, затем выберите Открыть расположение файла . Это должно открыть каталог, в котором находятся файлы процесса.
  • Вернитесь в диспетчер задач, снова щелкните правой кнопкой мыши подозрительный процесс и выберите Завершить процесс.
  • Вернитесь в открытую папку и удалите все файлы.
    • Шаг 5. Сканируйте компьютер с помощью антивирусного ПО.

    Чтобы избавиться от TrickBot, рекомендуется просканируйте свой компьютер и его каталоги с помощью обновленного антивирусного программного обеспечения . После обнаружения следуйте инструкциям, чтобы полностью избавиться от вредоносного ПО TrickBot.

    Шаг 6. Удалите оставшиеся файлы.

    Одна из причин, по которой TrickBot трудно удалить, заключается в том, что он очень хорошо скрывает свои файлы. Вы должны убедиться, что все файлы, связанные с вредоносной программой, были удалены, чтобы предотвратить ее повторное использование. Эти файлы обычно скрыты в каталогах со случайными именами. Вы можете выполнить поиск в этих папках, чтобы увидеть, не скрываются ли какие-либо оставшиеся файлы TrickBot:

    • C: \
    • C: \ Windows
    • C: \ Windows \ System32
    • C: \ Windows \ Syswow64
    • C: \ Windows \ ProgramData
    • Папки% AppData%, особенно папка Roaming
    Резюме

    Вредоносная программа TrickBot показывает нам, как простая вредоносная программа может адаптироваться к новым технологиям и повысить уровень своей игры. Бдительность и осведомленность - это защита номер один от устойчивых и трудно обнаруживаемых вредоносных программ, таких как TrickBot. Если вы считаете, что ваша система заражена, следуйте приведенному выше руководству, чтобы полностью удалить вредоносное ПО TrickBot с вашего компьютера.

    YouTube видео: Как избавиться от вредоносного ПО TrickBot

    04, 2024