FacebookTwitterLinkedIn

Jak usunąć rootkita r77

Znany również jako: r77 malware
Typ: Trojan
Poziom zniszczenia: Silny

Tomas Meskauskas Napisany przez ,

Jakim rodzajem złośliwego oprogramowania jest r77?

r77 to rootkit - zbiór złośliwego oprogramowania, które umożliwia nieautoryzowany dostęp do systemów. Ten rootkit został opracowany z silnym naciskiem na ukrywanie się. Może ukrywać pliki, klucze rejestru, zadania, a nawet wstrzykiwać się do określonego oprogramowania. r77 został zaobserwowany jako rozprzestrzeniający się poprzez oszustwa typu "ClickFix".

r77 malware wykrycia w serwisie VirusTotal

Przegląd złośliwego oprogramowania r77

r77 rozprzestrzeniało się za pośrednictwem oszustw typu "ClickFix", które nakłaniały ofiary do wykonywania silnie zaciemnionych skryptów wsadowych (np. pod pozorem wykonania testu weryfikacyjnego CAPTCHA). Skrypty te były odpowiedzialne za wykonywanie poleceń PowerShell i manipulowanie zmiennymi środowiskowymi w celu dalszej infekcji.

Proces ten obejmował mechanizmy zapewniające trwałość (takie jak ustawianie złośliwych komponentów jako zaplanowanych zadań), a także środki zapobiegające wykrywaniu i analizie. Ostatecznym celem było utworzenie w systemach wbudowanego trojana zdalnego dostępu (RAT) i rootkita r77. Złośliwe skrypty były wstrzykiwane i przechowywane w rejestrze systemu Windows. Dodatkowo zmieniono klucze rejestru systemowego i zarejestrowano fałszywy sterownik (ACPIx86.sys).

Jak wspomniano we wstępie, rootkit r77 został zaprojektowany z myślą o ukryciu. W związku z tym jest w stanie uniknąć standardowych metod wykrywania, osadzając się w legalnych procesach i usługach oraz ukrywając się przed wyświetleniem w składnikach katalogów i narzędziach systemu Windows (np. Eksplorator plików, Menedżer zadań, RegEdit itp.).

r77 usuwa również ślady swojej obecności. Ten rootkit może ukrywać pliki, klucze rejestru i zadania zaczynające się od określonego prefiksu. Nieustannie śledzi interakcje użytkownika (np. zawartość kopiowaną do schowka) i aktywność PowerShell.

Należy podkreślić, że złośliwe oprogramowanie wysokiego ryzyka wiąże się z poważnymi zagrożeniami, takimi jak wielokrotne infekcje systemu, poważne problemy z prywatnością, straty finansowe i kradzież tożsamości. I niezależnie od sposobu działania złośliwego oprogramowania - jego obecność zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszystkie zagrożenia muszą być eliminowane natychmiast po wykryciu.

Podsumowanie zagrożeń:
Nazwa r77 malware
Typ zagrożenia Rootkit, trojan
Nazwy detekcji Combo Cleaner (Trojan.GenericKD.76023689), ESET-NOD32 (BAT/Kryptik.AD), GData (BAT.Trojan.Agent.KIZS7J), Kaspersky (HEUR:Trojan.BAT.Alien.gen), Microsoft (Trojan:BAT/Obfuse!MSR), Pełna lista wykryć (VirusTotal)
Powiązane domeny klck[.]ai; kick[.]am; klck[.]pw; twitch[.]co[.]com; twltch[.]lol; twitch[.]cx; twitch[.]co[.]com; twitch[.]team; twltch[.]uno; rumble[.tube; pnwthrive[.]com; cooinbase[.]net; tiktoklive[.]studio; secure-login-bing[.]com; char0nbaby[.]online; hyqyj[.]xyz; smallmonster[.]net; itp.
Objawy Trojany są zaprojektowane tak, aby ukradkiem infiltrować komputer ofiary i pozostawać cichym, a zatem żadne szczególne objawy nie są wyraźnie widoczne na zainfekowanym komputerze.
Metody dystrybucji Zainfekowane załączniki wiadomości e-mail, złośliwe reklamy online, inżynieria społeczna, "pęknięcia" oprogramowania.
Szkody Kradzież haseł i informacji bankowych, kradzież tożsamości, dodanie komputera ofiary do botnetu.
Usuwanie malware (Windows)

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.
▼ Pobierz Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.

