Trong lĩnh vực máy tính, Trojan đề cập đến phần mềm độc hại che giấu ý định thực sự của nó đối với nạn nhân mục tiêu. Lấy từ thần thoại Hy Lạp kể về sự sụp đổ của thành phố Troy thông qua việc sử dụng một con ngựa thành Troy lừa đảo, phần mềm độc hại như vậy được ngụy trang để trông có vẻ không đáng ngờ.
Có rất nhiều loại Trojan, và tác động của chúng rất nghiêm trọng. Là một thực thể phần mềm độc hại, nó có thể gây hại cho cả người dùng và thiết bị. Trong bài viết này, chúng tôi sẽ tập trung vào Orcus RAT (Trojan truy cập từ xa).
Giới thiệu về Orcus RAT
Orcus RAT là một loại virus máy tính lây lan qua các chiến dịch phức tạp. Phần mềm độc hại này nhắm mục tiêu cao vào các nhà đầu tư Bitcoin trong nỗ lực xoay xở tài chính của họ. Nó xuất hiện vào năm 2016 và kể từ đó đã có mặt tại một số địa điểm trên toàn cầu. Mối đe dọa này có thể gây ra tổn thất tài chính nghiêm trọng và đánh cắp danh tính.
Một người dùng Twitter có tên Armada đã bị điều tra sau khi phát tán Trojan như một Công cụ quản trị từ xa chính hãng. Trong khi cô đang bị điều tra, số lượng máy tính bị nhiễm ngày càng tăng đã được ghi nhận ở Anh và Canada. Sự lây lan của vi-rút này được thực hiện thông qua các chiến dịch email lừa đảo trực tuyến và qua từng lượt tải xuống.
Orcus RAT làm gì?
Khi Orcus RAT tìm thấy một máy chủ, nó sẽ chạy quá trình có tên PK Holdings.exe từ Trình quản lý tác vụ. Sau đó, nó truy cập và cấu hình các mục đăng ký và kích hoạt một trình cắm thêm hệ thống nâng cao và các hoạt động đáng ngờ khác. Mục đích là cuối cùng cho phép thủ phạm kiểm soát hoàn toàn hệ thống từ xa. Khi điều này xảy ra, tội phạm mạng bắt đầu thu thập thông tin chi tiết về ngân hàng của nạn nhân, ghi lại các lần gõ phím, quay video qua webcam cũng như tấn công ví Bitcoin. Cuối cùng, nạn nhân bị thiệt hại lớn về tài chính.
Các khu vực của Hoa Kỳ và Canada là mục tiêu chính của Orcus RAT. Bất chấp điều đó, các chuyên gia an ninh mạng chỉ ra rằng phần mềm độc hại này cũng đã tìm cách tấn công các phần khác của quả cầu. Thủ phạm của Trojan này bắt đầu bán phần mềm độc hại này vào năm 2016 với giá 40 đô la. Người bán cũng cung cấp hướng dẫn cách sử dụng virus cho những người dùng ít kinh nghiệm khi tấn công máy tính khác. Các hướng dẫn bao gồm việc sử dụng các tài liệu MS Office đáng ngờ có chứa macro, tập lệnh hoặc khai thác CVE-2017-8759.
Vào năm 2018, các cuộc tấn công bằng virus lại nổi lên, lần này là nhắm vào những người nộp thuế ở Mỹ thông qua các chiến dịch lừa đảo. Orcus RAT được phân phối dưới dạng một gói với Netwire. Trojan tiếp tục xuất hiện trở lại vào năm 2019, nhưng vào thời điểm đó, nó đã sử dụng một chiến lược phân phối mới ẩn RAT trong một video theo chủ đề Coca-Cola Ramadan. Bất kể loại chiến dịch nào được sử dụng, các mục tiêu và chức năng của RAT đều giống nhau - đạt được lợi ích tài chính và có được bằng chứng xác thực ngân hàng.
Nội dung trình bày khi lừa người dùng qua email để truy cập vào nội dung độc hại đính kèm như sau:
Thưa bà, một ngày tốt lành!
