Virus FormBook

Navodila za odstranitev zlonamerne programske opreme FormBook

Kaj je FormBook?

FormBook je virus, namenjen kraji osebnih podatkov iz računalnikov žrtev. Raziskave kažejo, da se ta zlonamerna programska oprema distribuira z neželeno e-pošto, ki vsebuje zlonamerne priloge. Poleg tega razvijalci ta virus ponujajo kot 'storitev' - vsak ambiciozen kibernetski kriminalec lahko plača naročnino in pridobi dostop do orodja FormBook. Seznam žrtev je velik, vendar je bilo največ okužb z FormBook odkrito v ZDA in Južni Koreji.

Posnetek zaslona vsiljene pošte, ki distribuira virus FormBook:

Po infiltraciji FormBook začne spremljati računalniško dejavnost in zbira podatke. Ta zlonamerna programska oprema beleži pritiske tipk, zajema posnetke zaslona in zajema druge informacije, kot so obiskana spletna mesta, podatki o odložišču, shranjene prijave / gesla itd. Informacije pogosto vključujejo osebne podatke (npr. Bančne podatke), ki jih distributer FormBook lahko zlorabi za ustvarjanje prihodka. Prisotnost te zlonamerne programske opreme lahko povzroči velike finančne izgube in resne težave z zasebnostjo. Poleg tega lahko FormBook izvaja ukaze, poslane z oddaljenih strežnikov za upravljanje in upravljanje (C&C). Na primer, ukazi lahko znova zaženejo in zaustavijo sistem, prenesejo različne datoteke / arhive in jih zaženejo / izvlečejo itd. ( celoten seznam funkcij ). Na ta način lahko kriminalci opravljajo naloge na daljavo, kar vodi do drugih visoko tveganih računalniških okužb ali sistemske korupcije (npr. Zločinci lahko prenesejo in izvršijo ransomware ). Zlonamerno programsko opremo FormBook je treba takoj odpraviti. Če ste pred kratkim odprli sumljive e-poštne priloge in menite, da je vaš sistem okužen, uporabite zakonit paket protivirusnih programov za popolno pregledovanje sistema in odpravo vseh groženj. Pravzaprav vam toplo priporočamo, da ga namestite in zaženete. To bo pomagalo preprečiti nadaljnje okužbe.

FormBook si deli podobnosti s številnimi drugimi okužbami z zlonamerno programsko opremo, kot je Adwind . Večino so razvili različni kiber kriminalci in imajo nekoliko drugačno funkcionalnost. Na splošno pa so bolj ali manj enaki. Ti virusi običajno beležijo podatke o uporabniškem sistemu, odpirajo se v zakulisje za drugo visoko tvegano zlonamerno programsko opremo, da bi se infiltrirala v sistem, zlorabila sistemske vire za pridobivanje kriptovalut ali zagnala druge neželene procese (npr. Botnet). Prisotnost teh virusov lahko povzroči različne težave, vključno z (vendar ne omejeno na) poškodbo sistema, poškodbo strojne opreme, izgubo datotek in težavami z zasebnostjo (npr. Krajo identitete).

Kako se je FormBook namestil v moj računalnik?

Kot smo že omenili, se FormBook promovira z uporabo e-poštnih sporočil, ki vsebujejo sporočila, ki se nanašajo na različna poslovna področja (npr. Inženiring). Ta sporočila na kratko opisujejo vsebino zlonamernih prilog (npr. Datoteka PDF, dokument MS Office ali podobno) in spodbujajo uporabnike, da jih odprejo. Odpiranje pa izvede skripte, ki prikrito prenašajo in namestijo zlonamerno programsko opremo. Ta metoda distribucije je zelo priljubljena med razvijalci odkupne programske opreme. Številne redne uporabnike (zlasti tiste, ki malo vedo o kibernetski varnosti) pogosto prevarajo, da naložijo in odprejo take priloge.

Kako se izogniti namestitvi zlonamerne programske opreme?

