Cách thoát khỏi phần mềm độc hại TrickBot (04.25.24)

Tin tặc ngày càng sáng tạo hơn trong việc thiết kế phần mềm độc hại để làm cho chúng mạnh hơn, nguy hiểm hơn và hiệu quả hơn. Phần mềm độc hại đánh cắp mật khẩu hoặc ghi nhật ký các hoạt động trên bàn phím của bạn giờ đây có vẻ sơ khai. Bạn cần phải ở cấp độ của một ransomware hoặc một công cụ khai thác tiền điện tử để có thể nổi bật trong ngành công nghiệp cạnh tranh này.

Do xu hướng này, các thực thể phần mềm độc hại sẽ ngày càng trở nên hung hãn và phức tạp hơn theo thời gian đi bằng. Một ví dụ hoàn hảo là phần mềm độc hại TrickBot. Phần mềm độc hại này được thiết kế để xâm nhập email và đã tồn tại được một thời gian. Trên thực tế, phần mềm độc hại TrickBot đã xâm nhập 250 triệu tài khoản email cho đến nay.

Phần mềm độc hại TrickBot đã xuất hiện từ năm 2016. Nhưng thay vì giảm dần hoặc biến mất, phần mềm độc hại này vẫn mạnh và đã phát triển qua nhiều năm. Nó thậm chí còn được coi là một trong những mối đe dọa hàng đầu nhắm vào các doanh nghiệp hiện nay. Những năm gần đây đã chứng kiến ​​phần mềm độc hại phát triển và thêm chức năng mới khiến nó trở nên đáng sợ hơn rất nhiều so với trước đây.

Phần mềm độc hại TrickBot có thể làm gì?

TrickBot ban đầu là một Trojan ngân hàng, giống như phần mềm độc hại Emotet . Nó được thiết kế để lấy cắp thông tin ngân hàng và tài chính khác từ máy tính bị nhiễm. Nó thường lây lan qua các email lừa đảo trực tuyến được gửi đến các nhân viên không nghi ngờ của các tổ chức hoặc công ty. Ví dụ, nó có thể ngụy trang thành một bản sơ yếu lý lịch giả do một người nộp đơn gửi cho nhân viên reimgs của con người hoặc một hóa đơn không có thật được gửi đến bộ phận kế toán. Phần mềm độc hại TrickBot ẩn mình trong tệp Microsoft Word hoặc Excel bị nhiễm được đính kèm trong email.

Khi phần mềm độc hại xâm nhập, nó có thể dễ dàng lây lan qua tổ chức theo nhiều cách. Cách dễ nhất là khai thác các lỗ hổng trong Server Message Block (SMB), một giao thức chia sẻ tệp được các công ty sử dụng. Nó cho phép người dùng Windows trong cùng một mạng chia sẻ và truy cập tệp một cách dễ dàng.

Theo các chuyên gia bảo mật tại DeepInstinct, TrickBot đã phát triển thành một “mối đe dọa mạnh mẽ, phức tạp và phức tạp, đa mục đích đối với nhiều loại mã độc Hoạt động." Họ đã phát hiện ra một biến thể của phần mềm độc hại TrickBot, được gọi là TrickBooster, một mô-đun phân phối dựa trên email độc hại thu thập email và địa chỉ liên hệ từ sổ địa chỉ và tài khoản email của máy tính bị nhiễm. Sau đó, phần mềm độc hại sẽ gửi email spam từ tài khoản email của người dùng và xóa các tin nhắn đã gửi để tránh bị phát hiện. Đây là cách phần mềm độc hại lây lan nhanh chóng và thu thập tài khoản email cho mục đích kiếm tiền.

Tóm lại, phần mềm độc hại TrickBot hoạt động theo bốn giai đoạn:

  • Máy tính của nạn nhân bị nhiễm TrickBot và nhận được hướng dẫn từ máy chủ điều khiển TrickBot để tải xuống TrickBooster.
  • Sau đó, TrickBooster đã tải xuống sẽ báo cáo lại máy chủ điều khiển và gửi danh sách các địa chỉ email đã thu thập và thông tin đăng nhập từ máy tính bị nhiễm.
  • Sau đó, máy chủ điều khiển TrickBooster hướng dẫn bot phần mềm độc hại gửi email độc hại từ tài khoản email của nạn nhân.
  • Bot TrickBooster gửi email spam để phát tán phần mềm độc hại xa hơn.

