Złodziej Baldr
Napisany przez Tomasa Meskauskasa, (zaktualizowany)
Poradnik usuwania wirusa Baldr
Czym jest Baldr?
Złodziej Baldr (znany również jako Trojan:MSIL/Darbl.A) to złośliwy program przeznaczony do kradzieży różnych danych. Jest to narzędzie, które cyberprzestępcy mogą kupić na forach hakerskich w celu generowania przychodów poprzez niewłaściwe wykorzystanie zebranych (skradzionych) informacji. Z reguły przedstawiają ten program jako narzędzie, które można wykorzystać do różnych celów. W czasie badań był promowany za pomocą oszukańczych filmów CS:GO. Oznacza to, że był prezentowany jako program, który miał pozwolić użytkownikom na oszukiwanie w tej konkretnej grze. Jest to jeden ze sposobów, w jaki cyberprzestępcy oszukują ludzi do jego pobrania i zainstalowania.
Baldr jest narzędziem, które może zostać zakupione przez każdego za 150 $. Cyberprzestępcy rozpowszechniają je w celu kradzieży różnych danych przeglądarki, takich jak pliki cookies, hasła, historia przeglądania, formularze autouzupełniania itd. Dodatkowo jest w stanie wykradać pliki wallet.dat tworzone przez klientów Bitcoin. Pliki te są używane do przechowywania w nich informacji o kluczu prywatnym. Baldr zapisuje również dane z aplikacji do przesyłania wiadomości, takich jak Jabber, Psi +, Psi i Pidgin, zbiera dane od klientów VPN, takich jak NordVPN i ProtoVPN, zbiera zapisy z Filezilla i Total Commander. Ponadto może służyć do kradzieży plików umieszczonych na Pulpicie, w folderach Dokumenty i Pliki do pobrania. Może być również używany do tworzenia zrzutów ekranu. Ponadto Baldr zbiera informacje o systemie, takie jak geolokalizacje, adresy IP, nazwę komputera i nazwę użytkownika, szczegóły systemu, takie jak adres MAC, rozdzielczość ekranu, język systemu operacyjnego, ilość dodanej pamięci RAM, listę zainstalowanych programów i inne informacje tego typu. Większość skradzionych danych może zostać niewłaściwie wykorzystana do generowania przychodów na wiele sposobów. Osoby, które posiadają go zainstalowanego, mogą napotkać poważne problemy z prywatnością, bezpieczeństwem przeglądania, straty finansowe i inne problemy. Jeśli zostanie zainstalowane to złośliwe narzędzie, należy je natychmiast odinstalować. Jeśli zainstalowany jest Baldr, można go zidentyfikować jako nieznany proces uruchomiony w Menedżerze zadań. W naszym przykładzie powyżej nazwa procesu jest ciągiem sumy okupu i liter ("211d67b463f54b3fa1c0a2ab253ec186.exe", nazwa pliku to"Private_Cheat by pc_Ret v8.exe").
Nazwa | Malware Baldr |
Typ zagrożenia | Trojan, wirus kradnący hasła, malware bankowe, spyware |
Nazwy wykrycia (Private_Cheat by pc_Ret v8.exe) | Avast (Win32:TrojanX-gen [Trj]), BitDefender (AIT:Trojan.Nymeria.1583), ESET-NOD32 (wariant Win32/Spy.Baldr.B), Kaspersky (HEUR:Trojan.Win32.Generic), pełna lista (VirusTotal) |
Nazwa(y) złośliwego procesu | random string |
Objawy | Trojany są zaprojektowane do podstępnej infiltracji komputera ofiary i pozostawania cichymi, w wyniku czego na komputerze ofiary nie ma jasno widocznych konkretnych objawów. |
Metody dystrybucji | Zainfekowane załączniki e-maila, złośliwe ogłoszenia internetowe, inżynieria społeczna, złamane oprogramowanie, fałszywe oszustwa gier komputerowych. |
Zniszczenie | Skradzione informacje bankowe, hasła, kradzież tożsamości, komputer ofiary dodany do botnetu. |
Usuwanie | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
Jest wiele szkodliwych programów rozsyłanych przez cyberprzestępców w celu kradzieży danych osobowych. Niektórymi przykładami narzędzi, które działają podobnie, są Evital, CryptoStealer, IcedID i Ave Maria. Różne programy mogą być zaprojektowane do kradzieży różnych danych, jednak posiadanie komputera zainfekowanego szkodliwym programem tego typu zazwyczaj prowadzi do mniej więcej tych samych problemów (strat finansowych, problemów z prywatnością itd.).
Jak Baldr przeniknął do mojego komputera?
Jak wspomniano na początku, w czasie badań niektórzy cyberprzestępcy promowali Baldr poprzez oszukańcze filmy CS:GO. Oznacza to, że był przebrany za narzędzie, które w jakiś sposób pozwalało użytkownikom oszukiwać w tej konkretnej grze. Istnieją jednak inne sposoby rozsyłania takich infekcji komputerowych. Dość często cyberprzestępcy wysyłają wiadomości e-mail (kampanie spamowe). Dołączają złośliwe pliki i mają nadzieję, że przynajmniej niektórzy odbiorcy je otworzą. Zazwyczaj są to pliki JavaScript, dokumenty Microsoft Office lub PDF, archiwa takie jak ZIP, RAR, pliki wykonywalne (.exe) itd. Po otwarciu pobierają i instalują szkodliwe programy. Trojany są infekcjami komputerowymi zaprojektowanymi do rozsyłania (pobierania i instalowania) innych programów tego typu. Mogą być używane do rozsyłania takich narzędzi, jak Baldr. Narzędzia do łamania oprogramowania, jeśli są używane, zamiast aktywować niektóre programy, często również powodują infekcje komputerowe. Innym sposobem pobierania i instalowania szkodliwych programów jest wykorzystywanie niewiarygodnych źródeł pobierania oprogramowania, takich jak nieoficjalne strony, programy do pobierania stron trzecich, sieci peer-to-peer itd. Cyberprzestępcy często wykorzystują te źródła jako narzędzia do przedstawiania swoich szkodliwych plików jako legalne. Innymi słowy, skłaniają użytkowników do samodzielnego pobierania i instalowania malware.
Jak uniknąć instalacji malware?
Nie otwieraj załączników ani linków internetowych zawartych w wiadomościach e-mail otrzymywanych z podejrzanych, nieznanych adresów. Wiadomości te są zazwyczaj prezentowane jako oficjalne i ważne, jednak w większości przypadków są nieistotne. Nie należy im ufać. Pobieraj oprogramowanie z oficjalnych witryn i korzystaj z bezpośrednich linków. Aktualizuj zainstalowane oprogramowanie za pomocą wbudowanych funkcji lub narzędzi dostarczanych wyłącznie przez oficjalnych programistów. Nie aktywuj oprogramowania za pomocą narzędzi, które mają ominąć płatne aktywacje. Narzędzia te nie tylko powodują infekcje komputerowe, ale także są nielegalne. Miej zainstalowane i zawsze uruchomione renomowane oprogramowanie antywirusowe lub antyszpiegowskie. Narzędzia te zazwyczaj dobrze wykrywają i eliminują zagrożenia, zanim będą one mogły wyrządzić jakiekolwiek szkody w systemie operacyjnym. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrujące malware.
Zrzut ekranu dewelopera sprzedającego Baldr na forum hakerskim:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest Baldr?
- KROK 1. Manualne usuwanie malware Baldr.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń"
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.
Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
▼ Pokaż dyskusję