Com desfer-se del programari maliciós de TrickBot (04.19.24)

Els pirates informàtics són cada vegada més creatius en el disseny de programari maliciós per fer-los més potents, perillosos i eficaços. Un programari maliciós que roba contrasenyes o registra les activitats del teclat ara sembla elemental. Cal estar al nivell d’un ransomware o d’un cripto-miner per poder destacar en aquesta indústria competitiva.

A causa d’aquesta tendència, les entitats de programari maliciós continuen sent més agressives i complicades a mesura que passa el temps passa. Un exemple perfecte és el programari maliciós de TrickBot. Aquest programari maliciós ha estat dissenyat per comprometre els correus electrònics i existeix des de fa força temps. De fet, fins ara el programari maliciós de TrickBot ha compromès 250 milions de comptes de correu electrònic.

El programari maliciós de TrickBot existeix des del 2016. Però, en lloc de disminuir o desaparèixer, el programari maliciós es va mantenir fort i ha evolucionat al llarg dels anys. Fins i tot es considera una de les principals amenaces dirigides actualment a les empreses. Els darrers anys han vist com el programari maliciós ha evolucionat i ha afegit noves funcionalitats que el fan molt més aterrador del que solia ser anteriorment.

Què pot fer el programari maliciós de TrickBot? . Està dissenyat per robar informació bancària i altra informació financera de l'ordinador infectat. Normalment es difon a través de correus electrònics d’espear phishing enviats a personal desconfiat d’organitzacions o empreses. Per exemple, es podria disfressar d’un currículum fals enviat per un sol·licitant al personal de reimgs humans o d’una falsa factura enviada al departament de comptabilitat. El programari maliciós TrickBot s'amaga al fitxer infectat de Microsoft Word o Excel adjunt al correu electrònic.

Un cop ha entrat el programari maliciós, es pot difondre fàcilment per l'organització de moltes maneres. La forma més senzilla és explotar les vulnerabilitats del servidor de blocs de missatges (SMB), un protocol per compartir fitxers utilitzat per les empreses. Permet als usuaris de Windows de la mateixa xarxa compartir i accedir fàcilment als fitxers.

Segons els experts en seguretat de DeepInstinct, TrickBot s'ha convertit en una "amenaça robusta, elaborada i sofisticada, amb múltiples propòsits per a diversos tipus de maliciosos activitat ". Van descobrir una variant del programari maliciós TrickBot, anomenada TrickBooster, un mòdul de distribució basat en correu electrònic maliciós que recull correus electrònics i contactes de la llibreta d’adreces i dels comptes de correu electrònic de l’ordinador infectat. A continuació, el programari maliciós envia correus electrònics brossa des del compte de correu electrònic de l'usuari i suprimeix els missatges enviats per evitar la detecció. És així com el programari maliciós es propaga ràpidament i recopila comptes de correu electrònic per obtenir ingressos.

En resum, el programari maliciós de TrickBot funciona en quatre etapes:

  • L’ordinador de la víctima s’infecta amb TrickBot i rep instruccions del servidor de control TrickBot per descarregar TrickBooster.
  • El TrickBooster descarregat informa al servidor de control i envia llistes d’adreces de correu electrònic recollides i credencials d’inici de sessió. des de l’ordinador infectat.
  • El servidor de control de TrickBooster indica al bot de programari maliciós que enviï correus electrònics maliciosos des dels comptes de correu electrònic de la víctima.
  • El bot de TrickBooster envia correus brossa per difondre el programari maliciós més enllà.

Segons la investigació de DeepInstinct, la base de dades de programari maliciós de TrickBot contenia uns 250 milions d’adreces de correu electrònic que s’havien recollit recentment. Dels 250 milions d’adreces de correu electrònic, 25 milions provenien de Gmail, 21 milions de Yahoo !, 11 milions d’Hotmail i 10 milions d’AOL i MSN. La resta d’entrades provenien de dominis de correu electrònic propietat d’empreses i agències governamentals. Fins i tot es van recollir adreces de correu electrònic del Departament de Justícia dels Estats Units, Seguretat Nacional, IRS, NASA i ATF.

Com protegir el vostre ordinador contra TrickBot Programari maliciós de TrickBot. Ja veieu, aquest programari maliciós és molt astut i pot ser molt difícil de detectar. Com que suprimeix tots els missatges enviats, no podreu notar res a no ser que algú a qui se li hagi enviat el correu brossa us ho notifiqui. En aquest cas, la vigilància és la millor forma de protecció contra aquest programari maliciós complicat.

Aquests són alguns consells per evitar que TrickBot infecti l'ordinador i protegeixi les seves dades:

  • Instal·leu totes les actualitzacions de Windows disponibles. Microsoft publica els darrers pegats de seguretat mitjançant Windows Update, així que assegureu-vos d’instal·lar-los quan estiguin disponibles. També podeu comprovar manualment Windows Update anant a Configuració & gt; Actualitza & amp; Seguretat & gt; Actualització de Windows. Feu clic al botó Cerca actualitzacions per veure si hi ha actualitzacions noves que cal instal·lar.
  • Actualitzeu el programari antivirus, inclosos els provinents d’ordinadors connectats a la mateixa xarxa.
  • Aneu amb compte quan obriu correus electrònics, especialment aquells amb fitxers adjunts. Els correus electrònics de pesca (suplantació d’identitat) són el mode de distribució número u del programari maliciós de TrickBot, de manera que presteu molta atenció als correus electrònics poc habituals que rebeu. Si rebeu un correu electrònic d’un domini extern a la xarxa de la vostra empresa i el tema del correu electrònic està relacionat amb la feina, investigueu primer el domini per verificar si el correu electrònic és legítim. Pot ser molt difícil determinar l'autenticitat del correu electrònic, ja que el programari maliciós sol imitar empreses reals per enganyar els usuaris perquè els obrin.
  • No doneu les vostres credencials d'inici de sessió. Alguns atacants de TrickBot apunten als usuaris de PayPal i els enganyen perquè publiquin la seva informació d’inici de sessió. Si feu clic a un enllaç i se us demana que inicieu la sessió, ja sigui amb PayPal, correu electrònic o altres comptes, tanqueu el navegador immediatament.
Com eliminar el programari maliciós de TrickBot