Chúng tôi là công ty kinh doanh tại Đài Loan với ngành nghề kinh doanh Máy tiện và Máy CNC, ĐIỆN, CHỐT &NUÔI về vấn đề này, xin vui lòng tham khảo các mặt hàng sau và cung cấp của bạn báo giá tốt nhất càng sớm càng tốt, xin cảm ơn.
- C.I.F Cao Hùng Cảng Đài Loan
- Bằng đường hàng không .1 Bằng đường biển riêng
- Bạn có cần ảnh bảng tên cho Máy này được đính kèm không?
Vui lòng hoàn nguyên với giá càng sớm càng tốt. Đính kèm là Chứng chỉ / Giấy phép Hoạt động và Đơn đặt hàng của Chúng tôi về Đặc điểm kỹ thuật và tài liệu tham khảo
Nếu bạn có bất kỳ câu hỏi nào, vui lòng liên hệ với tôi.
Trân trọng
Amy Wu
Giám đốc bán hàng
PROTOM MACHINERY TOOLS LTD.
55 Chin Shan South Road Sec. 2
Đài Bắc, Đài Loan 10603 TAIWAN, R. 0. C.
Vui lòng xem xét môi trường trước khi in e-mail này
Để đạt được những mục tiêu này, nhà phát triển của Orcus RAT đã trang bị cho phần mềm độc hại những khả năng sau:
- Thực hiện các cuộc tấn công DDoS
- Tiếp quản chức năng của webcam và tắt đèn hoạt động của nó
- Quay video và âm thanh bằng tài nguyên hệ thống
- Có được thông tin hệ thống quan trọng
- Chụp nhanh
- Thu thập mật khẩu và cookie của trình duyệt
Trong số các hoạt động này, hoạt động duy nhất có thể nhận thấy là đèn hoạt động của webcam bị tắt. Các chức năng khác của RAT này được thực thi ở chế độ nền khiến người dùng máy tính bình thường khó nhận ra sự tồn tại của nó. Để phát hiện RAT này, bạn phải chạy phần mềm bảo mật chống phần mềm độc hại mạnh mẽ.
Làm cách nào để loại bỏ Orcus RAT?
Điều khiến việc đối phó với Orcus RAT trở nên khó khăn là vi-rút xâm nhập vào các khu vực thiêng liêng của máy tính. Nó thao tác các mục đăng ký và đưa các quy trình khác nhau vào hệ thống. Do đó, ngay cả khi bạn xóa chương trình khỏi hệ thống, thủ phạm vẫn có thể truy cập vào nó bằng cách sử dụng các phần mềm gốc bị bỏ lại. Nếu các tiến trình như vậy tồn tại trong máy tính của bạn, chúng có thể tiêu tốn rất nhiều năng lượng của CPU và tài nguyên hệ thống. Đây là lý do tại sao bạn nên cân nhắc sử dụng tiện ích tự động kết hợp với tùy chọn thủ công.
Hướng dẫn loại bỏ Orcus RAT
Quá trình gỡ bỏ thủ công phức tạp hơn so với quy trình tự động. Do đó, chúng tôi khuyên bạn nên sử dụng giải pháp tự động nếu kỹ năng máy tính của bạn không được nâng cao. Tuy nhiên, nếu bạn muốn sử dụng phương pháp thủ công, bước đầu tiên cần thực hiện là xác định tên của Trojan mà bạn muốn loại bỏ. Khi bạn đã hoàn thành việc đó, bạn có thể tiếp tục và bắt đầu quá trình xóa như được hiển thị bên dưới:
Bước 1:Vào Chế độ An toàn với Mạng
- Nhấn Windows + I để khởi chạy Cài đặt ứng dụng.
- Bây giờ, hãy kiểm tra Cập nhật &Bảo mật và nhấp vào nó.
- Di chuột đến ngăn bên trái và chọn Khôi phục .
- Nhấp vào nút Khởi động lại ngay bây giờ trong tùy chọn Khởi động nâng cao phần.
- Nhấp vào Khắc phục sự cố trước khi chọn Nâng cao tùy chọn.
