Jak usunąć CarnavalHeist z zainfekowanych urządzeń
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest CarnavalHeist?
CarnavalHeist to trojan bankowy atakujący użytkowników w Brazylii. Jest on zdolny do kradzieży danych bankowych i wykonywania innych działań. Zainfekowanie urządzenia CarnavalHeist może skutkować stratami finansowymi, kradzieżą tożsamości i innymi problemami. Dlatego CarnavalHeist powinien zostać jak najszybciej wyeliminowany z zainfekowanych urządzeń.
Więcej informacji o CarnavalHeist
CarnavalHeist może wykradać dane bankowe poprzez ataki typu overlay. Może wyświetlać fałszywe okno nad legalnymi aplikacjami bankowymi, aby nakłonić użytkowników do ujawnienia danych osobowych (np. identyfikatorów, nazw użytkowników i haseł). Monitoruje określone tytuły okien, a po wykryciu dopasowania ukrywa oryginalne okno i wyświetla odpowiednią nakładkę.
CarnavalHeist zawiera różne funkcje przechwytywania danych, które mogą być uruchamiane automatycznie lub za pomocą poleceń otrzymywanych za pośrednictwem serwera poleceń i kontroli. Używa zmodyfikowanego protokołu klienta zdalnego dostępu Delphi, podobnego do tego używanego przez Mekotio i złośliwe oprogramowanie Casbaneiro. Protokół ten pozwala atakującym na wykonanie około 80 poleceń.
Polecenia te obejmują rejestrowanie naciśnięć klawiszy, robienie zrzutów ekranu, przechwytywanie filmów i zdalne sterowanie urządzeniem. CarnavalHeist ma również możliwość wykonywania zdalnej kontroli za pośrednictwem AnyDesk, umożliwiając atakującym wykonywanie określonych działań przy użyciu urządzenia ofiary podczas sesji bankowych.
Co więcej, złośliwe oprogramowanie może generować i przechwytywać kody QR w celu przekierowania transakcji na konta kontrolowane przez podmioty stanowiące zagrożenie. Dodatkowo CarnavalHeist rejestruje dane wprowadzane za pomocą myszy i klawiatury, ujawniając kody PIN i inne poufne informacje, gdy ofiary dokonują transakcji przy użyciu legalnych usług.
Ogólnie rzecz biorąc, użytkownicy z urządzeniami zainfekowanymi przez CarnavalHeist mogą doświadczyć kradzieży swoich danych logowania do bankowości, co prowadzi do nieautoryzowanego dostępu do ich kont finansowych. Atakujący mogą przechwytywać i przekierowywać transakcje, potencjalnie powodując straty finansowe. Ponadto zdolność złośliwego oprogramowania do przechwytywania danych wprowadzanych za pomocą klawiatury i myszy może ujawnić poufne informacje, takie jak kody PIN i inne tokeny bezpieczeństwa.
| Nazwa | CarnavalHeist Trojan bankowy |
| Typ zagrożenia | Trojan bankowy |
| Nazwy wykrywania | Avast (Win32:MalwareX-gen [Trj]), Combo Cleaner (Gen:Heur.Banker.Delf.1), ESET-NOD32 (Wariant Win32/Spy.Banker.AEPR), Kaspersky (HEUR:Trojan-Banker.Win32.BertRAT.gen), Microsoft (Trojan:Win32/Banker!MSR), Pełna lista (VirusTotal). |
| Objawy | Trojany bankowe są zwykle zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać cichym, a zatem żadne szczególne objawy nie są wyraźnie widoczne na zainfekowanym urządzeniu. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe strony internetowe, inżynieria społeczna. |
| Uszkodzenie | Skradzione hasła i informacje bankowe, kradzież tożsamości, straty finansowe. |
| Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Wnioski
Podsumowując, CarnavalHeist stanowi poważne zagrożenie dla ofiar. Jego zdolność do generowania fałszywych ekranów logowania, w połączeniu z wszechstronnymi funkcjami przechwytywania danych i zdalnego sterowania, umożliwia podmiotom atakującym kradzież danych logowania (i innych poufnych informacji) oraz manipulowanie transakcjami (kradzież pieniędzy).
Aby uniknąć tego zagrożenia, użytkownicy muszą zachować ostrożność podczas korzystania z platform bankowości internetowej i priorytetowo traktować środki cyberbezpieczeństwa w celu ochrony swojego dobrobytu finansowego.
Jak CarnavalHeist przeniknął do mojego komputera?
CarnavalHeist wykorzystuje wyrafinowany atak socjotechniczny podszyty pod dokument finansowy w celu złamania poświadczeń użytkownika i potencjalnej kradzieży poufnych informacji finansowych. Atak rozpoczyna się od wysłania wiadomości e-mail z fałszywą fakturą. Kliknięcie linku prowadzi do strony internetowej imitującej platformę pobierania faktur.
Na tej fałszywej stronie internetowej pobierany jest złośliwy plik podszywający się pod PDF, który potajemnie uruchamia kolejny etap ataku (ten fałszywy uruchamia polecenie zaprojektowane do wykonania złośliwego komponentu), prowadząc do infiltracji CarnavalHeist.