Theo điều tra của DeepInstinct, cơ sở dữ liệu của phần mềm độc hại TrickBot chứa khoảng 250 triệu địa chỉ email đã được thu thập gần đây. Trong số 250 triệu địa chỉ email, 25 triệu đến từ Gmail, 21 triệu từ Yahoo !, 11 triệu từ Hotmail và 10 triệu từ AOL và MSN. Phần còn lại của các mục nhập đến từ các miền email thuộc sở hữu của các công ty và cơ quan chính phủ. Thậm chí còn có địa chỉ email được thu thập từ Bộ Tư pháp Hoa Kỳ, Bộ An ninh Nội địa, IRS, NASA và ATF.

Cách bảo vệ máy tính của bạn trước TrickBot

Phòng bệnh hơn chữa bệnh và khái niệm này hoàn toàn áp dụng cho Phần mềm độc hại TrickBot. Bạn thấy đấy, phần mềm độc hại này rất lén lút và có thể rất khó phát hiện. Vì nó sẽ xóa tất cả các tin nhắn đã gửi, bạn sẽ không thể nhận thấy bất kỳ điều gì trừ khi ai đó gửi email spam thông báo cho bạn về điều đó. Trong trường hợp này, cảnh giác là cách bảo vệ tốt nhất chống lại phần mềm độc hại khôn lanh này.

Dưới đây là một số mẹo để ngăn TrickBot lây nhiễm vào máy tính và bảo vệ dữ liệu của bạn:

  • Cài đặt tất cả các bản cập nhật Windows hiện có. Microsoft phát hành các bản vá bảo mật mới nhất thông qua Windows Update, vì vậy hãy đảm bảo cài đặt chúng khi có sẵn. Bạn cũng có thể kiểm tra Windows Update theo cách thủ công bằng cách đi tới Cài đặt & gt; Cập nhật & amp; Bảo mật & gt; Cập nhật hệ điều hành Window. Nhấp vào nút Kiểm tra bản cập nhật để xem có bản cập nhật mới cần cài đặt hay không.
  • Cập nhật phần mềm chống vi-rút của bạn, bao gồm cả phần mềm từ các máy tính được kết nối với cùng một mạng.
  • Hãy thận trọng khi mở email, đặc biệt là những email có tệp đính kèm. Email lừa đảo là phương thức phân phối số một của phần mềm độc hại TrickBot, vì vậy hãy chú ý đến những email bất thường mà bạn nhận được. Nếu bạn nhận được email từ một miền bên ngoài mạng công ty của bạn và chủ đề của email liên quan đến công việc, hãy nghiên cứu miền trước để xác minh xem email có hợp pháp không. Có thể rất khó xác định tính xác thực của email vì phần mềm độc hại thường bắt chước các doanh nghiệp thực để lừa người dùng mở chúng.
  • Không cung cấp thông tin đăng nhập của bạn. Một số kẻ tấn công TrickBot nhắm mục tiêu người dùng PayPal và lừa họ cung cấp thông tin đăng nhập của họ. Nếu bạn nhấp vào một liên kết và bạn được yêu cầu đăng nhập, cho dù đó là PayPal, email hay các tài khoản khác, hãy đóng trình duyệt ngay lập tức.
Cách loại bỏ phần mềm độc hại TrickBot

Như đã đề cập trước đó, TrickBot rất khó xử lý. Nó là một trong những mối đe dọa mạng lớn nhất hiện nay và việc loại bỏ nó đòi hỏi rất nhiều nỗ lực và sự chú ý. Đây là loại Trojan biết cách ẩn nấp tốt, vì vậy bạn cần phải thật kỹ lưỡng khi loại bỏ phần mềm độc hại này. Nó thường ẩn các tệp độc hại sâu bên trong hệ thống, khó phát hiện và xóa.

Nếu bạn nghi ngờ máy tính của mình bị nhiễm phần mềm độc hại TrickBot, hãy làm theo hướng dẫn bên dưới về cách xóa thủ công và đảm bảo rằng nó không quay trở lại.

Bước 1: Khởi động vào Chế độ an toàn.

Khởi động vào Chế độ an toàn sẽ tắt tất cả các quy trình không cần thiết của bên thứ ba để bạn có thể dễ dàng phân biệt các quy trình đáng ngờ đang chạy trên máy tính của mình. Để khởi động vào Chế độ an toàn, hãy làm theo các bước bên dưới:

  • Nhấp vào Bắt đầu , sau đó nhấp vào biểu tượng nút nguồn ở góc dưới cùng bên trái của trình đơn. Điều này sẽ hiển thị menu tùy chọn nguồn.
  • Nhấn giữ nút Shift trên bàn phím của bạn, sau đó nhấp vào Khởi động lại .
  • Sau đó, máy tính của bạn sẽ khởi động lại và chuyển sang Chế độ an toàn .
    • Bước 2: Gỡ cài đặt các chương trình đáng ngờ.