Przykłady rootkitów

Napisaliśmy o tysiącach złośliwych programów; RootTeam i Scranos to tylko kilka z naszych artykułów na temat złośliwego oprogramowania z komponentami rootkitów.

Należy wspomnieć, że złośliwe możliwości nie ograniczają się do typów złośliwego oprogramowania. Na przykład funkcje kradzieży danych są powszechne we wszystkich rodzajach złośliwego oprogramowania. Ponadto złośliwe oprogramowanie jest często używane w połączeniu z innym złośliwym oprogramowaniem lub komponentami.

Jak r77 przeniknął do mojego komputera?

r77 rozprzestrzenia się za pośrednictwem oszustw typu "ClickFix". Na przykład fałszywa weryfikacja Cloudflare na stronach imitujących platformę transmisji na żywo Twitch. Ten rootkit był również rozpowszechniany pod przykrywką legalnego oprogramowania, w tym produktów Adobe, przeglądarki Tor, różnych komunikatorów i klientów VoIP (Voice over Internet Protocol) itp. Źródła tych ostatnich nie są znane, ale te fałszywe programy były prawdopodobnie rozpowszechniane za pośrednictwem oszukańczych stron internetowych i złośliwych reklam.

Ogólnie rzecz biorąc, złośliwe oprogramowanie jest rozprzestrzeniane przy użyciu taktyk phishingowych i socjotechnicznych. Zainfekowane pliki występują w różnych formatach, np. pliki wykonywalne (.exe, .run itp.), archiwa (ZIP, RAR itp.), dokumenty (PDF, Microsoft Office, Microsoft OneNote itp.), JavaScript itp.

Najbardziej rozpowszechnione metody dystrybucji obejmują: złośliwe reklamy, złośliwe załączniki/linki w spamie (np. e-maile, wiadomości PM/DM itp.), pobieranie drive-by (ukradkowe/zwodnicze), oszustwa internetowe, niezaufane kanały pobierania (np. strony internetowe z freeware i stron trzecich, sieci udostępniania P2P itp.), nielegalne narzędzia do aktywacji oprogramowania ("cracking") i fałszywe aktualizacje.

Niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej (np. zewnętrznych dysków twardych, pamięci flash USB itp.).

Jak uniknąć instalacji złośliwego oprogramowania?

Ostrożność jest niezbędna dla bezpieczeństwa urządzenia i użytkownika. Dlatego należy sprawdzać oprogramowanie i pobierać je wyłącznie z oficjalnych/zweryfikowanych źródeł. Aktywuj i aktualizuj programy za pomocą funkcji/narzędzi dostarczanych przez legalnych deweloperów, ponieważ te pobrane od stron trzecich mogą zawierać złośliwe oprogramowanie.

Ponadto należy zachować czujność podczas przeglądania Internetu, ponieważ jest on pełen zwodniczych i niebezpiecznych treści. Ostrożnie podchodź do przychodzących e-maili i innych wiadomości; nie otwieraj załączników ani linków znalezionych w podejrzanych wiadomościach.

Niezwykle ważne jest posiadanie niezawodnego i aktualnego programu antywirusowego. Oprogramowanie zabezpieczające musi być używane do regularnego skanowania systemu oraz usuwania zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrowane złośliwe oprogramowanie.

Zrzut ekranu oszustwa "ClickFix" rozprzestrzeniającego rootkita r77 (źródło obrazu - Securonix):

ClickFix oszustwo rozpowszechniające złośliwe oprogramowanie r77

Natychmiastowe automatyczne usunięcie malware: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
 ▼ POBIERZ Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Jak ręcznie usunąć złośliwe oprogramowanie?

Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem - zwykle najlepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Do usunięcia tego złośliwego oprogramowania zalecamy użycie Combo Cleaner.

Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:

Proces złośliwego oprogramowania uruchomiony w Menedżerze zadań

Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań , i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować te kroki:

krok ręcznego usuwania złośliwego oprogramowania 1Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, rejestr i lokalizacje systemu plików:

Wygląd aplikacji uruchamianej automatycznie

krok ręcznego usuwania złośliwego oprogramowania 2Uruchom ponownie komputer w trybie awaryjnym:

Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcji zaawansowanych systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.

Uruchom system Windows 7 lub Windows XP w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie "Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.

Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie i przejdzie do menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij "Ustawienia uruchamiania".

Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień startowych. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.

Uruchamianie systemu Windows 8 w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić system Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij "Uruchom ponownie", przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij "Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane".