Jak uniknąć instalacji złośliwego oprogramowania?
Do pobierania oprogramowania lub plików używaj oficjalnych stron internetowych i sklepów z aplikacjami. Nie korzystaj ze źródeł zewnętrznych ani nie pobieraj pirackiego oprogramowania, narzędzi do łamania zabezpieczeń lub nieoficjalnych generatorów kluczy. Uważaj na wiadomości e-mail zawierające łącza lub pliki oraz wyskakujące okienka, reklamy i przyciski na podejrzanych stronach internetowych. Nie zezwalaj też podejrzanym witrynom na wyświetlanie powiadomień.
Podczas instalacji odznaczaj niechciane aplikacje (jeśli w instalatorach znajdują się niechciane oferty). Regularnie aktualizuj system operacyjny i zainstalowane oprogramowanie. Ponadto używaj renomowanego narzędzia (lub narzędzi) zabezpieczającego. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrowane złośliwe oprogramowanie.
Złośliwy załącznik zawierający link do fałszywej strony internetowej hostującej CarnavalHeist (źródło: Talos Intelligence):
Tekst w oszukańczej wiadomości e-mail:
Subject: Nota Eletronica emitidat - 0808482.5176
Nota Eletronica emitida
Prezado Cliente,
Informamos que foi emitida a seguinte nota fiscal:
Número da Nota Fiscal: 08084282.5176
Data: 15 de Abril, 2024
Valor: R$ 545,00Para visualizar a nota fiscal, clique no botão abaixo:
Visualizar Nota Fiscal
Zwodnicza strona internetowa promowana za pośrednictwem oszukańczej wiadomości e-mail (źródło: Talos Intelligence):
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest CarnavalHeist?
- KROK 1. Ręczne usuwanie złośliwego oprogramowania CarnavalHeist..
- KROK 2. Sprawdź, czy twój komputer jest czysty..
Jak ręcznie usunąć złośliwe oprogramowanie?
Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem - zwykle najlepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Do usunięcia tego złośliwego oprogramowania zalecamy użycie Combo Cleaner.
Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować te kroki:
Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, rejestr i lokalizacje systemu plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk Start, kliknij przycisk Zamknij, kliknij przycisk Uruchom ponownie, kliknij przycisk OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Zaawansowane opcje systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie "Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie i przejdzie do menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij "Ustawienia uruchamiania".
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień startowych. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij "Uruchom ponownie", przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij "Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane".
W menu opcji zaawansowanych wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W następnym oknie należy kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":
Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij "Opcje" u góry i odznacz opcje "Ukryj puste lokalizacje" i "Ukryj wpisy systemu Windows". Po zakończeniu tej procedury kliknij ikonę "Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.
Należy zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz "Usuń".
Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (gwarantuje to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Pamiętaj, aby włączyć ukryte pliki i foldery przed kontynuowaniem. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, pamiętaj o jego usunięciu.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie posiadasz takich umiejętności, usuwanie złośliwego oprogramowania pozostaw programom antywirusowym i chroniącym przed złośliwym oprogramowaniem.
Kroki te mogą nie działać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze najlepiej jest zapobiegać infekcjom, niż później próbować usunąć złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, zainstaluj najnowsze aktualizacje systemu operacyjnego i korzystaj z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany złośliwym oprogramowaniem CarnavalHeist, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Zaleca się użycie renomowanego programu antywirusowego i anty-malware do przeskanowania urządzenia w poszukiwaniu CarnavalHeist i podjęcia próby usunięcia. Sformatowanie urządzenia pamięci masowej spowoduje usunięcie wszystkich danych, więc należy to zrobić, gdy inne metody zawiodą.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie?
Złośliwe oprogramowanie może powodować utratę danych poprzez szyfrowanie i w inny sposób, straty finansowe, kradzież tożsamości, utratę dostępu do kont online, dodatkowe infekcje i podobne problemy.
Jaki jest cel złośliwego oprogramowania CarnavalHeist?
CarnavalHeist atakuje użytkowników banków w celu kradzieży ich informacji finansowych. Nakłania ich do ujawnienia danych logowania i przechwytuje inne poufne dane.
W jaki sposób złośliwe oprogramowanie CarnavalHeist przeniknęło do mojego komputera?
Prawdopodobnie kliknąłeś złośliwy link w fałszywej wiadomości e-mail. Ta czynność spowodowała pobranie fałszywego pliku PDF, który uruchomił CarnavalHeist. Wiadomości phishingowe są typowym punktem wejścia CarnavalHeist.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner jest skuteczny w wykrywaniu i usuwaniu szerokiej gamy złośliwego oprogramowania. Nawet w przypadku zaawansowanego złośliwego oprogramowania, dokładne skanowanie systemu za pomocą Combo Cleaner może zakończyć się powodzeniem.
Znakomita!
▼ Pokaż dyskusję