Jak wyeliminować złośliwe oprogramowanie CoinLurker z systemu operacyjnego
Napisany przez Tomasa Meskauskasa,
Jakim rodzajem złośliwego oprogramowania jest CoinLurker?
CoinLurker to złośliwe oprogramowanie typu stealer. Programy należące do tej klasyfikacji są przeznaczone do wydobywania poufnych danych z zainfekowanych systemów. CoinLurker to ukierunkowany złodziej, który szuka informacji związanych z portfelami kryptowalut.
Przegląd złośliwego oprogramowania CoinLurker
CoinLurker to złodziej ze znacznymi możliwościami wykrywania. To złośliwe oprogramowanie ma mocno zaciemnione komponenty, wykorzystuje wielowarstwowy iniektor i wykonuje się w pamięci. Zaobserwowano, że infiltruje urządzenia za pomocą wyrafinowanego oszustwa związanego z fałszywymi aktualizacjami (więcej informacji poniżej).
Jak wspomniano we wstępie, CoinLurker szuka konkretnych informacji, a nie szerokiego zakresu danych w sposób oportunistyczny.
Kradzież ma na celu pozyskanie danych związanych z popularnymi portfelami kryptowalut, takimi jak Bitcoin, Ethereum, Exodus i Ledger. Jednak jest również szeroko ukierunkowany na niektóre z bardziej niejasnych kryptowalut i ich portfeli - BBQCoin, Lucky7Coin i MemoryCoin - by wymienić tylko kilka.
Ponadto CoinLurker przeszukuje pulpit w poszukiwaniu interesujących danych. Kradzież ma na celu wyodrębnienie informacji z klientów FTP (np. FileZilla) i komunikatorów (np. Discord, Telegram).
Należy wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje oprogramowanie i metodologie. Dlatego też potencjalne przyszłe iteracje CoinLurker mogą mieć szerszą listę docelową lub dodatkowe/różne możliwości.
Podsumowując, obecność złośliwego oprogramowania, takiego jak CoinLurker, na urządzeniach może prowadzić do poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
| Nazwa | CoinLurker virus |
| Typ zagrożenia | Trojan, złodziej. |
| Nazwy wykrywania | Avast (Win64:PWSX-gen [Trj]), Combo Cleaner (QD:Trojan.GenericKDQ.7225C8CA43), ESET-NOD32 (Wariant Win32/GenCBL.FGR), Microsoft (Trojan:Win32/Fakeupdate.DA!MTB), Symantec (Trojan.Gen.MBT), Pełna lista wykryć (VirusTotal) |
| Objawy | Trojany są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać cichym, a zatem żadne szczególne objawy nie są wyraźnie widoczne na zainfekowanym komputerze. |
| Metody dystrybucji | Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, "pęknięcia" oprogramowania. |
| Szkody | Kradzież haseł i informacji bankowych, kradzież tożsamości, dodanie komputera ofiary do botnetu. |
| Usuwanie malware (Windows) | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Przykłady złośliwego oprogramowania wykradającego dane
Zbadaliśmy niezliczoną liczbę złośliwych programów; Realst, JarkaStealer, PXA, Glove i Muck to tylko niektóre z naszych ostatnich artykułów na temat kradnących dane.
Warto wspomnieć, że oprogramowanie do kradzieży danych jest często używane w połączeniu z innym złośliwym oprogramowaniem, takim jak ransomware lub cryptominers. Niezależnie jednak od sposobu działania złośliwego oprogramowania - jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą zostać wyeliminowane natychmiast po wykryciu.
Jak CoinLurker przeniknął do mojego komputera?
CoinLurker został zauważony jako rozprzestrzeniający się poprzez złożone oszustwa związane z aktualizacjami. Schematy te wykorzystują technologię Web3 do ukrywania złośliwych ładunków. Ofiary są wabione przez zwodnicze strony internetowe oferujące fałszywe aktualizacje lub poprawki bezpieczeństwa, głównie dla popularnych przeglądarek.
Same witryny mogą być promowane przy użyciu różnych metod, takich jak strony internetowe wykorzystujące nieuczciwe sieci reklamowe, natrętne reklamy (malvertising), spam (np. wiadomości e-mail, wiadomości PM / DM, powiadomienia przeglądarki, posty w mediach społecznościowych itp.), błędne adresy URL (typosquatting) i oprogramowanie reklamowe.
Infiltracja złośliwego oprogramowania zależy od nowej metody zwanej EtherHiding. Jest ona inicjowana poprzez zakodowane dane, które są osadzone w inteligentnym kontrakcie Binance. Ze względu na charakter blockchaina, przechowywane złośliwe instrukcje są odporne na usunięcie i modyfikację.
Zakodowane dane odpowiadają za komunikację z serwerem C&C (Command and Control) atakujących, z którego pobierane są dodatkowe instrukcje i adresy URL dla ładunków. Ostatni etap obejmuje repozytorium Bitbucket, z którego pobierany jest nieszkodliwy plik wykonawczy. Gdy plik przejdzie testy bezpieczeństwa, jest zastępowany ładunkiem.
Wykonanie złośliwego oprogramowania wykorzystuje Microsoft Edge Webview2, który pomaga w uniknięciu wykrycia. Użytkownikowi prezentowany jest interfejs imitujący legalne narzędzie do aktualizacji (np. dla określonej przeglądarki). Interakcja z interfejsem w jakikolwiek sposób (w tym zamknięcie okna) uruchamia wykonanie złośliwego oprogramowania.
