Как избавиться от вредоносного ПО TrickBot

Хакеры все более изобретательны в разработке вредоносных программ, чтобы сделать их более мощными, более опасными и более эффективными. Вредоносное ПО, которое крадет пароли или записывает ваши действия с клавиатурой, теперь кажется элементарным. Вы должны быть на уровне программы-вымогателя или крипто-майнера, чтобы выделиться в этой конкурентной отрасли.

Из-за этой тенденции вредоносные объекты с течением времени становятся все более агрессивными и сложными. Прекрасным примером является вредоносное ПО TrickBot. Это вредоносное ПО было разработано для компрометации электронной почты и существует уже довольно давно. Фактически, вредоносная программа TrickBot на сегодняшний день скомпрометировала 250 миллионов учетных записей электронной почты.

Вредоносное ПО TrickBot существует с 2016 года. Но вместо того, чтобы уменьшаться или исчезать, вредоносное ПО оставалось сильным и развивалось с годами. Сегодня он даже считается одной из главных угроз для бизнеса. В последние годы вредоносное ПО развивалось и добавляло новые функции, которые делают его намного страшнее, чем раньше.

Что может вредоносное ПО TrickBot?

TrickBot изначально является банковским троянцем, как и вредоносное ПО Emotet. Он предназначен для кражи банковской и другой финансовой информации с зараженного компьютера. Обычно он распространяется через фишинговые электронные письма, рассылаемые ничего не подозревающим сотрудникам организаций или компаний. Например, он может маскироваться под поддельное резюме, отправленное соискателем в отдел кадров, или поддельный счет-фактуру, отправленный в бухгалтерию. Вредоносное ПО TrickBot прячется в зараженном файле Microsoft Word или Excel, прикрепленном к электронному письму.

Попав внутрь, вредоносное ПО может легко распространиться по организации множеством способов. Самый простой способ — использовать уязвимости в блоке сообщений сервера (SMB), протоколе обмена файлами, используемом компаниями. Это позволяет пользователям Windows в одной сети легко обмениваться файлами и получать к ним доступ.

По словам экспертов по безопасности DeepInstinct, TrickBot превратился в «надежную, продуманную и изощренную угрозу, многоцелевую для различных видов вредоносной деятельности». Они обнаружили вариант вредоносного ПО TrickBot под названием TrickBooster, вредоносный модуль распространения электронной почты, который собирает электронные письма и контакты из адресной книги зараженного компьютера и учетных записей электронной почты. Затем вредоносная программа рассылает спам-сообщения с учетной записи электронной почты пользователя и удаляет отправленные сообщения, чтобы избежать обнаружения. Вот как вредоносное ПО быстро распространяется и собирает учетные записи электронной почты в целях монетизации.

Таким образом, вредоносное ПО TrickBot работает в четыре этапа:

  • Компьютер жертвы заражается TrickBot и получает указание от управляющего сервера TrickBot загрузить TrickBooster.
  • Затем загруженный TrickBooster отправляет отчет на управляющий сервер и отправляет списки собранных адресов электронной почты и учетных данных для входа с зараженного компьютера.
  • Затем управляющий сервер TrickBooster дает указание вредоносному боту рассылать вредоносные электронные письма с учетных записей электронной почты жертвы.
  • Бот TrickBooster рассылает спам-письма для дальнейшего распространения вредоносного ПО.

Согласно расследованию DeepInstinct, база данных вредоносного ПО TrickBot содержала около 250 миллионов адресов электронной почты, которые были недавно собраны. Из 250 миллионов адресов электронной почты 25 миллионов приходятся на Gmail, 21 миллион — на Yahoo!, 11 миллионов — на Hotmail и 10 миллионов — на AOL и MSN. Остальные записи поступили с доменов электронной почты, принадлежащих компаниям и государственным учреждениям. Были даже адреса электронной почты, полученные от Министерства юстиции США, Национальной безопасности, IRS, НАСА и ATF.

Как защитить свой компьютер от TrickBot

Профилактика лучше, чем лечение, и эта концепция прекрасно применима к вредоносному ПО TrickBot. Видите ли, эта вредоносная программа очень коварна, и ее очень трудно обнаружить. Поскольку он удаляет все отправленные сообщения, вы ничего не заметите, если кто-то, кому был отправлен спам, не уведомит вас об этом. В этом случае бдительность — лучшая форма защиты от этой коварной вредоносной программы.

Вот несколько советов, как предотвратить заражение компьютера TrickBot и защитить ваши данные:

  • Установите все доступные обновления Windows. Microsoft выпускает последние исправления безопасности через Центр обновления Windows, поэтому обязательно устанавливайте их, когда они доступны. Вы также можете вручную проверить Центр обновления Windows, выбрав «Настройки» > «Обновление и безопасность» > «Центр обновления Windows». Нажмите кнопку «Проверить наличие обновлений», чтобы узнать, есть ли новые обновления, которые необходимо установить.
  • Обновите антивирусное программное обеспечение, в том числе с компьютеров, подключенных к той же сети.
  • Будьте осторожны при открытии электронных писем, особенно с вложениями. Фишинговые электронные письма — это основной способ распространения вредоносного ПО TrickBot, поэтому внимательно следите за необычными электронными письмами, которые вы получаете. Если вы получаете электронное письмо с домена за пределами сети вашей компании, и тема электронного письма связана с работой, сначала изучите домен, чтобы убедиться, что электронное письмо является законным. Может быть очень сложно определить подлинность электронной почты, поскольку вредоносное ПО обычно имитирует реальные предприятия, чтобы обманом заставить пользователей открыть их.
  • Не сообщайте свои учетные данные для входа. Некоторые злоумышленники TrickBot нацелены на пользователей PayPal и обманом заставляют их выдавать свою регистрационную информацию. Если вы щелкнете по ссылке и вас попросят войти в систему, будь то PayPal, электронная почта или другие учетные записи, немедленно закройте браузер.