Glavna razloga za računalniške okužbe sta slabo znanje in neprevidno vedenje. Če želite preprečiti okužbe, bodite previdni pri brskanju po internetu. Priporočamo vam, da pred odpiranjem e-poštnih prilog dvakrat premislite - bodite pozorni, da so poslani z zaupanja vrednih / prepoznavnih naslovov in da so ustrezni. Sporočila, prejeta prek sumljivih e-poštnih naslovov, je treba nemudoma izbrisati, brez branja. Vsiljena pošta ni edini način za širjenje zlonamerne programske opreme. Zato bodite previdni pri nalaganju / nameščanju programske opreme. Prenesite aplikacije samo iz uradnih virov z uporabo neposrednih povezav za prenos. Zločinci zaslužijo prenosnike / namestitvene programe tretjih oseb s širjenjem prevarantskih aplikacij, zato teh orodij ne bi smeli uporabljati. Med prenosom / namestitvijo natančno analizirajte vsak korak (zlasti nastavitve »Po meri / Napredno«) in onemogočite vse dodatno vključene programe. Svetujemo tudi, da nameščene aplikacije redno posodabljate in znova uporabljate zakonito zbirko protivirusnih / vohunskih programov. Upoštevajte pa, da kriminalci širijo zlonamerno programsko opremo s pomočjo ponarejenih posodobiteljev, zato uporabljajte samo implementirane funkcije posodabljanja. Tako kot pri orodjih za prenos / namestitev tudi tujih posodobiteljev nikoli ne bi smeli uporabljati. Ključ računalniške varnosti je previdnost.

Druga različica pošiljanja neželene e-pošte FormBook:

Seznam dejanj FormBook, ki se lahko sprožijo s strežnikom C&C:

• Počistite piškotke brskalnika
• Zberite gesla in ustvarite posnetek zaslona
• Prenesite in zaženite datoteko
• Prenesite in razpakirajte ZIP arhiv
• Zaženite ukaz prek ShellExecute
• Znova zaženite sistem
• Odstranite bota iz gostiteljskega sistema
• Sistem za zaustavitev
• Posodobite bota na gostiteljskem sistemu

Posodobitev 18. maja 2020 - Izbruh koronavirusa (COVID-19) je pomembno vplival na kibernetski svet. Kiber kriminalci izkoriščajo situacijo in poskušajo zlonamerno programsko opremo razširiti na različne načine. Ena izmed najbolj priljubljenih metod so e-poštna sporočila. Za širjenje različnih zlonamernih programov pošiljajo na stotine tisoč e-poštnih sporočil, povezanih s koronavirusom, in FormBook ni izjema. Več o teh e-poštnih sporočilih si lahko preberete v našem ' Koronavirusni e-poštni virus ' Članek.

Še eno e-poštno sporočilo, ki se uporablja za širjenje virusa FormBook prek priložene zlonamerne datoteke DMG:

Besedilo je predstavljeno v:

Zadeva: PLAČILO

Dragi gospod,

Prosimo, poiščite priloženo plačilo za naše naročilo s hitrim nakazilom za referenco.

Prosimo, navedite nam podrobnosti o pošiljki.

Hvala vam.

Herzlichen Glückwunsch, Sie sind der glückliche Besucher von heute

Lep pozdrav,

Vodja prodaje in računovodstva
-
WTL Italia SRL
Via San Piero, 94
56031 Bientina (PI)
Telefon 0587 755355

Posodobitev 26. oktobra 2020 - Kiber kriminalci so pred kratkim 'preimenovali' zlonamerno programsko opremo FormBook, ki se zdaj imenuje XLoader. Celotna zlonamerna programska oprema ostaja enaka, spremenilo se je le ime, uporabljeno na forumih za kibernetske kriminalce med prodajo te zlonamerne programske opreme.

Posnetek zaslona še ene e-pošte, ki se uporablja za širjenje zlonamerne programske opreme FormBook (priloga je .r00 arhiv, ki vsebuje zlonamerno izvedljivo datoteko):

Besedilo je predstavljeno v:

Zadeva: Rezervacija pošiljke

Dragi gospod,

Potrdite dostavo priloženega.