Warto zauważyć, że CoinLurker może być rozprzestrzeniany przy użyciu innych technik. Ogólnie rzecz biorąc, złośliwe oprogramowanie rozprzestrzenia się w oparciu o techniki phishingu i inżynierii społecznej. Złośliwe programy są zwykle ukryte lub dołączone do zwykłego oprogramowania/mediów.
Wirusowe pliki mają różne formaty, np. archiwa (ZIP, RAR itp.), pliki wykonywalne (.exe, .run itp.), dokumenty (Microsoft Office, Microsoft OneNote, PDF itp.), JavaScript itp.
Złośliwe oprogramowanie jest rozpowszechniane głównie poprzez pobieranie drive-by (ukradkowe/zwodnicze), fałszywe aktualizacje, niezaufane źródła pobierania (np. strony internetowe z darmowym oprogramowaniem i darmowymi hostingami plików, sieci udostępniania P2P itp.), złośliwe załączniki/linki w spamie, oszustwa internetowe i nielegalne narzędzia do aktywacji oprogramowania ("cracks").
Ponadto niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).
Jak uniknąć instalacji złośliwego oprogramowania?
Zdecydowanie zalecamy pobieranie tylko z oficjalnych i zweryfikowanych kanałów. Ponadto wszystkie programy muszą być aktywowane i aktualizowane przy użyciu legalnych funkcji/narzędzi, ponieważ te pobrane od stron trzecich mogą zawierać złośliwe oprogramowanie.
Innym zaleceniem jest zachowanie ostrożności podczas przeglądania stron internetowych, ponieważ oszukańcze i złośliwe treści online zwykle wydają się autentyczne i nieszkodliwe. Do przychodzących e-maili i innych wiadomości należy podchodzić ostrożnie. Nie wolno otwierać załączników ani linków znajdujących się w podejrzanych/nieprawidłowych wiadomościach, ponieważ mogą one być zakaźne.
Musimy podkreślić znaczenie posiadania zainstalowanego i aktualizowanego renomowanego programu antywirusowego. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu i usuwania wykrytych zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrowane złośliwe oprogramowanie.
Zrzut ekranu fałszywej witryny aktualizacyjnej promującej złośliwe oprogramowanie CoinLurker (źródło obrazu - Morphisec):
Zrzut ekranu fałszywej aktualizacji Google Chrome rozpowszechniającej złośliwe oprogramowanie CoinLurker (źródło obrazu - Morphisec):
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest CoinLurker?
- KROK 1. Ręczne usuwanie złośliwego oprogramowania CoinLurker.
- KROK 2. Sprawdź, czy komputer jest czysty.
Jak ręcznie usunąć złośliwe oprogramowanie?
Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem - zwykle najlepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Do usunięcia tego złośliwego oprogramowania zalecamy użycie Combo Cleaner.
Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań , i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować te kroki:
Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, rejestr i lokalizacje systemu plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcji zaawansowanych systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie "Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie i przejdzie do menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij "Ustawienia uruchamiania".
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień startowych. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij "Uruchom ponownie", przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij "Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane".
W menu opcji zaawansowanych wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W następnym oknie należy kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":
Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij "Opcje" u góry i odznacz opcje "Ukryj puste lokalizacje" i "Ukryj wpisy systemu Windows". Po zakończeniu tej procedury kliknij ikonę "Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.
Powinieneś zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy nad jego nazwą i wybierz "Usuń".
Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (gwarantuje to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Pamiętaj, aby włączyć ukryte pliki i foldery przed kontynuowaniem. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, usuń go.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie masz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.
Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze najlepiej jest zapobiegać infekcjom niż później próbować usunąć złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, należy instalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany złośliwym oprogramowaniem CoinLurker, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Usuwanie złośliwego oprogramowania rzadko wymaga formatowania.
Jakie są największe problemy, które może spowodować złośliwe oprogramowanie CoinLurker?
Zagrożenia związane z infekcją zależą od możliwości złośliwego oprogramowania i celów cyberprzestępców. CoinLurker jest ukierunkowanym złodziejem poszukującym danych związanych z portfelami kryptowalut. Infekcje tego rodzaju mogą prowadzić do poważnych problemów z prywatnością, strat finansowych i kradzieży tożsamości.
Jaki jest cel złośliwego oprogramowania CoinLurker?
Złośliwe oprogramowanie służy przede wszystkim do generowania przychodów dla atakujących. Jednak cyberprzestępcy mogą również wykorzystywać złośliwe oprogramowanie do rozrywki, prowadzenia osobistych zemst, zakłócania procesów (np. witryn, usług itp.), angażowania się w haktywizm i przeprowadzania ataków motywowanych politycznie/geopolitycznie.
W jaki sposób złośliwe oprogramowanie CoinLurker przeniknęło do mojego komputera?
Zaobserwowano, że CoinLurker rozprzestrzenia się za pośrednictwem złożonego oszustwa związanego z fałszywymi aktualizacjami oprogramowania. Ogólnie rzecz biorąc, złośliwe oprogramowanie rozprzestrzenia się poprzez pobieranie drive-by, spam, oszustwa internetowe, podejrzane źródła pobierania (np. strony internetowe z freeware i stron trzecich, sieci udostępniania Peer-to-Peer itp.), złośliwe reklamy i nielegalne narzędzia do aktywacji oprogramowania ("cracking"). Niektóre złośliwe programy mogą samodzielnie rozprzestrzeniać się za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Combo Cleaner może wykryć i wyeliminować praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy pamiętać, że wyrafinowane złośliwe oprogramowanie zazwyczaj ukrywa się głęboko w systemach - dlatego uruchomienie pełnego skanowania systemu jest najważniejsze.
Znakomita!
▼ Pokaż dyskusję