Computer >> Máy Tính >  >> Xử lý sự cố >> bảo trì máy tính

Cách thoát khỏi phần mềm độc hại TrickBot

Tin tặc ngày càng sáng tạo hơn trong việc thiết kế phần mềm độc hại để làm cho chúng mạnh hơn, nguy hiểm hơn và hiệu quả hơn. Phần mềm độc hại ăn cắp mật khẩu hoặc ghi nhật ký các hoạt động trên bàn phím của bạn hiện có vẻ sơ đẳng. Bạn cần phải ở cấp độ của một ransomware hoặc một thợ đào tiền điện tử để có thể nổi bật trong ngành công nghiệp cạnh tranh này.

Do xu hướng này, các thực thể phần mềm độc hại tiếp tục trở nên hung hăng và phức tạp hơn theo thời gian. Một ví dụ hoàn hảo là phần mềm độc hại TrickBot. Phần mềm độc hại này được thiết kế để xâm nhập email và đã tồn tại được một thời gian. Trên thực tế, phần mềm độc hại TrickBot đã xâm nhập 250 triệu tài khoản email cho đến nay.

Phần mềm độc hại TrickBot đã xuất hiện từ năm 2016. Nhưng thay vì giảm dần hoặc biến mất, phần mềm độc hại này vẫn mạnh mẽ và đã phát triển qua nhiều năm. Nó thậm chí còn được coi là một trong những mối đe dọa hàng đầu nhắm vào các doanh nghiệp hiện nay. Những năm gần đây đã chứng kiến ​​phần mềm độc hại phát triển và thêm chức năng mới khiến nó trở nên đáng sợ hơn rất nhiều so với trước đây.

Phần mềm độc hại TrickBot có thể làm gì?

TrickBot ban đầu là một Trojan ngân hàng, giống như phần mềm độc hại Emotet. Nó được thiết kế để lấy cắp thông tin ngân hàng và tài chính khác từ máy tính bị nhiễm. Nó thường lây lan qua các email lừa đảo trực tuyến được gửi đến các nhân viên không nghi ngờ của các tổ chức hoặc công ty. Ví dụ, nó có thể ngụy trang thành một bản sơ yếu lý lịch giả do một ứng viên gửi cho nhân viên nhân sự hoặc một hóa đơn giả gửi đến bộ phận kế toán. Phần mềm độc hại TrickBot tự ẩn mình trong tệp Microsoft Word hoặc Excel bị nhiễm được đính kèm trong email.

Một khi phần mềm độc hại xâm nhập, nó có thể dễ dàng lây lan qua tổ chức theo nhiều cách. Cách dễ nhất là khai thác các lỗ hổng trong Server Message Block (SMB), một giao thức chia sẻ tệp được các công ty sử dụng. Nó cho phép người dùng Windows trong cùng một mạng chia sẻ và truy cập tệp dễ dàng.

Theo các chuyên gia bảo mật tại DeepInstinct, TrickBot đã phát triển thành một “mối đe dọa mạnh mẽ, phức tạp và tinh vi, đa mục đích cho nhiều loại hoạt động độc hại khác nhau”. Họ đã phát hiện ra một biến thể của phần mềm độc hại TrickBot, được gọi là TrickBooster, một mô-đun phân phối dựa trên email độc hại thu thập email và địa chỉ liên hệ từ sổ địa chỉ và tài khoản email của máy tính bị nhiễm. Sau đó, phần mềm độc hại sẽ gửi email spam từ tài khoản email của người dùng và xóa các tin nhắn đã gửi để tránh bị phát hiện. Đây là cách phần mềm độc hại lây lan nhanh chóng và thu thập tài khoản email cho mục đích kiếm tiền.

Tóm lại, phần mềm độc hại TrickBot hoạt động theo bốn giai đoạn:

  • Máy tính của nạn nhân bị nhiễm TrickBot và nhận được hướng dẫn từ máy chủ điều khiển TrickBot để tải xuống TrickBooster.
  • TrickBooster đã tải xuống sau đó sẽ báo cáo lại máy chủ điều khiển và gửi danh sách các địa chỉ email đã thu thập và thông tin đăng nhập từ máy tính bị nhiễm độc.
  • Sau đó, máy chủ kiểm soát TrickBooster hướng dẫn bot phần mềm độc hại gửi các email độc hại từ tài khoản email của nạn nhân.
  • Bot TrickBooster gửi email spam để phát tán phần mềm độc hại hơn nữa.