Lep pozdrav
Mahmud Reaz
AGM (služba za stranke)

Baro Bhuiyan, stanovanje # 4C, hiša # 3B, cesta 49, Gulshan-2, Daka-1212, Bangladeš.
Tel: (88-02) 9861143/8823081/9880116/811294 Faks: (88-02) 9895141
Celica: +88 017 6666 5233
E-naslov: csv-canada@crownlogisticsltd.com, / reaz-crown@accesstel.net
Splet: www.crownlogisticsltd.com
Član: BAFFA / FIATA / WCA FAMILY / CGLN / AWS / F-CUBE / WSA / GFK
WCA ID # 49329

Primer zlonamernega dokumenta MS Excel, ki se uporablja za širjenje trojanca FormBook:

Še en primer vsiljene pošte, ki se uporablja za širjenje zlonamerne programske opreme FormBook:

Besedilo je predstavljeno v:

Zadeva: 30% obvestilo o predplačilu

Dobro jutro,

V prilogi najdete kopijo bančnega nakazila za plačilo 30%.

Upam, da je dostava pravočasna.

Hvala vam.

Davide Fusetti

Windows 10 Defender ist diese App deaktiviert

Adriatica SpA

Telefon +39 0426 -

Faks +39 0426 -

k-fert.it - ​​e-naslov: info@k-fert.it

Pred tiskanjem tega e-poštnega sporočila pomislite na okolje.

Opaziti:
To e-poštno sporočilo in morebitne priloge k temu lahko vsebujejo podatke, ki so zaupni in / ali zaščiteni s pravicami intelektualne lastnine in so namenjeni izključni uporabi zgoraj navedenih prejemnikov. Kakršna koli uporaba informacij, ki jih vsebuje, oseb, ki niso določeni prejemniki, je prepovedana. Čeprav poskušamo prečistiti e-pošto in priponke za viruse, ne zagotavlja, da noben od njih ne vsebuje virusov in ne prevzemamo nobene odgovornosti za škodo, povzročeno z virusi.

Takojšnje samodejno odstranjevanje zlonamerne programske opreme: Ročno odstranjevanje groženj je lahko dolgotrajen in zapleten postopek, ki zahteva napredno računalniško znanje. Malwarebytes je profesionalno orodje za samodejno odstranjevanje zlonamerne programske opreme, ki je priporočljivo, da se znebite zlonamerne programske opreme. Prenesite ga s klikom na spodnji gumb:
▼ PRENESI Malwarebytes S prenosom katere koli programske opreme, navedene na tem spletnem mestu, se strinjate z našo Politika zasebnosti in Pogoji uporabe . Če želite uporabljati polno predstavljeni izdelek, morate kupiti licenco za Malwarebytes. Na voljo 14-dnevno brezplačno preskusno obdobje.

Hitri meni:

• Kaj je FormBook?
• KORAK 1. Ročno odstranjevanje zlonamerne programske opreme FormBook.
• 2. KORAK Preverite, ali je računalnik čist.

Kako ročno odstraniti zlonamerno programsko opremo?

Ročno odstranjevanje zlonamerne programske opreme je zapletena naloga, ponavadi je bolje, da protivirusni programi ali programi proti zlonamerni programski opremi to naredijo samodejno. Za odstranitev te zlonamerne programske opreme priporočamo uporabo Malwarebytes za Windows . Če želite zlonamerno programsko opremo odstraniti ročno, morate najprej prepoznati ime zlonamerne programske opreme, ki jo poskušate odstraniti. Tu je primer sumljivega programa, ki se izvaja v uporabnikovem računalniku:

Če ste preverili seznam programov, ki se izvajajo v računalniku, na primer z upraviteljem opravil in prepoznali sumljiv program, nadaljujte s temi koraki:

Prenesite program z imenom Autoruns . Ta program prikazuje aplikacije za samodejni zagon, lokacije registra in datotečnega sistema:

Znova zaženite računalnik v varnem načinu:

Uporabniki sistemov Windows XP in Windows 7: Zaženite računalnik v varnem načinu. Kliknite Start, Zaustavitev, Ponovni zagon in V redu. Med postopkom zagona računalnika večkrat pritisnite tipko F8 na tipkovnici, dokler se ne prikaže meni Windows Advanced Option (Napredne možnosti sistema Windows), nato na seznamu izberite Safe Mode with Networking.

