Usuwanie złodzieja malware Gomorrah z systemu operacyjnego
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Czym jest Gomorrah?
Gomorrah to złośliwe oprogramowanie kradnące informacje. Uzyskaliśmy jego próbkę z VirusTotal, a następnie przeanalizowaliśmy ją. Odkryliśmy, że to malware atakuje przede wszystkim dane uwierzytelniające konta i numery kart kredytowych.
Przegląd malware Gomorrah
Złodziej Gomorrah rozpoczyna swoją aktywność od zebrania danych o: systemie operacyjnym, procesorze, pamięci (RAM), nazwie urządzenia oraz oprogramowaniu antywirusowym/bezpieczeństwa.
Ten złośliwy program może wydobywać informacje (głównie hasła) z następujących przeglądarek: Google Chrome, Mozilla Firefox, Opera, Amigo, Brave, Comodo, Kometa, Orbitum, Torch i Yandex. Może również wyodrębnić te dane z innych aplikacji – Mozilla Thunderbird (klienta poczty e-mail), FileZilla (FTP – klient protokołu przesyłania plików), Pidgin (IM – klienta wiadomości błyskawicznych) i Proxifier (obsługi serwera proxy).
Gomorrah próbuje uzyskać dane uwierzytelniające portfela kryptowalutowego i dane karty kredytowej. Ten program może pobierać różne pliki z folderu pulpitu i dokumentów, np. bazy danych (MySQL, SQLite, kopie zapasowe serwerów SQL i Microsoft Access), dokumenty/pliki tekstowe (.txt, .doc, docx, .xlsx i .pdf) , obrazy (.jpg, .png, .gif i .jpge) oraz pliki dziennika (.log). Kolejną umiejętnością Gomorry jest robienie zrzutów ekranu.
Posiadając takie informacje, cyberprzestępcy mogą być w stanie dokonywać nieautoryzowanych transakcji lub zakupów online. Skradzione konta mogą być używane do proszenia kontaktów o ładowanie lub rozsyłania malware pod przykrywką prawdziwego właściciela (np. e-maile, sieci społecznościowe, media społecznościowe, komunikatory itp.).
Podsumowując, infekcje malware Gomorrah mogą powodować poważne problemy z prywatnością, znaczne straty finansowe i kradzież tożsamości.
Nazwa | Malware Gomorrah |
Typ zagrożenia | Trojan, wirus kradnący hasła, złośliwe oprogramowanie bankowe, oprogramowanie szpiegujące. |
Nazwy wykrycia | Avast (Win32:CoinminerX-gen [Trj]), Combo Cleaner (IL:Trojan.MSILZilla.12351), ESET-NOD32 (wariant MSIL/Spy.Agent.AES), Kaspersky (HEUR:Trojan.Win32.Generic), Microsoft (Trojan:MSIL/PasswordStealer.PA!MTB), Pełna lista wykrycia (VirusTotal) |
Objawy | Trojany mają na celu potajemną infiltrację komputera ofiary i milczenie, dzięki czemu na zainfekowanej maszynie nie widać wyraźnie żadnych konkretnych objawów. |
Metody dystrybucji | Zainfekowane załączniki do wiadomości e-mail, złośliwe reklamy online, socjotechnika, narzędzia łamania zabezpieczeń oprogramowania. |
Zniszczenie | Skradzione hasła i informacje bankowe, kradzież tożsamości, komputer ofiary dodany do botnetu. |
Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Ogólne informacje o malware
Przeanalizowaliśmy tysiące próbek złośliwego oprogramowania. Granda Misha, Mercurial grabber i Grakate to kilka przykładów szkodliwych programów z funkcjami złodzieja danych.
Ogólnie malware może mieć różne możliwości w różnych kombinacjach. Typowe typy/funkcje to: programy ładujące (infekcje łańcuchowe), złodzieje (wydobywanie plików/danych), oprogramowanie szpiegujące (keyloggery, nagrywanie pulpitu, możliwość nagrywania audio/wideo przez mikrofony i kamery internetowe itp.), clippery (zamienniki danych ze schowka), ransomware (szyfrowanie danych/blokowanie ekranu w celu uzyskania okupu), górnicy kryptowaluty (nadużywanie zasobów systemowych w celu wydobywania kryptowaluty) itd.
Jak Gomorrah dostał się do komputera?
W czasie badań odkryliśmy, że programiści Gomorrah oferowali go do sprzedaży online. W związku z tym sposób dystrybucji tego złodzieja zależy od korzystających z niego cyberprzestępców.
Ogólnie ujmując, malware jest zwykle rozsyłane za pomocą technik phishingu i socjotechniki. Przykładowo, spamowe wiadomości e-mail mogą zawierać zainfekowane pliki jako załączniki lub linki do pobrania. Pliki te mogą być dokumentami Microsoft Office i PDF, archiwami, plikami wykonywalnymi, JavaScript itp. Po ich otwarciu inicjowany jest łańcuch infekcji.
Malware jest również dystrybuowane za pośrednictwem niewiarygodnych źródeł pobierania, np. nieoficjalnych witryn i stron z freeware do pobrania, sieci udostępniania peer-to-peer itp. Nielegalne narzędzia aktywacyjne („łamania" zabezpieczeń) mogą powodować infekcje zamiast aktywować licencjonowane programy. Fałszywe programy aktualizujące infekują systemy, wykorzystując słabości nieaktualnego oprogramowania i/lub instalując malware.
Jak uniknąć instalacji malware?
Radzimy, aby zawsze pobierać produkty z oficjalnych i zweryfikowanych kanałów. Kolejną rekomendacją jest aktywacja i aktualizacja programów za pomocą narzędzi/funkcji zapewnionych przez prawdziwych programistów. Nie należy otwierać/klikać załączników i linków obecnych w podejrzanych e-mailach, ponieważ mogą zawierać malware.
Musimy podkreślić, jak ważne jest posiadanie zainstalowanego i aktualizowanego na bieżąco renomowanego programu antywirusowego. To oprogramowanie musi być używane do wykonywania regularnych skanów systemu oraz usuwania zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć obecne malware.
Zrzut ekranu logowania do panelu administracyjnego złodzieja Gomorrah:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest Gomorrah?
- KROK 1. Manualne usuwanie malware Gomorrah.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner.
Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatycznie uruchamiane aplikacje, rejestr i lokalizacje plików systemowych:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcje zaawansowane systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.
Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, a w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk „Uruchom ponownie teraz". Twój komputer zostanie teraz ponownie uruchomiony w „Zaawansowanym menu opcji uruchamiania". Kliknij przycisk „Rozwiąż problemy", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".
Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie na ekranie Ustawienia uruchamiania. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij „Uruchom ponownie" przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij przycisk „Rozwiązywanie problemów", a następnie wybierz opcję „Opcje zaawansowane".
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie powinieneś kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" oraz „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz usunąć.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po znalezieniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń".
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware.
Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany malware Gomorrah. Czy należy sformatować urządzenie pamięci masowej, aby się go pozbyć?
Nie, Gomorrah można usunąć bez formatowania.
Jakie są największe problemy, jakie może powodować malware Gomorrah?
Zagrożenia, jakie stwarza infekcja, zależą od możliwości złośliwego programu i sposobu działania cyberprzestępców. Ponieważ Gomorrah jest złodziejem (malware kradnącym informacje), najprawdopodobniej spowoduje poważne problemy z prywatnością, straty finansowe i kradzież tożsamości.
Jaki jest cel złośliwego oprogramowania Gomorrah?
Zazwyczaj malware jest publikowane w celu generowania przychodów dla cyberprzestępców. Jednak niektóre ataki mają na celu rozbawić przestępców lub zakłócić procesy (np. strony internetowe, usługi, firmy, organizacje itp.). Motywacje polityczne/geopolityczne i osobiste wendety mogą również motywować kampanie malware.
Jak malware Gomorrah przeniknęło do mojego komputera?
Złośliwe oprogramowanie jest rozpowszechniane poprzez pobrania drive-by (ukryte i zwodnicze), wiadomości spamowe, nieoficjalne witryny i strony z bezpłatnym hostingiem plików, sieci wymiany peer-to-peer, nielegalne narzędzia aktywacji oprogramowania („łamania" zabezpieczeń), fałszywe aktualizacje, oszustwa internetowe itp. Niektóre złośliwe programy są zdolne do samodzielnego rozprzestrzeniania się w sieciach lokalnych i wymiennych urządzeniach pamięci (np. zewnętrznych dyskach twardych, dyskach flash USB itp.).
Czy Combo Cleaner ochroni mnie przed malware?
Tak, Combo Cleaner może wykryć i usunąć prawie wszystkie znane infekcje malware. Jednak przeprowadzenie pełnego skanowania systemu ma kluczowe znaczenie, ponieważ wyrafinowane złośliwe oprogramowanie zwykle ukrywa się głęboko w systemie.
▼ Pokaż dyskusję