    Hầu hết phần mềm độc hại cài đặt phần mềm độc hại khác trên máy tính của bạn. Trong trường hợp của TrickBot, nó tải xuống và cài đặt TrickBooster để thu thập địa chỉ email và thông tin liên hệ trên máy tính bị nhiễm. Bạn cần kiểm tra xem chương trình nào được cài đặt trên máy tính của mình là hợp pháp và chương trình nào đáng ngờ.

    Để gỡ cài đặt các ứng dụng đáng ngờ khỏi máy tính, hãy làm như sau:

  • Mở Chạy bằng cách nhấn đồng thời các nút Windows + R .
  • Nhập appwiz.cpl vào hộp thoại, sau đó nhấp vào OK . Thao tác này sẽ mở Bảng điều khiển.
  • Tìm kiếm các chương trình mà bạn chưa cài đặt, sau đó gỡ cài đặt chúng.
    • Bước 3: Tắt các mục khởi động đáng ngờ.

    TrickBot, cũng giống như các phần mềm độc hại khác, được thiết kế để chạy khi hệ thống tải. Bạn cần kiểm tra các mục khởi động của mình để phát hiện xem có các quy trình lạ đang được tải trong khi khởi động hay không.

    Để thực hiện việc này:

  • Mở Run bằng cách nhấn nút Các nút Windows + R kết hợp với nhau.
  • Nhập msconfig vào hộp thoại, sau đó nhấn Enter . Thao tác này sẽ mở ra Dịch vụ window.
  • Nhấp vào tab Khởi động .
  • Tìm kiếm các mục nhập có Không xác định trong danh mục Nhà sản xuất và bỏ chọn chúng.
    • Bước 4: Loại bỏ các quy trình đáng ngờ.

    Ngoài việc tắt các mục khởi động đáng ngờ và gỡ cài đặt các chương trình không có thật, điều quan trọng là phải kiểm tra xem các quy trình đang chạy trên máy tính của bạn là phần mềm độc hại. Bạn cần phải giết các tiến trình này ngay lập tức và xóa các thư mục chứa tệp của chúng. Để làm điều này:

  • Nhấn Ctrl + Shift + Esc để mở Trình quản lý tác vụ.

    Nhấp vào tab Các quy trình .

  • Xác định quy trình nào là thực thể phần mềm độc hại bằng cách Google Google chuyển đổi chúng.
  • Đúng nhấp vào quá trình đáng ngờ, sau đó chọn Mở vị trí tệp . Thao tác này sẽ mở thư mục chứa các tệp của quy trình.
  • Quay lại Trình quản lý tác vụ, nhấp chuột phải vào quy trình đáng ngờ một lần nữa và nhấp vào Kết thúc quy trình.

  • Quay lại thư mục đang mở và xóa tất cả các tệp.
    • Bước 5: Quét máy tính của bạn bằng phần mềm chống phần mềm độc hại.

    Để loại bỏ TrickBot, bạn nên quét máy tính của bạn và các thư mục của nó bằng cách sử dụng phần mềm chống phần mềm độc hại đã cập nhật của bạn. Sau khi được phát hiện, hãy làm theo hướng dẫn để loại bỏ hoàn toàn phần mềm độc hại TrickBot.

    Bước 6: Xóa các tệp còn thừa.

    Một trong những lý do khiến TrickBot khó xóa là vì nó ẩn các tệp của nó rất tốt. Bạn cần đảm bảo rằng tất cả các tệp được liên kết với phần mềm độc hại đã bị xóa để ngăn nó quay trở lại. Các tệp này thường được ẩn trong các thư mục có tên ngẫu nhiên. Bạn có thể tìm kiếm các thư mục này để xem liệu có bất kỳ tệp TrickBot nào còn sót lại ẩn đằng sau hay không:

    • C: \
    • C: \ Windows
    • C: \ Windows \ System32
    • C: \ Windows \ Syswow64
    • C: \ Windows \ ProgramData
    • % AppData% thư mục, đặc biệt là thư mục Chuyển vùng
    Tóm tắt

    Phần mềm độc hại TrickBot cho chúng ta thấy cách một phần mềm độc hại đơn giản có thể thích ứng với các công nghệ mới và nâng cấp trò chơi của chúng. Cảnh giác và ý thức là biện pháp bảo vệ số một chống lại phần mềm độc hại dai dẳng và khó phát hiện như TrickBot. Nếu bạn cho rằng hệ thống của mình đã bị nhiễm virus, hãy làm theo hướng dẫn của chúng tôi ở trên để xóa hoàn toàn phần mềm độc hại TrickBot khỏi máy tính của bạn.

    Video youtube.: Cách thoát khỏi phần mềm độc hại TrickBot

    04, 2024