Что такое троян KONNI?
KONNI — это троян удаленного доступа (RAT), тесно связанный с северокорейскими спецслужбами. Исследователи кибербезопасности смогли установить связь, потому что после успешного испытания межконтинентальной баллистической ракеты Северной Кореей в 2017 году произошел всплеск целевых фишинговых кампаний, ссылающихся на приобретенные Северной Кореей возможности. Подобные кампании KONNI проводились в 2014 году, и они также привели к выводу, что KONNI — это шпионское оружие, созданное для всех, кто интересуется делами Северной Кореи, особенно ее ядерной и ракетной программами. Хотя неясно, какова цель вредоносного ПО, можно сделать вывод, что в основном речь идет о профилировании компьютеров зараженных жертв, чтобы определить цель для более продолжительных атак. Большинство целей KONNI базируются в Азиатско-Тихоокеанском регионе.
Что делает троян KONNI?
Вредоносная программа KONNI в основном заражает компьютер через зараженный документ Word, который доходит до большинства своих жертв в виде вложения электронной почты.
Пока жертвы загружают файл, вредоносное ПО загружается в фоновом режиме, выполняя свою полезную нагрузку. Затем KONNI приступает к своей основной цели – разведке и сбору информации. Он профилирует сеть компьютеров организации, делает снимки экрана, крадет пароли, историю просмотров веб-страниц и, как правило, собирает любую информацию, до которой может дотянуться. Затем информация отправляется в центр управления и контроля.
Вредоносное ПО может сделать это, создав каталог Windows в папке локальных настроек текущего пользователя с путем MFAData\\event. Он также извлекает два вредоносных файла DLL, один для 64-битной ОС, а другой для 32-битной ОС. После этого он создает значение ключа с именем RTHDVCP или RTHDVCPE по следующему пути реестра: HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run.
Этот путь в реестре используется для автоматического сохранения, учитывая, что он автоматически запускает процесс после успешного входа в систему. Файлы DLL, которые создаются таким образом, имеют несколько основных возможностей, включая регистрацию ключей, перечисление хостов, сбор информации, эксфильтрацию данных и профилирование хостов.
Собранная информация затем используется для создания атак, соответствующих профилю жертвы. Если KONNI заразит компьютеры высокопоставленных целей, таких как военные компьютеры Южной Кореи или финансовое учреждение, люди, стоящие за этим, могут адаптировать определенные атаки, включая шпионские атаки или атаки программ-вымогателей.
Как удалить троян KONNI
Предположим, ваш компьютер был заражен, знаете ли вы, что делать с трояном KONNI?
Самый простой способ удалить троян KONNI — использовать надежное решение для защиты от вредоносных программ, такое как Outbyte Антивирус. Чтобы использовать защиту от вредоносных программ, вы должны запустить свой компьютер в безопасном режиме, потому что, как отмечалось ранее, KONNI использует некоторые методы автоматического сохранения, включая манипулирование элементами автозапуска, чтобы включить себя.
Для пользователей Windows 10/11 и 7 ниже приведены шаги, которые необходимо предпринять, чтобы войти в безопасный режим с поддержкой сети.
- Откройте утилиту «Выполнить», нажав клавиши Windows + R на клавиатуре.
- Тип msconfig и запустите команду.
- Перейдите на вкладку «Загрузка» и выберите «Безопасная загрузка и параметры сети».
- Перезагрузите устройство.
Как только ваше устройство перезагрузится, запустите антивирус и дайте ему достаточно времени, чтобы удалить вирус.
Если у вас нет антивредоносного ПО, всегда есть возможность вручную отследить файлы и папки, являющиеся носителями вируса. Чтобы сделать это, откройте диспетчер задач, нажав клавиши Ctrl, Alt и Delete на клавиатуре. В приложении «Диспетчер задач» перейдите на вкладку «Автозагрузка» и найдите подозрительные элементы автозагрузки. Щелкните их правой кнопкой мыши и выберите «Открыть расположение файла». Теперь перейдите в папку с файлами и удалите файлы и папки, переместив их в корзину. Вы должны искать папку MFAData\\event.
Еще одна вещь, которую вам нужно будет сделать, это восстановить поврежденные записи реестра и удалить те, которые связаны с вредоносным ПО KONNI. Самый простой способ сделать это — развернуть Очиститель ПК поскольку одной из основных целей инструмента восстановления ПК является восстановление поврежденных записей реестра.
Еще одна цель, которую будет играть инструмент для восстановления ПК, — это удаление любых ненужных файлов, файлов cookie, истории просмотров, загрузок и большей части данных, которые трояны, такие как KONNI, отправляют киберпреступникам. Другими словами, использование программы для очистки ПК не только снизит риск повторного заражения, но и гарантирует, что даже если другая вредоносная программа попадет на ваше устройство, ей нечего будет украсть.
Если вы следовали приведенным выше инструкциям, есть большая вероятность, что вы полностью справились с угрозой вредоносного ПО, и теперь остается только защититься от будущих заражений.
Вы должны знать, что вредоносные объекты, такие как KONNI, заражают компьютеры только в том случае, если жертвы небрежно относятся к тому, как они обрабатывают вложения из неизвестных источников. Если бы вы могли принять дополнительные меры предосторожности и не загружать любой файл, который попадется вам на пути, то вы значительно снизите риск заражения.
Наконец, вам нужно как можно чаще обновлять свой компьютер. Вредоносные программы, такие как KONNI, используют эксплойты, которые постоянно исправляются поставщиками программного обеспечения, включая Microsoft.