Jak uniknąć posiadania komputera kontrolowanego przez RAT Poison Ivy?
Napisany przez Tomasa Meskauskasa,
Poradnik usuwania wirusa Poison Ivy
Czym jest Poison Ivy?
Poison Ivy to oprogramowanie przeznaczone do zdalnego dostępu i kontroli podłączonych komputerów. Programy tego typu są nazywane narzędziami dostępu zdalnego lub administracyjnymi (RAT). Jednak nie wszystkie one są legalne i nie wszyscy używają ich zgodnie z prawem. Jest wielu cyberprzestępców, którzy wykorzystują RAT do kradzieży danych osobowych, rozpowszechniania malware i innych złośliwych celów.
Poison Ivy można również nazwać trojanem zdalnego dostępu. Wiadomo, że to narzędzie było już wykorzystywane do atakowania organizacji rządowych i osób, które odwiedzały strony rządowe USA, grupy praw człowieka i inne instytucje. Ten RAT może być wykorzystywany do monitorowania aktywności komputerowej ofiary, kradzieży różnych danych uwierzytelniających i plików. Cyberprzestępcy mogą wykorzystywać Poison Ivy do kradzieży haseł, loginów do różnych kont, takich jak e-mail, Facebook, bankowości itd. Skradzionych kont można używać do dokonywania nieuczciwych zakupów, transakcji, kont e-mailowych do wysyłania spamu i/lub oszustw, wysyłania malware itd. Mówiąc najprościej, Poison Ivy może zostać wykorzystany do wyrządzenia szkód nie tylko użytkownikom, których komputery zainfekował, ale także innym osobom. Poison Ivy RAT może również służyć do kradzieży różnych plików. Skradzione pliki mogą zawierać pewne dane osobowe i/lub ważne informacje, które mogą być niewłaściwie wykorzystane do generowania przychodów w taki czy inny sposób. Na przykład cyberprzestępcy mogą grozić ofiarom rozesłaniem skradzionych plików przez Internet, jeśli nie zapłacą im określonej kwoty pieniędzy. Mówiąc wprost, cyberprzestępcy mogą wykorzystywać Poison Ivy do szantażowania swoich ofiar. Jeśli istnieje jakikolwiek powód, by sądzić, że twój komputer jest zainfekowany Poison Ivy, to w celu uniknięcia potencjalnych problemów, które mogą być spowodowane tym narzędziem zdalnego dostępu/administracji, zalecamy jego najszybsze odinstalowanie.
Nazwa | Trojan zdalnego dostępu Poison Ivy |
Typ zagrożenia | Trojan zdalnego dostępu (RAT). |
Nazwy wykrycia (e7931270a8903.ppsx) | Arcabit (Trojan.Generic.D5A8A0A), BitDefender (Trojan.GenericKD.5933578), ESET-NOD32 (VBA/TrojanDownloader.Agent.EAB), Symantec (Trojan.Gen.7), Pełna lista (VirusTotal) |
Objawy | Trojany są zaprojektowane, aby podstępnie infiltrować komputer ofiary i pozostawać cichymi, w wyniku czego na zainfekowanej maszynie nie ma jasno widocznych objawów. |
Metody dystrybucji | Zainfekowane załączniki e-mail, złośliwe ogłoszenia internetowe, inżynieria społeczna, narzędzia łamania oprogramowania, zwodnicze instalatory oprogramowania. |
Zniszczenie | Skradzione informacje bankowe, hasła, pliki, kradzież tożsamości. |
Usuwanie | Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. |
NetWire, Quasar i CyberGate to tylko kilka przykładów innych programów, które również są RAT. Zazwyczaj cyberprzestępcy wykorzystują te programy do szkodliwych celów, próbują ukraść ważne informacje, które mogłyby zostać wykorzystane do wyłudzenia od ludzi pieniędzy lub wygenerowania przychodów w inny sposób. Ponadto narzędzia tego typu są często używane do infekowania komputerów różnymi szkodliwymi programami, takimi jak ransomware. Tak czy inaczej, narzędzia zdalnego dostępu/trojany mogą być używane do powodowania poważnych szkód (finansowych, utraty danych itp.).