Com es va esmentar anteriorment, TrickBot és molt difícil de tractar. És una de les amenaces cibernètiques més grans actualment i desfer-se’n requereix molt d’esforç i atenció. Aquest tipus de troià sap amagar-se bé, de manera que cal ser exhaustius a l’hora d’eliminar aquest programari maliciós. Normalment amaga els fitxers maliciosos al fons del sistema, cosa que fa que sigui difícil de detectar i eliminar.

Si sospiteu que el vostre equip està infectat amb el programari maliciós de TrickBot, seguiu la guia següent sobre com eliminar-lo manualment i assegureu-vos que no torni.

Pas 1: arrenceu en mode segur.

L'arrencada en mode segur desactiva tots els processos innecessaris de tercers perquè pugueu distingir fàcilment els processos sospitosos que s'executen a l'ordinador. Per iniciar el mode segur, seguiu els passos següents:

  • Feu clic a Inici i, a continuació, feu clic a la icona del botó d'engegada que hi ha a l'extrem inferior esquerre del menú. Això revelaria el menú d’opcions d’alimentació.
  • Manteniu premut el botó Majúscula del teclat i, a continuació, feu clic a Reinicia/
  • L’ordinador es reiniciarà i passarà al Mode segur .
    • Pas 2: desinstal·leu programes sospitosos.

    La majoria de programari maliciós instal·la altres programes maliciosos a l'ordinador. En el cas de TrickBot, descarrega i instal·la TrickBooster per recollir adreces de correu electrònic i informació de contacte a l’ordinador infectat. Heu de comprovar quins programes instal·lats a l’ordinador són legítims i quins són sospitosos.

    Per desinstal·lar aplicacions sospitoses de l’ordinador, feu el següent:

  • Obriu Executa prement els botons Windows + R .
  • Escriviu appwiz.cpl al quadre de diàleg i feu clic a D'acord . Això obriria el Tauler de control. Cerqueu programes que no heu instal·lat i desinstal·leu-los.
    • Pas 3: desactiveu les entrades d'inici sospitoses.

    TrickBot, igual que altres programes maliciosos, està dissenyat per executar-se quan es carrega el sistema. Cal que comproveu els elements d’inici per saber si hi ha processos desconeguts que s’estan carregant durant l’inici.

    Per fer-ho:

  • Obriu Executa prement el botó < botons forts> Windows + R junts.
  • Escriviu msconfig al quadre de diàleg i premeu Retorn . S’hauria d’obrir la finestra Serveis .
  • Feu clic a la pestanya Inici .
  • Cerqueu entrades amb Desconegut a la categoria Fabricant i desmarqueu-los.
    • Pas 4: Mata els processos sospitosos.

    A part de desactivar les entrades d'inici sospitoses i desinstal·lar programes falsos, també és important comprovar quins els processos que s’executen a l’ordinador són programari maliciós. Heu d’eliminar aquests processos immediatament i suprimir els directoris on s’amaguen els fitxers. Per fer-ho:

  • Premeu Ctrl + Maj + Esc per obrir Gestor de tasques.
  • Feu clic a la pestanya Processos .
  • Determineu quins processos són entitats de programari maliciós cercant-ne Google.
  • feu clic al procés sospitós i, a continuació, trieu Obre la ubicació del fitxer . Això hauria d'obrir el directori on es troben els fitxers del procés.
  • Torneu al Gestor de tasques, torneu a fer clic amb el botó dret del ratolí sobre el procés sospitós i feu clic a Finalitza el procés.
  • Torneu a la carpeta oberta i suprimiu tots els fitxers.
    • Pas 5: escanegeu l'ordinador amb Anti-Malware.

    Per desfer-vos del TrickBot, es recomana: analitzeu l’ordinador i els seus directoris mitjançant el vostre programari antimalware actualitzat. Un cop detectat, seguiu les instruccions per eliminar completament el programari maliciós de TrickBot.

    Pas 6: suprimiu els fitxers sobrants.

    Un dels motius pels quals TrickBot és difícil d’eliminar és perquè amaga molt bé els fitxers. Cal que us assegureu que tots els fitxers associats amb el programari maliciós s’han suprimit per evitar que es torni. Aquests fitxers solen ocultar-se en directoris amb noms aleatoris. Podeu cercar aquestes carpetes per veure si hi ha algun fitxer sobrant de TrickBot que s’amaga darrere:

    • C: \
    • C: \ Windows
    • C: \ Windows \ System32
    • C: \ Windows \ Syswow64
    • C: \ Windows \ ProgramData
    • % AppData% carpetes, especialment la carpeta itinerant
    Resum

    El programari maliciós de TrickBot ens mostra com un programari maliciós senzill pot adaptar-se a les noves tecnologies i augmentar el nivell del seu joc. La vigilància i la consciència són la protecció número u contra el malware persistent i difícil de detectar, com ara TrickBot. Si creieu que el vostre sistema s'ha infectat, seguiu la nostra guia anterior per eliminar completament el programari maliciós de TrickBot de l'ordinador.

    Vídeo de YouTube: Com desfer-se del programari maliciós de TrickBot

    04, 2024