Priročnik za odstranjevanje virusa AZORult
Kaj je AZORult?
AZORult je visoko tvegan virus trojanskega tipa, namenjen zbiranju različnih občutljivih informacij. Raziskave kažejo, da kibernetski kriminalci širijo to zlonamerno programsko opremo z uporabo e-poštnih kampanj. E-poštna sporočila običajno vsebujejo zavajajoče besedilo, ki uporabnike privabi, da odprejo priložene datoteke (npr. Ponarejene obrazce za prošnje za delo, dostavljene v obliki MS Office). Ko se te priponke odprejo, izvedejo številne ukaze, ki v sistem infiltrirajo AZORult. Starejše različice AZORulta so bile distribuirane z uporabo Ramnit , Brezšivni in drugi vmesni nakladalci.
V e-poštnih kampanjah se uporablja preprost model prevare. Kiber kriminalci pošiljajo različna sporočila, ki uporabnike spodbujajo k odpiranju priloženih datotek. Poleg tega bodo verjetno trdili, da so zaposleni v zakonitih podjetjih ali vladnih institucijah. Nenehno registrirajo različne domene in e-poštne naslove z vključevanjem imen podjetij / institucij. S tem skušajo ustvariti vtis legitimnosti - veliko preprosteje je pretentati uporabnike, da verjamejo v sporočila, prejeta od znanih imen. Kot smo že omenili, pa so odprte priloge prikrito prenašale in namestile trojanske viruse (v tem primeru AZORult). Eden glavnih namenov AZORulta je zbiranje občutljivih podatkov. Ta trojanski program lahko ugrablja spletne brskalnike in beleži različne shranjene / vnesene podatke, vključno s piškotki, prijavami / gesli, zgodovino brskanja itd. Raziskave kažejo, da kiber kriminalce večinoma zanimajo prijave / gesla denarnic za kriptovalute, e-poštni računi, računi FTP in odjemalci XMPP. Tega trojanca lahko nastavite tudi za pridobivanje podatkov, shranjenih na namizjih žrtev. Novejše različice AZORulta so bile uvedene z dodatnimi funkcijami, kot so snemanje posnetkov zaslona, zbiranje podatkov iz zgodovine / dnevnikov klepetov Jabber, Skype in drugih podobnih storitev. Te informacije so izredno občutljive in kiber kriminalci jih uporabljajo za ustvarjanje prihodkov. Prisotnost trojanca AZORult lahko povzroči resne težave z zasebnostjo in znatno finančno izgubo. Če ste nedavno odprli sumljive e-poštne priloge ali glejte sAMsUNg 'v upravitelju opravil sistema Windows obstaja velika verjetnost, da je računalnik okužen z zlonamerno programsko opremo AZORult. V tem primeru morate sistem takoj pregledati z legitimnim paketom protivirusne / vohunske programske opreme in odstraniti vse zaznane grožnje.
| Ime | AZORult trojanski |
| Vrsta grožnje | Trojanski virus, virus, ki krade gesla, bančna zlonamerna programska oprema, vohunska programska oprema. |
| Imena zaznavanja | Avast (Win32: trojanski gen), BitDefender (gen: Variant.Fugrafa.8779), ESET-NOD32 (različica Win32 / Spy.Agent.PQD), Kaspersky (HEUR: Trojan.Win32.Generic), celoten seznam ( VirusTotal ) |
| Imena zlonamernih procesov | 'sAMsUNG' (ime postopka se lahko razlikuje) |
| Simptomi | Trojanci so zasnovani tako, da prikradeno vdrejo v računalnik žrtve in ostanejo tiho, zato na okuženem računalniku niso jasno vidni nobeni posebni simptomi. |
| Metode distribucije | Okužene e-poštne priloge, zlonamerni spletni oglasi, socialni inženiring, programske razpoke. |
| Škoda | Ukradena gesla in bančne informacije, kraja identitete, žrtev računalnik dodan v botnet. |
| Odstranjevanje zlonamerne programske opreme (Windows) | Da bi odpravili morebitne okužbe z zlonamerno programsko opremo, skenirajte računalnik z zakonito protivirusno programsko opremo. Naši raziskovalci varnosti priporočajo uporabo programske opreme Malwarebytes. |
Obstaja veliko virusov trojanskega tipa, podobnih AZORult-u, vključno z njimi Emotet , LokiBot , in Adwind - to je le nekaj primerov iz mnogih. Kot pri AZORult se tudi ti virusi pogosto distribuirajo z e-poštnimi kampanjami. Poleg tega je njihovo vedenje na splošno enako - večina zbira občutljive podatke. V nekaterih primerih pa trojanci razmnožujejo druge viruse, kot je odkupnina. V vsakem primeru ti virusi močno ogrožajo vašo zasebnost in varnost brskanja po internetu.
