Jak odinstalować Cinobi z komputera
Napisany przez Tomasa Meskauskasa,
Czym jest Cinobi?
Cinobi to złośliwe oprogramowanie trojańskie zdolne do kradzieży danych uwierzytelniających do banków (i dlatego jest sklasyfikowane jako trojan bankowy). Badania pokazują, że cyberprzestępcy atakują głównie klientów japońskich banków, ale mogą również atakować klientów innych banków. Jeśli uważasz, że ten trojan bankowy może być zainstalowany w twoim systemie operacyjnym, natychmiast go usuń.
Badania pokazują, że istnieją dwie wersje Cinobi: jedna służy do przechwytywania formularzy i może być używana do modyfikowania odwiedzanych witryn. Druga ma możliwości pierwszej i może również komunikować się z serwerem dowodzenia i kontroli (C&C) za pośrednictwem proxy Tor.
Szkodliwe programy potrafią przechwytywać formularze i atakować informacje bankowości internetowej. Przechwytują poufne informacje, takie jak dane uwierzytelniające (nazwy użytkownika i hasła) bezpośrednio z formularza przeglądarki lub strony internetowej. Oznacza to, że programy trojańskie, takie jak Cinobi, zapisują informacje wprowadzane do formularzy na podstawie specyfikacji ich projektanta/twórcy.
Zwykle cyberprzestępcy wykorzystują skradzione informacje do dokonywania nieuczciwych zakupów i transakcji lub sprzedają je stronom trzecim. Cinobi może być również wykorzystywany do przeprowadzania ataków typu web injection, które pozwalają cyberprzestępcom zmieniać zawartość witryny po stronie ofiary. Dlatego mogą służyć do tworzenia fałszywych formularzy lub stron internetowych oraz wykonywania innych czynności.
Ataki typu injection służą do zmiany wyglądu wyświetlanych stron internetowych i kradzieży tożsamości.
Ofiary ataków Cinobi mogą zatem stać się ofiarami kradzieży tożsamości, ponieść straty finansowe, mieć problemy z prywatnością w internecie i inne. Jeśli ten trojan bankowy jest zainstalowany na twoim komputerze, natychmiast go usuń.
Nazwa | Malware Cinobi |
Typ zagrożenia | Trojan, wirus kradnący hasła, malware bankowe. |
Nazwy wykrycia | Avast (Win32:Trojan-gen), Combo Cleaner (Trojan.GenericKD.33017051), ESET-NOD32 (wariant Win64/Agent.SC), Kaspersky (HEUR:Trojan.Win32.Generic), Pełna lista (VirusTotal) |
Nazwy wykrycia (złośliwy instalator Logitech Capture rozsyłąjący Cinobi) | Avast (Win32:Trojan-gen), Combo Cleaner (Gen:Variant.Bulz.52873), ESET-NOD32 (wariant Win32/Agent.ACFG), Kaspersky (HEUR:Trojan.Win32.Agent.gen), Pełna lista (VirusTotal) |
Objawy | Trojany są zaprojektowane, aby podstępnie infiltrować komputer ofiary i pozostawać cichymi, w wyniku czego na zainfekowanym urządzeniu nie ma jasno widocznych objawów. |
Metody dystrybucji | Zainfekowane załączniki e-mail, złośliwe ogłoszenia internetowe, inżynieria społeczna, narzędzia "łamania" oprogramowania. |
Zniszczenie | Skradzione hasła i informacje bankowe, kradzież tożsamości, komputer ofiary dodany do botnetu. |
Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Inne przykłady szkodliwych programów trojańskich zaprojektowanych w celu kradzieży poufnych informacji obejmują LatenBot, Grandoreiro i KBOT. Trojany są często zaprojektowane do rozsyłania innego malware (np. ransomware). Cyberprzestępcy próbują nakłonić niczego niepodejrzewających użytkowników do zainstalowania tego oprogramowania, aby wygenerować jak największe przychody.
Jak Cinobi dostał się do mojego komputera?