Theo điều tra của DeepInstinct, cơ sở dữ liệu của phần mềm độc hại TrickBot chứa khoảng 250 triệu địa chỉ email đã được thu thập gần đây. Trong số 250 triệu địa chỉ email, 25 triệu đến từ Gmail, 21 triệu từ Yahoo !, 11 triệu từ Hotmail và 10 triệu từ AOL và MSN. Phần còn lại của các mục nhập đến từ các miền email thuộc sở hữu của các công ty và cơ quan chính phủ. Thậm chí còn có các địa chỉ email được thu thập từ Bộ Tư pháp Hoa Kỳ, Bộ An ninh Nội địa, IRS, NASA và ATF.

Cách bảo vệ máy tính của bạn trước TrickBot

Phòng bệnh hơn chữa bệnh và khái niệm này hoàn toàn áp dụng cho phần mềm độc hại TrickBot. Bạn thấy đấy, phần mềm độc hại này rất lén lút và có thể rất khó phát hiện. Vì nó xóa tất cả các tin nhắn đã gửi, bạn sẽ không thể nhận thấy bất kỳ điều gì trừ khi ai đó gửi email spam thông báo cho bạn về điều đó. Trong trường hợp này, cảnh giác là hình thức bảo vệ tốt nhất chống lại phần mềm độc hại tinh vi này.

Dưới đây là một số mẹo để ngăn TrickBot lây nhiễm vào máy tính và bảo vệ dữ liệu của bạn:

  • Cài đặt tất cả các bản cập nhật Windows có sẵn. Microsoft phát hành các bản vá bảo mật mới nhất thông qua Windows Update, vì vậy hãy đảm bảo cài đặt chúng khi có sẵn. Bạn cũng có thể kiểm tra Windows Update theo cách thủ công bằng cách đi tới Cài đặt> Cập nhật &Bảo mật> Windows Update. Nhấp vào nút Kiểm tra bản cập nhật để xem có bản cập nhật mới cần được cài đặt hay không.
  • Cập nhật phần mềm chống vi-rút của bạn, bao gồm cả phần mềm từ các máy tính được kết nối với cùng một mạng.
  • Hãy thận trọng khi mở email, đặc biệt là những email có tệp đính kèm. Email lừa đảo là phương thức phát tán số một của phần mềm độc hại TrickBot, vì vậy hãy chú ý đến những email bất thường mà bạn nhận được. Nếu bạn nhận được email từ một miền bên ngoài mạng công ty của bạn và chủ đề của email liên quan đến công việc, hãy nghiên cứu miền trước để xác minh xem email có hợp pháp hay không. Có thể rất khó xác định tính xác thực của email vì phần mềm độc hại thường bắt chước các doanh nghiệp thực để lừa người dùng mở chúng.
  • Không cung cấp thông tin đăng nhập của bạn. Một số kẻ tấn công TrickBot nhắm mục tiêu người dùng PayPal và lừa họ cung cấp thông tin đăng nhập của họ. Nếu bạn nhấp vào một liên kết và được yêu cầu đăng nhập, cho dù đó là PayPal, email hay các tài khoản khác, hãy đóng trình duyệt ngay lập tức.

Cách loại bỏ phần mềm độc hại TrickBot

Như đã đề cập trước đó, TrickBot rất khó xử lý. Nó là một trong những mối đe dọa mạng lớn nhất hiện nay và việc loại bỏ nó đòi hỏi rất nhiều nỗ lực và sự chú ý. Đây là loại Trojan biết cách ẩn nấp tốt, vì vậy bạn cần phải thật kỹ lưỡng khi loại bỏ phần mềm độc hại này. Nó thường ẩn các tệp độc hại sâu bên trong hệ thống, khó phát hiện và xóa.

Nếu bạn nghi ngờ máy tính của mình bị nhiễm phần mềm độc hại TrickBot, hãy làm theo hướng dẫn bên dưới về cách xóa thủ công và đảm bảo nó không quay lại.

Bước 1:Khởi động vào Chế độ An toàn.

Khởi động vào Chế độ An toàn sẽ vô hiệu hóa tất cả các quy trình không cần thiết của bên thứ ba để bạn có thể dễ dàng phân biệt các quy trình đáng ngờ đang chạy trên máy tính của mình. Để khởi động vào Chế độ An toàn, hãy làm theo các bước bên dưới:

  1. Nhấp vào Bắt đầu , sau đó nhấp vào biểu tượng nút nguồn ở góc dưới cùng bên trái của menu. Điều này sẽ hiển thị menu tùy chọn nguồn.
  2. Nhấn giữ Shift trên bàn phím của bạn, sau đó nhấp vào Khởi động lại .
  3. Sau đó, máy tính của bạn sẽ khởi động lại và chuyển sang Chế độ An toàn.