W menu opcji zaawansowanych wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W następnym oknie należy kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Uruchom system Windows 10 w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":

krok ręcznego usuwania złośliwego oprogramowania 3Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.

Rozpakuj archiwum Autoruns.zip i uruchom aplikację Autoruns.exe.

krok ręcznego usuwania złośliwego oprogramowania 4W aplikacji Autoruns kliknij "Opcje" u góry i odznacz opcje "Ukryj puste lokalizacje" i "Ukryj wpisy systemu Windows". Po zakończeniu tej procedury kliknij ikonę "Odśwież".

Odświeżanie wyników aplikacji Autoruns

krok ręcznego usuwania złośliwego oprogramowania 5Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.

Powinieneś zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy nad jego nazwą i wybierz "Usuń".

Usuwanie złośliwego oprogramowania z Autoruns

Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (gwarantuje to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Pamiętaj, aby włączyć ukryte pliki i foldery przed kontynuowaniem. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, usuń go.

Wyszukaj złośliwe oprogramowanie i usuń je

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie masz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.

Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze najlepiej jest zapobiegać infekcjom, niż później próbować usunąć złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, należy instalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany złośliwym oprogramowaniem r77, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Usuwanie złośliwego oprogramowania rzadko wymaga formatowania.

Jakie są największe problemy, które może powodować złośliwe oprogramowanie r77?

Zagrożenia związane z infekcją zależą od możliwości złośliwego oprogramowania i sposobu działania cyberprzestępców. Ogólnie rzecz biorąc, złośliwe oprogramowanie wysokiego ryzyka jest powiązane z wieloma infekcjami systemu, poważnymi kwestiami prywatności, stratami finansowymi i kradzieżą tożsamości.

Jaki jest cel złośliwego oprogramowania r77?

Najczęściej ataki złośliwego oprogramowania są motywowane zyskiem finansowym. Jednak cyberprzestępcy mogą również wykorzystywać złośliwe programy do rozrywki, realizacji osobistych urazów, zakłócania procesów (np. stron internetowych, usług, organizacji itp.), angażowania się w haktywizm i przeprowadzania ataków motywowanych politycznie/geopolitycznie.

W jaki sposób złośliwe oprogramowanie r77 przeniknęło do mojego komputera?

Rootkit r77 został rozprzestrzeniony za pośrednictwem oszustw typu "ClickFix" i pod przykrywką oryginalnego oprogramowania (np. programów do edycji, przeglądarek, komunikatorów itp.). Inne przebrania i metody dystrybucji nie są mało prawdopodobne.

Ogólnie rzecz biorąc, złośliwe oprogramowanie jest szeroko rozpowszechniane za pośrednictwem oszustw internetowych, złośliwych reklam, spamu, pobierania drive-by, podejrzanych kanałów pobierania (np. nieoficjalnych i bezpłatnych witryn hostujących pliki, sieci udostępniania Peer-to-Peer itp.), nielegalnych narzędzi do aktywacji oprogramowania ("cracking") i fałszywych aktualizacji. Niektóre złośliwe programy mogą rozprzestrzeniać się samodzielnie za pośrednictwem sieci lokalnych i wymiennych urządzeń pamięci masowej.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner został zaprojektowany do skanowania komputerów i eliminowania wszelkiego rodzaju zagrożeń. Potrafi wykryć i usunąć większość znanych infekcji złośliwym oprogramowaniem. Należy pamiętać, że wyrafinowane złośliwe oprogramowanie ma tendencję do ukrywania się głęboko w systemach - dlatego wykonanie pełnego skanowania systemu jest kluczowe.

▼ Pokaż dyskusję

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

O nas

PCrisk to portal bezpieczeństwa cybernetycznego, informujący internautów o najnowszych zagrożeniach cyfrowych. Nasze artykuły są tworzone przez ekspertów ds. bezpieczeństwa i profesjonalnych badaczy złośliwego oprogramowania. Przeczytaj więcej o nas.

Instrukcje usuwania w innych językach
Przewodnik po nowych narzędziach do usuwania wirusów
Top narzędzia usuwania wirusów
Kod QR
r77 malware kod QR
Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania r77 malware na swoim urządzeniu mobilnym.
Polecamy:

Usuń infekcje malware na Windows już dzisiaj:

▼ USUŃ TO TERAZ
Pobierz Combo Cleaner

Platforma: Windows

Ocena redaktora dla Combo Cleaner:
Ocena redaktoraZnakomita!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.