Video, ki prikazuje, kako zagnati Windows 7 v 'varnem načinu z mreženjem':

Uporabniki sistema Windows 8 : Zagon sistema Windows 8 je varen način z omrežjem - pojdite na začetni zaslon sistema Windows 8, vnesite Napredno in v rezultatih iskanja izberite Nastavitve. Kliknite Napredne možnosti zagona, v odprtem oknu »Splošne nastavitve računalnika« izberite Napredni zagon. Kliknite gumb 'Znova zaženi zdaj'. Zdaj se bo računalnik znova zagnal v meniju »Napredne možnosti zagona«. Kliknite gumb »Odpravljanje težav« in nato gumb »Napredne možnosti«. Na zaslonu z naprednimi možnostmi kliknite »Nastavitve zagona«. Kliknite gumb 'Znova zaženi'. Vaš računalnik se bo znova zagnal na zaslonu z nastavitvami zagona. Pritisnite F5 za zagon v varnem načinu z omrežjem.

Video, ki prikazuje zagon sistema Windows 8 v 'varnem načinu z omrežjem':

Uporabniki sistema Windows 10 : Kliknite logotip sistema Windows in izberite ikono Power. V odprtem meniju kliknite »Znova zaženi«, medtem ko na tipkovnici držite gumb »Shift«. V oknu »izberite možnost« kliknite »Odpravljanje težav«, nato izberite »Napredne možnosti«. V meniju naprednih možnosti izberite 'Nastavitve zagona' in kliknite gumb 'Znova zaženi'. V naslednjem oknu kliknite tipko 'F5' na tipkovnici. To bo znova vzpostavilo operacijski sistem v varnem načinu z mreženjem.

Video, ki prikazuje, kako zagnati Windows 10 v 'varnem načinu z omrežjem':

Izvlecite preneseni arhiv in zaženite datoteko Autoruns.exe.

V aplikaciji Autoruns na vrhu kliknite »Možnosti« in počistite možnosti »Skrij prazne lokacije« in »Skrij vnose v sistemu Windows«. Po tem postopku kliknite ikono »Osveži«.

pdf-URL bad-inf trj

Preverite seznam aplikacij Autoruns in poiščite datoteko zlonamerne programske opreme, ki jo želite odstraniti.

Zapišite si celotno pot in ime. Nekatera zlonamerna programska oprema svoja imena procesov skriva pod zakonitimi imeni procesov Windows. Na tej stopnji je zelo pomembno, da se izognete odstranjevanju sistemskih datotek. Ko najdete sumljiv program, ki ga želite odstraniti, z desno miškino tipko kliknite njegovo ime in izberite 'Delete'

Po odstranitvi zlonamerne programske opreme prek aplikacije Autoruns (to zagotavlja, da se zlonamerna programska oprema ne bo samodejno zagnala ob naslednjem zagonu sistema), poiščite ime zlonamerne programske opreme v računalniku. Bodi prepričan omogoči skrite datoteke in mape preden nadaljujete. Če najdete datoteko zlonamerne programske opreme, jo odstranite.

Znova zaženite računalnik v običajnem načinu. Upoštevanje teh korakov naj bi pomagalo odstraniti vso škodljivo programsko opremo iz računalnika. Upoštevajte, da ročno odstranjevanje groženj zahteva napredno računalniško znanje, zato priporočamo, da odstranitev zlonamerne programske opreme prepustite protivirusnim programom in programom proti zlonamerni programski opremi. Ti koraki morda ne bodo delovali pri naprednih okužbah z zlonamerno programsko opremo. Kot vedno se je bolje izogniti okužbam, ki poskušajo nato zlonamerno programsko opremo odstraniti. Za zaščito računalnika namestite najnovejše posodobitve operacijskega sistema in uporabite protivirusno programsko opremo.

Če želite biti prepričani, da v vašem računalniku ni okužb z zlonamerno programsko opremo, priporočamo, da ga optično preberete z Malwarebytes za Windows .