Kako je AZORult okužil moj računalnik?
Kot smo že omenili, e-poštne kampanje spodbujajo zlonamerne priloge (dokumenti MS Office). Po odprtju te datoteke uporabnike spodbujajo, da omogočijo makro ukaze, sicer vsebina ne bo pravilno prikazana. Dejansko omogočanje makrov omogoča prilogam, da izvajajo ukaze, ki prikrito prenašajo in namestijo AZORult. Upoštevajte, da ima ta metoda distribucije veliko napako - priloge ne morejo prenesti zlonamerne programske opreme, če se odprejo z drugimi programi, ki niso orodja MS Office. Če na primer datoteko .doc odprete s programsko opremo, ki ni MS Word, zlonamerna programska oprema ne bo prenesena. Poleg tega AZORult cilja samo na MS Windows in uporabnike drugih platform.
Kako se izogniti namestitvi zlonamerne programske opreme?
Da bi preprečili te okužbe, bodite zelo previdni pri brskanju po internetu. Natančno analizirajte vsako prejeto e-poštno prilogo. Datotek, ki se zdijo nepomembne ali so bile prejete s sumljivih / neprepoznavnih e-poštnih naslovov, se nikoli ne sme odpreti. Poleg tega se nekateri trojanci distribuirajo z lažnimi posodobitvami in neodvisnimi prenosniki / namestitelji. Zato nameščene aplikacije redno posodabljajte. Da bi to dosegli, uporabite vgrajene funkcije ali orodja, ki jih nudi samo uradni razvijalec. Enako velja za prenos / namestitev programske opreme. Svetujemo vam, da programe prenašate samo iz uradnih virov, in sicer z neposrednimi povezavami za prenos. Prenosniki / namestitveni programi tretjih oseb se monetizirajo s promocijo prevarantskih aplikacij in jih zato ne bi smeli uporabljati. Najpomembnejša je tudi namestitev in izvajanje ugledne programske opreme za protivirusno / vohunsko programsko opremo. Upoštevajte, da leta 2010 in novejše različice MS Office odpirajo na novo prenesene dokumente v načinu »Zaščiten pogled«. To preprečuje, da bi zlonamerne priloge prenašale in namestile zlonamerno programsko opremo. Zato je uporaba starejših različic MS Office tvegana. Glavna razloga za računalniške okužbe sta pomanjkanje znanja in neprevidno vedenje. Ključ varnosti je previdnost. Če ste že odprli prilogo 'AZORult', priporočamo, da zaženete skeniranje z Malwarebytes za Windows za samodejno odstranitev vdrte zlonamerne programske opreme.
Besedilo, predstavljeno v e-poštnem sporočilu „AZORult“:
Zadeva: Prošnja za delo
Kako gre?
Moje ime je Britney in me zanima služba.
Priložil sem kopijo svojega življenjepisa.
Geslo je 321
Hvala vam!
Britney
Zlonamerna priloga, distribuirana prek neželene oglaševalske akcije 'AZORult':
Besedilo, predstavljeno v tej zlonamerni prilogi:
Himbeer pi null w datenblatt
ZAŠČITEN DOKUMENT
NE LAHKO POGLEDI? MICROSOFT PRIPOROČA SPODNJI KORAKI
1. Odprite dokument v MS Office. Spletni predogled za zaščitene dokumente ne deluje.
2. Uporabite računalnik / namizje. Zaščiteni dokument ne deluje v mobilnem telefonu.
3. Ker ste ta dokument prenesli v splet, boste morali klikniti »Omogoči urejanje« ali »Omogoči makro« in nato na rumeni vrstici, ki se vam lahko prikaže, klikniti »Omogoči vsebino«.