W jaki sposób Poison Ivy zinfiltrował mój komputer?
Wiadomo, że cyberprzestępcy rozprzestrzeniają Poison Ivy za pośrednictwem e-maili i fałszywych konfiguratorów instalacji. Wysyłają wiadomości e-mail zawierające złośliwe pliki, które jeśli zostaną otwarte, pobierają i instalują RAT. Jest to bardzo powszechny sposób rozsyłania niechcianego malware. Zwykle cyberprzestępcy wysyłają załączniki (pliki), takie jak dokumenty Microsoft Office, dokumenty PDF, pliki JavaScript, pliki wykonywalne, takie jak .exe, ZIP, RAR (i inne pliki archiwów) itp. Głównym celem tych kampanii spamowych jest oszukiwanie ludzi do otwarcia załącznika. Bardzo często te e-maile (i załączone pliki) są prezentowane jako ważne, oficjalne itd. Fałszywe narzędzia do aktualizacji i instalacji oprogramowania zwykle infekują systemy/komputery, wykorzystując błędy, wady nieaktualnego oprogramowania lub pobierając i instalując złośliwe programy zamiast aktualizować lub naprawiać zainstalowane. Inne sposoby rozsyłania malware to niewiarygodne źródła pobierania oprogramowania, trojany i narzędzia do łamania oprogramowania. Przykładami niewiarygodnych kanałów pobierania oprogramowania (i plików) są sieci peer-to-peer, strony z bezpłatnymi plikami do pobrania i z bezpłatnym hostingiem plików, zewnętrzne programy pobierania (lub instalacji), nieoficjalne strony i inne źródła tego typu. Można ich używać do prezentowania złośliwych plików jako legalnych oraz nakłaniania ludzi do ich pobierania i otwierania. Ludzie, którzy otwierają pliki pobrane z podejrzanych źródeł, często ryzykują samodzielne zainstalowanie malware. Trojany to złośliwe programy, które, jeśli są zainstalowane, powodują dodatkowe infekcje. Mówiąc najprościej, te programy mają na celu wywoływanie infekcji łańcuchowych. Ludzie używają narzędzi do łamania oprogramowania z zamiarem aktywacji płatnego oprogramowania za darmo, jednak dość często narzędzia tego typu służą do pobierania i instalowania/rozsyłania malware.
Jak uniknąć instalacji malware?
Jeśli podejrzewasz, że otrzymana wiadomość e-mail jest nieistotna, nie otwieraj żadnego załączonego do niej pliku ani nie klikaj dołączonych linków do witryny. Pobieraj wszystkie programy za pomocą bezpośrednich linków do pobrania i oficjalnych witryn. Nie można ufać żadnemu z wyżej wymienionych źródeł. Nie są one bezpieczne. Aktualizuj zainstalowane oprogramowanie (lub system operacyjny) za pomocą narzędzi lub wbudowanych funkcji, które są tworzone przez oficjalnych twórców oprogramowania. To samo dotyczy aktywacji oprogramowania: różne narzędzia do „łamania oprogramowania" często powodują instalacje szkodliwych programów. Poza tym korzystanie z nich jest nielegalne. Aby zapewnić bezpieczeństwo komputera, zalecamy często skanować go za pomocą renomowanego oprogramowania antywirusowego lub antyspyware oraz jak najszybciej usuwać wszelkie wykryte zagrożenia. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie wyeliminować infiltrujące malware.
Szkodliwy konfigurator instalacji używany do dystrybucji Poison Ivy:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
▼ POBIERZ Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.
Szybkie menu:
- Czym jest Poison Ivy?
- KROK 1. Manualne usuwanie malware Poison Ivy.
- KROK 2. Sprawdź, czy twój komputer jest czysty.
Jak manualnie usunąć malware?
Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:
Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:
Uruchom ponownie swój komputer w trybie awaryjnym:
Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.
Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":
Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.
Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń"
Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.
Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.
Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.
▼ Pokaż dyskusję