Как удалить вредоносное ПО TrickBot

Как упоминалось ранее, с TrickBot очень сложно иметь дело. На сегодняшний день это одна из самых больших киберугроз, и избавление от нее требует больших усилий и внимания. Этот тип трояна умеет хорошо прятаться, поэтому при устранении этой вредоносной программы нужно быть тщательным. Обычно он скрывает вредоносные файлы глубоко внутри системы, что затрудняет их обнаружение и удаление.

Если вы подозреваете, что ваш компьютер заражен вредоносным ПО TrickBot, следуйте приведенному ниже руководству, чтобы узнать, как вручную удалить его и убедиться, что оно не вернется.

Шаг 1: Загрузитесь в безопасном режиме.

Загрузка в безопасном режиме отключает все ненужные сторонние процессы, чтобы вы могли легко отличить подозрительные процессы, запущенные на вашем компьютере. Чтобы загрузиться в безопасном режиме, выполните следующие действия:

  1. Нажмите «Пуск», затем нажмите значок кнопки питания в левом нижнем углу меню. Это откроет меню параметров питания.
  2. Удерживая нажатой кнопку Shift на клавиатуре, нажмите «Перезагрузить».
  3. Затем ваш компьютер перезагрузится и перейдет в безопасный режим.

Шаг 2: Удалите подозрительные программы.

Большинство вредоносных программ устанавливает на ваш компьютер другие вредоносные программы. В случае TrickBot он загружает и устанавливает TrickBooster для сбора адресов электронной почты и контактной информации на зараженном компьютере. Вам необходимо проверить, какие программы, установленные на вашем компьютере, являются законными, а какие подозрительными.

Чтобы удалить подозрительные приложения с вашего компьютера, сделайте следующее:

  1. Откройте «Выполнить», нажав одновременно кнопки Windows + R.
  2. Тип appwiz.cpl в диалоговое окно, затем нажмите OK. Это откроет панель управления.
  3. Найдите программы, которые вы не устанавливали, и удалите их.

Шаг 3: Отключите подозрительные записи запуска.

TrickBot, как и другие вредоносные программы, запускается при загрузке системы. Вам нужно проверить элементы автозагрузки, чтобы узнать, не загружаются ли во время запуска незнакомые процессы.

Сделать это:

  1. Откройте «Выполнить», нажав одновременно кнопки Windows + R.
  2. Тип msconfig в диалоговое окно, затем нажмите Enter. Это должно открыть окно «Службы».
  3. Нажмите на вкладку «Автозагрузка».
  4. Найдите записи с неизвестным в категории «Производитель» и снимите с них галочки.

Шаг 4: Убейте подозрительные процессы.

Помимо отключения подозрительных записей в автозагрузке и удаления фиктивных программ, также важно проверить, какие процессы, запущенные на вашем компьютере, являются вредоносными. Вам нужно немедленно убить эти процессы и удалить каталоги, в которых спрятаны их файлы. Сделать это:

  1. Нажмите Ctrl + Shift + Esc, чтобы открыть диспетчер задач.
  2. Нажмите на вкладку «Процессы».
  3. Определите, какие процессы являются вредоносными объектами, погуглив их.
  4. Щелкните правой кнопкой мыши подозрительный процесс и выберите «Открыть расположение файла». Это должно открыть каталог, в котором находятся файлы процесса.
  5. Вернитесь в диспетчер задач, снова щелкните правой кнопкой мыши подозрительный процесс и нажмите «Завершить процесс».
  6. Вернитесь в открытую папку и удалите все файлы.

Шаг 5. Просканируйте компьютер с помощью антивирусного ПО.

Чтобы избавиться от TrickBot, рекомендуется просканировать ваш компьютер и его каталоги с помощью обновленного программное обеспечение для защиты от вредоносных программ. После обнаружения следуйте инструкциям, чтобы полностью избавиться от вредоносного ПО TrickBot.

Шаг 6: Удалите оставшиеся файлы.

Одна из причин, по которой TrickBot трудно удалить, заключается в том, что он очень хорошо скрывает свои файлы. Вы должны убедиться, что все файлы, связанные с вредоносным ПО, были удалены, чтобы предотвратить его повторное появление. Эти файлы обычно скрыты в каталогах со случайными именами. Вы можете выполнить поиск в этих папках, чтобы увидеть, есть ли какие-либо оставшиеся файлы TrickBot:

  • С:\
  • C:\виндовс
  • C:\Windows\System32
  • C:\Windows\Syswow64
  • C:\Windows\ProgramData
  • Папки %AppData%, особенно папка Roaming

Резюме

Вредоносная программа TrickBot показывает нам, как простая вредоносная программа может адаптироваться к новым технологиям и повысить уровень своей игры. Бдительность и осведомленность — это защита номер один от стойких и трудно обнаруживаемых вредоносных программ, таких как TrickBot. Если вы считаете, что ваша система заражена, следуйте приведенному выше руководству, чтобы полностью удалить вредоносное ПО TrickBot с вашего компьютера.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *