Instrukcje usuwania malware Ice Breaker
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Czym jest Ice Breaker?
Ice Breaker to złośliwe oprogramowanie typu backdoor napisane w Node.js. Kampanie z udziałem tego szkodliwego programu zostały po raz pierwszy zidentyfikowane w 2022 roku przez firmę Security Joes. Ataki te były wymierzone w branżę gier i gier hazardowych i były szczególnie rozpoznawalne dzięki technikom socjotechnicznym stosowanym przez cyberprzestępców.
W chwili pisania tego artykułu cyberprzestępcy stojący za kampaniami Ice Breaker nie są identyfikowani jako należący do określonej grupy hakerów ani regionu geograficznego. Istnieją jednak dowody sugerujące, że ci przestępcy nie są rodzimymi użytkownikami języka angielskiego.
Przegląd malware Ice Breaker
Obserwowane kampanie Ice Breaker rozpoczęły się od cyberprzestępców szukających pomocy w kanałach wsparcia dla platform gier/hazardowych. Wsparcie musiało być obsługiwane przez osobę, a cyberprzestępcy preferowali osoby niebędące rodzimymi użytkownikami języka angielskiego – nawet jeśli sami nie mówili biegle w żądanym języku. Wybór ten mógłby zostać dokonany w celu ukrycia nieudolności przestępców w posługiwaniu się językiem angielskim i/lub ograniczenia komunikacji do minimum.
Zwykle obieranej za cel osobie wsparcia przedstawiane były fałszywe twierdzenia dotyczące nieudanych prób zalogowania się lub rejestracji nowego konta. Jako wyjaśnienie fałszywego błędu, cyberprzestępcy wysłali „zrzuty ekranu" za pośrednictwem linków do pobrania.
W większości przypadków szkodliwe pliki były hostowane na fałszywych witrynach hostujących pliki, które imitowały legalne witryny, w szczególności adresy URL zawierające podobne znaki (atak homograficzny IDN). Wykorzystano jednak również usługę hostingową Dropbox. Celem cyberprzestępców było wsparcie w otwieraniu szkodliwego pliku. Głównym używanym przez przestępców był plik LNK, a tylko w przypadku niepowodzenia oszustwa uciekali się do udostępniania linku do pobrania pliku VBS.
Ten ostatni jest przeznaczony do infekowania urządzeń malware DUNIHI. Pierwszy jest zamaskowany nazwą pliku oczekiwaną od zrzutu ekranu i ikoną pliku obrazu używaną przez system Windows. Po otwarciu tego pliku LNK inicjuje on proces poszukiwania poświadczeń i wykorzystuje odwróconą powłokę, aby kontynuować łańcuch infekcji, którego kulminacją jest infekcja Ice Breaker.
Ice Breaker wykorzystuje różne środki zapobiegające analizie (np. zrzucanie plików-wabików, podszywanie się pod legalne oprogramowanie itp.), aby skomplikować wykrywanie i inżynierię wsteczną.
Po udanej infiltracji to malware może wydobywać pliki, wydobywać internetowe pliki cookie i nazwy użytkowników/hasła z przeglądarek (zwłaszcza Google Chrome) oraz robić zrzuty ekranu.
Należy wspomnieć, że twórcy malware często aktualizują swoje dzieła. Dlatego też przyszłe warianty Ice Breaker prawdopodobnie będą miały dodatkowe/inne zdolności.
Podsumowując, obecność oprogramowania takiego jak Ice Breaker w systemie może spowodować poważne problemy z prywatnością, straty finansowe i kradzież tożsamości. Ponieważ ten szkodliwy program był wykorzystywany do atakowania firm, konsekwencje tych ataków mogą być szczególnie dotkliwe.
Jeśli uważasz, że twój system jest zainfekowany Ice Breakerem (lub innym malware) – zdecydowanie zalecamy wykonanie pełnego skanu systemu programem antywirusowym i jak najszybsze usunięcie go.
Nazwa | Wirus Ice Breaker |
Typ zagrożenia | Trojan, wirus kradnący hasła, złośliwe oprogramowanie bankowe, oprogramowanie szpiegujące. |
Nazwy wykrycia | Avast (Win64:Malware-gen), Fortinet (Malicious_Behavior.SB), Kaspersky (Trojan.Win64.Alien.aeb), Panda (Trj/Chgt.AD), Rising (Trojan.Alien!8.5E97 (CLOUD)), Symantec (ML.Attribute.HighConfidence), Pełna lista wykrycia (VirusTotal) |
Wykrycia powiązanej domeny przez VirusTotal | screenshotcap[.]com, screenshotlite[.]com |
Objawy | Trojany mają na celu potajemną infiltrację komputera ofiary i pozostawanie cichym, dzięki czemu na zainfekowanym urządzeniu nie są wyraźnie widoczne żadne szczególne objawy. |
Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy internetowe, inżynieria społeczna, narzędzia do „łamania" zabezpieczeń oprogramowania. |
Zniszczenie | Skradzione hasła i informacje bankowe, kradzież tożsamości, komputer ofiary dodany do botnetu. |
Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Ogólne informacje o malware
Przeanalizowaliśmy tysiące próbek malware, a GoogleUpdate malware, zgRAT, PrintManager, Creal, PY#RATION, Album Stealer – to tylko niektóre z naszych najnowszych odkryć.
Złośliwe oprogramowanie może mieć wiele różnych możliwości i zastosowań. Może być zaprojektowane do kradzieży informacji, powodowania infekcji łańcuchowych, szyfrowania danych w celu okupu (ransomware), monitorowania ofiar, wykorzystywania zasobów systemowych do wydobywania kryptowaluty (koparki kryptowalutowe) etc.
Jednak niezależnie od tego, jak działa malware – obecność tego oprogramowania w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego zdecydowanie zalecamy usunięcie zagrożeń natychmiast po ich wykryciu.
Jak Ice Breaker dostał się na mój komputer?
Jak opisano wcześniej, zaobserwowano dystrybucję Ice Breaker poprzez zastosowanie taktyk socjotechnicznych. W badanych kampaniach to złośliwe oprogramowanie było wykorzystywane do atakowania branży hazardowej i branży gier. Cyberprzestępcy starali się nakłonić wsparcie obsługiwane przez osoby do pobrania i otwarcia złośliwych plików LNK lub VBS. Te pierwsze zainfekowały urządzenia Ice Breakerem, a drugie DUNIHI.
Należy jednak wspomnieć, że inne metody dystrybucji nie są mało prawdopodobne. W większości przypadków złośliwe oprogramowanie rozsyła się za pomocą phishing i socjotechniki. Zainfekowane pliki są zwykle zamaskowane lub dołączone do zwykłych produktów. W przypadku Ice Breaker pliki nosiły nazwy sugerujące, że były to zrzuty ekranu i wykorzystywały ikony plików obrazów systemu Windows.
Do najczęściej stosowanych technik dystrybucji malware należą: pobrania drive-by, złośliwe załączniki/linki w e-mailach i wiadomościach spamowych, podejrzane kanały pobierania (np. witryny z bezpłatnym oprogramowaniem i strony osób trzecich, sieci udostępniania peer-to-peer itp.), oszustwa internetowe, złośliwe reklamy, narzędzia do nielegalnej aktywacji programów („pirackie") i fałszywe aktualizacje.
Jak uniknąć instalacji malware?
Zalecamy zachowanie ostrożności w przypadku przychodzących e-maili i innych wiadomości. Załączniki lub linki znalezione w podejrzanej/nieistotnej poczcie nie mogą być otwierane, ponieważ mogą być zaraźliwe. Innym zaleceniem jest ostrożność podczas przeglądania sieci, ponieważ fałszywe i złośliwe treści online zwykle wydają się zwyczajne i nieszkodliwe.
Zalecamy również pobieranie produktów wyłącznie z oficjalnych i wiarygodnych źródeł. Równie ważne jest aktywowanie i aktualizowanie programów za pomocą funkcji/narzędzi zapewnianych przez legalnych programistów, ponieważ nielegalne narzędzia aktywacyjne („pirackie") i aktualizatory stron trzecich mogą zawierać malware.
Musimy podkreślić, że zainstalowanie i zaktualizowanie renomowanego programu antywirusowego ma ogromne znaczenie dla bezpieczeństwa urządzenia/użytkownika. Oprogramowanie bezpieczeństwa musi być używane do przeprowadzania regularnych skanów systemu oraz usuwania zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć obecne malware.
Fałszywa witryna hostująca pliki, promująca złośliwy plik LNK (zaprojektowana do infekowania urządzeń Ice Breaker):
Złośliwy plik LNK (skrót) przebrany za obraz:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest Ice Breaker?
- KROK 1. Manualne usuwanie malware Ice Breaker.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner.
Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatycznie uruchamiane aplikacje, rejestr i lokalizacje plików systemowych:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcje zaawansowane systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.
Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, a w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk „Uruchom ponownie teraz". Twój komputer zostanie teraz ponownie uruchomiony w „Zaawansowanym menu opcji uruchamiania". Kliknij przycisk „Rozwiąż problemy", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".
Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie na ekranie Ustawienia uruchamiania. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij „Uruchom ponownie" przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij przycisk „Rozwiązywanie problemów", a następnie wybierz opcję „Opcje zaawansowane".
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie powinieneś kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" oraz „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz usunąć.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po znalezieniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń".
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware.
Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany malware Ice Breaker. Czy trzeba sformatować urządzenie pamięci masowej, aby się go pozbyć?
Nie, większość złośliwych programów można usunąć bez konieczności formatowania.
Jakie są największe problemy, jakie może powodować złośliwe oprogramowanie Ice Breaker?
Zagrożenia stwarzane przez infekcję zależą od możliwości szkodliwego programu i celów cyberprzestępców. Podstawową funkcją Ice Breaker jest kradzież danych. Ogólnie rzecz biorąc, takie infekcje mogą skutkować poważnymi problemami prywatności, stratami finansowymi i kradzieżą tożsamości. To złośliwe oprogramowanie było wykorzystywane w atakach wymierzonych w branżę gier i hazardu. W związku z tym infekcje te mogą mieć druzgocące konsekwencje dla zaatakowanych firm.
Jaki jest cel malware Ice Breaker?
W większości przypadków złośliwe oprogramowanie służy do generowania przychodów. Jednak cyberprzestępcy mogą również używać tego oprogramowania do zabawy, przeprowadzania osobistych wendet, szpiegostwa korporacyjnego, zakłócania procesów (np. stron internetowych, usług, firm itp.), a nawet przeprowadzania ataków motywowanych politycznie/geopolitycznie.
Jak złośliwe oprogramowanie Ice Breaker przeniknęło do mojego komputera?
W kampaniach Ice Breaker, których celem były branże gier/hazardu, to malware było rozpowszechniane za pomocą socjotechniki. Cyberprzestępcy udawali użytkowników mających problemy z logowaniem/rejestracją i próbowali nakłonić wsparcie do pobrania i otwarcia złośliwych plików.
Jednak złośliwe oprogramowanie jest rozpowszechniane przy użyciu różnych technik i nie jest to mało prawdopodobne w przypadku Ice Breaker. Malware jest dystrybuowane głównie za pośrednictwem pobrań drive-by, poczty spamowej, oszustw internetowych, złośliwych reklam, podejrzanych źródeł pobierania (np. aktualizacji). Ponadto niektóre złośliwe programy mogą samoczynnie rozsyłać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, dysków flash USB itp.).
Czy Combo Cleaner ochroni mnie przed malware?
Tak, Combo Cleaner jest przeznaczone do wykrywania i usuwania zagrożeń. Jest w stanie usunąć prawie wszystkie znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że ponieważ wyrafinowane malware zwykle ukrywa się głęboko w systemach, kluczowe znaczenie ma wykonanie pełnego skanowania systemu.
▼ Pokaż dyskusję