- Bây giờ, hãy chọn Cài đặt khởi động trước khi nhấn nút Khởi động lại tùy chọn.
- Chọn tuỳ chọn 5) Bật Chế độ An toàn với Mạng.
Bước 2:Kết thúc các Quy trình Đáng ngờ từ Trình quản lý Tác vụ
- Nhấn Ctrl + Alt + Delete và nhấp vào Trình quản lý tác vụ để khởi chạy tiện ích.
- Bây giờ, hãy nhấp vào Chi tiết khác rồi cuộn xuống phần có nhãn Quy trình nền . Kiểm tra danh sách các quy trình nếu có bất kỳ quy trình nào đáng ngờ.
- Nhấp chuột phải vào bất kỳ quy trình đáng ngờ nào và chọn Mở vị trí tệp .
- Quay lại Trình quản lý tác vụ và nhấp chuột phải vào các quy trình đáng ngờ. Lần này, chọn Kết thúc tác vụ .
- Lặp lại các Bước 3 và 4 cho tất cả các quy trình không rõ ràng.
- Khi hoàn tất, hãy chuyển đến tất cả các vị trí tệp đã mở và xóa nội dung.
- Bây giờ, hãy chuyển đến Khởi động tab và xác định chương trình đáng ngờ. Nhấp chuột phải và chọn Tắt .
Bước 3:Loại bỏ các tệp vi rút
Các tệp phần mềm độc hại có thể được phát hiện ở các vị trí khác nhau trong hệ thống của bạn. Làm theo các hướng dẫn sau để tìm chúng:
- Nhấn Windows và nhập Disk Cleanup trước khi nhấn Enter nút.
- Chọn ổ lưu trữ mà bạn muốn xóa (chúng tôi khuyên bạn nên chọn ổ mà bạn đã cài đặt hệ điều hành, chẳng hạn như ổ C).
- Trong Tệp cần xóa, kiểm tra những điều sau:
- Tệp Internet Tạm thời
- Tải xuống
- Thùng rác
- Tệp tạm thời
- Khi hoàn tất, bạn có thể kiểm tra các vị trí khác thường lưu trữ nội dung độc hại, chẳng hạn như:
- % AppData%
- % LocalAppData%
- % ProgramData%
- % WinDir%
Khi hoàn tất, bạn có thể khởi động lại hệ thống ở chế độ bình thường.
Sử dụng Giải pháp Tự động để Thoát khỏi Orcus RAT
Phương pháp hiệu quả nhất để loại bỏ Orcus Trojan là sử dụng phần mềm bảo mật chống phần mềm độc hại mạnh và đáng tin cậy. Các tiện ích bảo mật đáng tin cậy cập nhật dữ liệu của họ kịp thời để phát hiện nội dung phần mềm độc hại mới nhất. Vì vậy, bạn phải xem xét một công ty có uy tín để đảm bảo bạn loại bỏ tất cả phần mềm độc hại trong hệ thống của mình một lần và mãi mãi.
Tải xuống chương trình bảo mật từ trang web chính thức của nó và cài đặt nó. Sau khi hoàn tất, hãy chạy chương trình và chọn tùy chọn Full Scan. Chờ chương trình quét xong toàn bộ hệ thống và hiển thị tất cả nội dung được gắn cờ. Chọn hành động được đề xuất để Cách ly / Xóa phần mềm độc hại.
Kết luận
Mặc dù Orcus Technologies đã bị phạt 115.000 CAD vì sự lây lan của Orcus RAT, nó vẫn không ngăn được sự lây lan của vi-rút. Nó vẫn còn gây chết người và phải được xử lý ngay lập tức để tránh thiệt hại nặng và mất mát. Chúng tôi khuyên người dùng nên duy trì một chương trình bảo mật chống phần mềm độc hại mạnh chạy trong nền để có được sự bảo vệ trong thời gian thực. Ngoài ra, đây là một biện pháp bảo mật để giữ cho tất cả phần mềm của bạn được cập nhật để được hưởng lợi từ các bản vá bảo mật mới nhất.