Bước 2:Gỡ cài đặt các chương trình đáng ngờ.

Hầu hết phần mềm độc hại cài đặt phần mềm độc hại khác trên máy tính của bạn. Trong trường hợp của TrickBot, nó tải xuống và cài đặt TrickBooster để thu thập địa chỉ email và thông tin liên hệ trên máy tính bị nhiễm. Bạn cần kiểm tra xem chương trình nào được cài đặt trên máy tính của mình là hợp pháp và chương trình nào đáng ngờ.

Để gỡ cài đặt các ứng dụng đáng ngờ khỏi máy tính của bạn, hãy làm như sau:

  1. Mở Chạy bằng cách nhấn Windows + R các nút với nhau.
  2. Nhập appwiz.cpl vào hộp thoại, sau đó nhấp vào OK . Thao tác này sẽ mở Bảng điều khiển.
  3. Tìm kiếm các chương trình mà bạn chưa cài đặt, sau đó gỡ cài đặt chúng.

Bước 3:Tắt các mục khởi động đáng ngờ.

TrickBot, cũng giống như các phần mềm độc hại khác, được thiết kế để chạy khi hệ thống tải. Bạn cần kiểm tra các mục khởi động của mình để phát hiện xem có các quy trình lạ đang được tải trong khi khởi động hay không.

Để làm điều này:

  1. Mở Chạy bằng cách nhấn Windows + R các nút với nhau.
  2. Nhập msconfig vào hộp thoại, sau đó nhấn Enter . Thao tác này sẽ mở Dịch vụ cửa sổ.
  3. Nhấp vào Khởi động tab.
  4. Tìm kiếm các mục nhập có Không xác định thuộc Nhà sản xuất và bỏ chọn chúng.

Bước 4:Diệt các quá trình đáng ngờ.

Ngoài việc vô hiệu hóa các mục khởi động đáng ngờ và gỡ cài đặt các chương trình không có thật, điều quan trọng là phải kiểm tra các quy trình đang chạy trên máy tính của bạn có phải là phần mềm độc hại hay không. Bạn cần phải giết các quy trình này ngay lập tức và xóa các thư mục chứa tệp của chúng. Để làm điều này:

  1. Nhấn Ctrl + Shift + Esc để mở Trình quản lý tác vụ.
  2. Nhấp vào Quy trình tab.
  3. Xác định quy trình nào là thực thể phần mềm độc hại bằng cách Google Google chuyển đổi chúng.
  4. Nhấp chuột phải vào quá trình đáng ngờ, sau đó chọn Mở vị trí tệp . Thao tác này sẽ mở thư mục chứa các tệp của quy trình.
  5. Quay lại Trình quản lý tác vụ, nhấp lại chuột phải vào quy trình đáng ngờ và nhấp vào Kết thúc quy trình.
  6. Quay lại thư mục đang mở và xóa tất cả các tệp.

Bước 5:Quét máy tính của bạn bằng phần mềm chống phần mềm độc hại.

Để loại bỏ TrickBot, bạn nên quét máy tính và các thư mục của nó bằng cách sử dụng phần mềm chống phần mềm độc hại đã cập nhật của bạn . Sau khi được phát hiện, hãy làm theo hướng dẫn để loại bỏ hoàn toàn phần mềm độc hại TrickBot.

Bước 6:Xóa các tệp thừa.

Một trong những lý do tại sao TrickBot khó xóa là vì nó ẩn các tệp của nó rất tốt. Bạn cần đảm bảo rằng tất cả các tệp được liên kết với phần mềm độc hại đã bị xóa để ngăn nó quay trở lại. Các tệp này thường được ẩn trong các thư mục có tên ngẫu nhiên. Bạn có thể tìm kiếm các thư mục này để xem liệu có bất kỳ tệp TrickBot nào còn sót lại ẩn sau không:

  • C:\
  • C:\ Windows
  • C:\ Windows \ System32
  • C:\ Windows \ Syswow64
  • C:\ Windows \ ProgramData
  • % AppData% thư mục, đặc biệt là thư mục Chuyển vùng

Tóm tắt

Phần mềm độc hại TrickBot cho chúng ta thấy cách một phần mềm độc hại đơn giản có thể thích ứng với các công nghệ mới và nâng cấp trò chơi của chúng. Cảnh giác và ý thức là cách bảo vệ số một chống lại phần mềm độc hại dai dẳng và khó phát hiện như TrickBot. Nếu bạn cho rằng hệ thống của mình đã bị nhiễm, hãy làm theo hướng dẫn của chúng tôi ở trên để xóa hoàn toàn phần mềm độc hại TrickBot khỏi máy tính của bạn.