Badania pokazują, że cyberprzestępcy próbują rozsyłać Cinobi za pomocą kampanii spamowych i zestawu exploitów Bottle, który rozsyła malware złośliwe za pośrednictwem „malvertisingu" (złośliwych reklam). Zwykle, gdy cyberprzestępcy próbują zainfekować komputery malware poprzez kampanie spamowe, wysyłają e-maile zawierające złośliwy załącznik i mają nadzieję, że odbiorcy go otworzą/wykonają. Często wysyłają e-maile zawierające link do witryny, który po otwarciu pobiera złośliwy plik. W każdym razie komputery zostają zainfekowane, gdy odbiorcy uruchamiają złośliwy plik.
Niektóre przykłady plików, które cyberprzestępcy dołączają do swoich e-maili, obejmują dokumenty Microsoft Office lub PDF, pliki archiwów, takie jak ZIP, RAR, pliki wykonywalne (.exe) i pliki JavaScript. BottleEK wykorzystuje CVE-2018-15982, lukę Flash Player. Wykorzystuje również CVE-2018-8174, lukę umożliwiającą wykonanie kodu VBSript. Komputery zostają zainfekowane, gdy ofiary otwierają stronę docelową zestawu exploitów z podatną na ataki (przestarzałą lub niezałataną) przeglądarką internetową.
Jak uniknąć instalacji złośliwego oprogramowania?
Nie należy pobierać ani instalować oprogramowania i plików za pośrednictwem zewnętrznych konfiguratorów pobierania, instalatorów, sieci peer-to-peer (np. klientów torrent, eMule), stron z freeware do pobrania, witryn z bezpłatnym hostingiem plików lub innych podobnych kanałów. Każde oprogramowanie należy pobierać z oficjalnych, wiarygodnych witryn oraz za pośrednictwem bezpośrednich linków.
Nie otwieraj załączników ani linków internetowych w nieistotnych wiadomościach e-mail wysłanych z nieznanych i podejrzanych adresów. Pamiętaj, że cyberprzestępcy często maskują swoje e-maile jako oficjalne i ważne. Dlatego nigdy nie otwieraj treści otrzymanych e-maili, chyba że masz pewność, że jest to bezpieczne.
Ponadto, zainstalowane oprogramowanie musi być aktywowane i aktualizowane za pomocą narzędzi/funkcji zapewnionych przez oficjalnych twórców oprogramowania. Unikaj zewnętrznych aktualizacji i aktywatorów itp. Co więcej, aktywacja licencjonowanego oprogramowania za pomocą narzędzi „łamania" zabezpieczeń jest nielegalna.
Dbaj o bezpieczeństwo komputerów/systemów operacyjnych, regularnie skanując je pod kątem zagrożeń za pomocą renomowanego oprogramowania antywirusowego lub antyszpiegowskiego. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć obecne malware.
Aktualizacja 18. sierpnia 2021 - Odnotowano, że trojan Cinobi jest rozpowszechniany za pośrednictwem szkodliwej kampanii reklamowej skierowanej do japońskich użytkowników. Kampania ma na celu zainfekowanie urządzeń ofiar tym trojanem, a następnie uzyskanie ich nazwy użytkownika/hasła od jedenastu japońskich instytucji finansowych, z których trzy opierają się na handlu kryptowalutami.
Zaobserwowano, że złośliwe reklamy rozsyłająca Cinobi reklamują następujące produkty – animowaną pornograficzną grę wideo, platformy/usługi strumieniowania wideo oraz aplikację do generowania nagród w postaci punktów. Ofiary, które klikną te reklamy, są przekierowywane na stronę internetową zachęcającą je do pobrania pliku archiwum ZIP, który rzekomo zawiera wersję 2018 aplikacji Logitech Capture. Jednak trojanizowane pliki są przeznaczone do inicjowania pobierania/instalacji Cinobi po ich uruchomieniu.
Zrzut ekranu plików w złośliwym archiwum dystrybuowanym poprzez złośliwą kampanię reklamową:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest Cinobi?
- KROK 1. Manualne usuwanie malware Cinobi.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk „Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w „Menu zaawansowanych opcji uruchamiania." Kliknij przycisk „Rozwiązywanie problemów", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij „Ustawienia uruchamiania." Kliknij przycisk „Uruchom ponownie". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij „F5", aby uruchomić w Trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij „Uruchom ponownie" przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij przycisk „Rozwiązywanie problemów", a następnie wybierz opcję „Opcje zaawansowane". W menu zaawansowanych opcji wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń".
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.
Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
▼ Pokaż dyskusję