Posnetek zaslona postopka zlonamerne programske opreme AZORult (' SAMSUNG ') v upravitelju opravil sistema Windows:
Posodobitev 19. februarja 2020 - Kiber kriminalci so pred kratkim začeli širiti trojanca AZORult z masko zakonite storitve VPN, imenovane ProtonVPN. Crooks so ustvarili kopijo pristnega spletnega mesta ProtonVPN - protonvpn [.] Com. Naslov URL-ja replike je protonvpn [.] Store. Zaradi dejstva, da je zasnova lažnega spletnega mesta popolnoma enaka in je domena tudi zelo podobna, je uporabnike enostavno pretentati, da prenesejo ponarejeno namestitveno namestitev ProtonVPN. Po zagonu ponarejeni namestitveni program v sistem vbrizga trojanca AZORult.
Posnetek zaslona ponarejenega spletnega mesta ProtonVPN (trgovina protonvpn [.]):
Posnetek zaslona ponarejenega namestitvenega programa ProtonVPN (uporablja se za širjenje AZORult-a) in njegovih zaznavnih imen v VirusTotal:
Posnetek zaslona prevare, ki širi trojanec AZORult:
Besedilo je predstavljeno v:
Zadeva: AW: AW: Potrdilo o plačilu in potrditev naročila 25-05-20 Račun_20-613129926-001
Živjo,
V prilogi najdete podpisano prodajno pogodbo in prejeli boste obvestilo o plačilnem prometu za plačilne transakcije, navedene v prilogi.
Z lepimi pozdravi
S spoštovanjem,
Sven GökePoslano z aplikacijo GMX Mail
DKV EURO SERVICE GmbH + Co. KG
Balcke-Dürr-Allee 3, D-40882 Ratingen
Fon: +49 (0) 2102 5518-0
Faks: +49 (0) 2102 5518-192
hxxp: //www.dkv-euroservice.com/
Še eno e-poštno sporočilo, ki se je uporabljalo za širjenje trojanca AZORult:
Besedilo je predstavljeno v:
Zadeva: Potrditev naročila
Dragi gospod,Poiščite priloženo naročilo naročila za vašo ponudbo.
za plačilo nam izdajte predračun + bančne podatke.
Hvala in pozdrav,Angel Silver Co., Ltd.
1213 Charoenkrung Road
Soi 47/1 Bangrak, Bangkok 10500
TAJSKA
Telefon: + 66 (0) 2 630 95 16
Faks: + 66 (0) 2 630 95 16
Posnetek zaslona priloženega zlonamernega dokumenta MS Excel:
Takojšnje samodejno odstranjevanje zlonamerne programske opreme: Ročno odstranjevanje groženj je lahko dolgotrajen in zapleten postopek, ki zahteva napredno računalniško znanje. Malwarebytes je profesionalno orodje za samodejno odstranjevanje zlonamerne programske opreme, ki je priporočljivo, da se znebite zlonamerne programske opreme. Prenesite ga s klikom na spodnji gumb:
▼ PRENESI Malwarebytes S prenosom katere koli programske opreme, navedene na tem spletnem mestu, se strinjate z našo Politika zasebnosti in Pogoji uporabe . Če želite uporabljati polno predstavljeni izdelek, morate kupiti licenco za Malwarebytes. Na voljo 14-dnevno brezplačno preskusno obdobje.
Hitri meni:
- Kaj je AZORult?
- KORAK 1. Ročno odstranjevanje zlonamerne programske opreme AZORult.
- 2. KORAK Preverite, ali je računalnik čist.
Kako ročno odstraniti zlonamerno programsko opremo?
Ročno odstranjevanje zlonamerne programske opreme je zapletena naloga - ponavadi je najbolje, da to dovolijo samodejno protivirusni programi ali programi proti zlonamerni programski opremi. Za odstranitev te zlonamerne programske opreme priporočamo uporabo Malwarebytes za Windows . Če želite zlonamerno programsko opremo odstraniti ročno, morate najprej prepoznati ime zlonamerne programske opreme, ki jo poskušate odstraniti. Tu je primer sumljivega programa, ki se izvaja v uporabnikovem računalniku:
Unix-Shells für Windows
Če ste preverili seznam programov, ki se izvajajo v računalniku, na primer z upraviteljem opravil, in ugotovili sumljiv program, nadaljujte s temi koraki:
Prenesite program z imenom Autoruns . Ta program prikazuje lokacije samodejnega zagona, registra in datotečnega sistema:
Znova zaženite računalnik v varnem načinu:
Uporabniki sistemov Windows XP in Windows 7: Zaženite računalnik v varnem načinu. Kliknite Start, Zaustavitev, Ponovni zagon in V redu. Med postopkom zagona računalnika večkrat pritisnite tipko F8 na tipkovnici, dokler se ne prikaže meni Windows Advanced Option (Napredne možnosti sistema Windows), nato na seznamu izberite Safe Mode with Networking.
Video, ki prikazuje, kako zagnati Windows 7 v 'varnem načinu z mreženjem':
Uporabniki sistema Windows 8 : Zagon sistema Windows 8 je varen način z omrežjem - pojdite na začetni zaslon sistema Windows 8, vnesite Napredno in v rezultatih iskanja izberite Nastavitve. Kliknite Napredne možnosti zagona, v odprtem oknu »Splošne nastavitve računalnika« izberite Napredni zagon. Kliknite gumb 'Znova zaženi zdaj'. Zdaj se bo računalnik znova zagnal v meniju »Napredne možnosti zagona«. Kliknite gumb »Odpravljanje težav« in nato gumb »Napredne možnosti«. Na zaslonu z naprednimi možnostmi kliknite »Nastavitve zagona«. Kliknite gumb 'Znova zaženi'. Vaš računalnik se bo znova zagnal na zaslonu z nastavitvami zagona. Pritisnite F5 za zagon v varnem načinu z omrežjem.
Video, ki prikazuje zagon sistema Windows 8 v 'varnem načinu z omrežjem':
Uporabniki sistema Windows 10 : Kliknite logotip sistema Windows in izberite ikono Power. V odprtem meniju kliknite »Znova zaženi«, medtem ko na tipkovnici držite gumb »Shift«. V oknu »izberite možnost« kliknite »Odpravljanje težav«, nato izberite »Napredne možnosti«. V meniju naprednih možnosti izberite 'Nastavitve zagona' in kliknite gumb 'Znova zaženi'. V naslednjem oknu kliknite tipko 'F5' na tipkovnici. To bo znova vzpostavilo operacijski sistem v varnem načinu z mreženjem.
Video, ki prikazuje, kako zagnati Windows 10 v 'varnem načinu z omrežjem':
Izvlecite preneseni arhiv in zaženite datoteko Autoruns.exe.
V aplikaciji Autoruns na vrhu kliknite »Options« in počistite možnosti »Hide Empty Locations« in »Hide Windows Entries«. Po tem postopku kliknite ikono »Osveži«.
Preverite seznam aplikacij Autoruns in poiščite datoteko zlonamerne programske opreme, ki jo želite odstraniti.
Zapišite celotno pot in ime. Nekatera zlonamerna programska oprema skriva imena procesov pod zakonitimi imeni procesov Windows. Na tej stopnji je zelo pomembno, da se izognete odstranjevanju sistemskih datotek. Ko poiščete sumljiv program, ki ga želite odstraniti, z desno miškino tipko kliknite njegovo ime in izberite »Izbriši«.
Po odstranitvi zlonamerne programske opreme prek aplikacije Autoruns (to zagotavlja, da se zlonamerna programska oprema ne bo samodejno zagnala ob naslednjem zagonu sistema), poiščite ime zlonamerne programske opreme v računalniku. Bodi prepričan omogoči skrite datoteke in mape preden nadaljujete. Če najdete ime datoteke zlonamerne programske opreme, jo odstranite.
Vulkan-Laufzeitbibliotheken sollte ich sie entfernen
Znova zaženite računalnik v običajnem načinu. Če sledite tem korakom, odstranite zlonamerno programsko opremo iz računalnika. Upoštevajte, da ročno odstranjevanje groženj zahteva napredno računalniško znanje. Če teh znanj nimate, prepustite odstranjevanje zlonamerne programske opreme protivirusnim programom in programom proti zlonamerni programski opremi. Ti koraki morda ne bodo delovali pri naprednih okužbah z zlonamerno programsko opremo. Kot vedno je najbolje, da preprečite okužbo, kot pa, da pozneje odstranite zlonamerno programsko opremo. Da bi bil računalnik varen, namestite najnovejše posodobitve operacijskega sistema in uporabite protivirusno programsko opremo.
Če želite biti prepričani, da v vašem računalniku ni okužb z zlonamerno programsko opremo, priporočamo, da ga optično preberete z Malwarebytes za Windows .
