วิธีกำจัดมัลแวร์ TrickBot (03.28.24)

แฮกเกอร์มีความคิดสร้างสรรค์มากขึ้นในการออกแบบมัลแวร์เพื่อให้มีประสิทธิภาพมากขึ้น อันตรายมากขึ้น และมีประสิทธิภาพมากขึ้น มัลแวร์ที่ขโมยรหัสผ่านหรือบันทึกกิจกรรมคีย์บอร์ดของคุณตอนนี้ดูเหมือนเป็นเรื่องพื้นฐาน คุณต้องอยู่ในระดับ ransomware หรือ crypto-miner เพื่อให้สามารถโดดเด่นในอุตสาหกรรมการแข่งขันนี้

ด้วยแนวโน้มนี้ หน่วยงานมัลแวร์จึงมีความก้าวร้าวและซับซ้อนมากขึ้นเมื่อเวลาผ่านไป ผ่านไป ตัวอย่างหนึ่งที่สมบูรณ์แบบคือมัลแวร์ TrickBot มัลแวร์นี้ออกแบบมาเพื่อประนีประนอมอีเมลและมีมาระยะหนึ่งแล้ว อันที่จริงแล้ว มัลแวร์ TrickBot ได้บุกรุกบัญชีอีเมลไปแล้ว 250 ล้านบัญชี

มัลแวร์ TrickBot มีมาตั้งแต่ปี 2016 แต่แทนที่จะลดน้อยลงหรือหายไป มัลแวร์ยังคงแข็งแกร่งและมีวิวัฒนาการตลอดหลายปีที่ผ่านมา ถือว่าเป็นหนึ่งในภัยคุกคามอันดับต้น ๆ ที่กำหนดเป้าหมายธุรกิจในปัจจุบัน ในช่วงไม่กี่ปีที่ผ่านมาพบว่ามัลแวร์มีวิวัฒนาการและเพิ่มฟังก์ชันการทำงานใหม่ที่ทำให้น่ากลัวกว่าเดิมมาก

มัลแวร์ TrickBot สามารถทำอะไรได้บ้าง

TrickBot เป็นโทรจันด้านการธนาคาร เช่นเดียวกับมัลแวร์ Emotet . ออกแบบมาเพื่อขโมยข้อมูลทางการเงินและข้อมูลทางการเงินอื่นๆ จากคอมพิวเตอร์ที่ติดไวรัส โดยปกติแล้วจะแพร่กระจายผ่านอีเมลฟิชชิ่งสเปียร์ที่ส่งไปยังเจ้าหน้าที่ขององค์กรหรือบริษัทที่ไม่สงสัย ตัวอย่างเช่น มันสามารถปลอมตัวเป็นเรซูเม่ปลอมที่ส่งโดยผู้สมัครไปยังเจ้าหน้าที่ reimgs หรือใบแจ้งหนี้ปลอมที่ส่งไปยังแผนกบัญชี มัลแวร์ TrickBot ซ่อนตัวอยู่ในไฟล์ Microsoft Word หรือ Excel ที่ติดไวรัสที่แนบมากับอีเมล

เมื่อมัลแวร์เข้ามา ก็สามารถแพร่กระจายไปทั่วองค์กรได้อย่างง่ายดายในหลากหลายวิธี วิธีที่ง่ายที่สุดคือการใช้ช่องโหว่ใน Server Message Block (SMB) ซึ่งเป็นโปรโตคอลการแชร์ไฟล์ที่บริษัทใช้ อนุญาตให้ผู้ใช้ Windows ในเครือข่ายเดียวกันสามารถแชร์และเข้าถึงไฟล์ได้อย่างง่ายดาย

ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยที่ DeepInstinct TrickBot ได้พัฒนาเป็น กิจกรรม." พวกเขาค้นพบตัวแปรของมัลแวร์ TrickBot ที่เรียกว่า TrickBooster ซึ่งเป็นโมดูลการแจกจ่ายอีเมลที่เป็นอันตรายซึ่งรวบรวมอีเมลและผู้ติดต่อจากสมุดที่อยู่และบัญชีอีเมลของคอมพิวเตอร์ที่ติดไวรัส จากนั้นมัลแวร์จะส่งอีเมลสแปมออกจากบัญชีอีเมลของผู้ใช้และลบข้อความที่ส่งเพื่อหลีกเลี่ยงการตรวจจับ นี่คือวิธีที่มัลแวร์แพร่กระจายอย่างรวดเร็วและเก็บเกี่ยวบัญชีอีเมลเพื่อจุดประสงค์ในการสร้างรายได้

โดยสรุป มัลแวร์ TrickBot ทำงานในสี่ขั้นตอน:

  • คอมพิวเตอร์ของเหยื่อติด TrickBot และได้รับคำสั่งจากเซิร์ฟเวอร์ควบคุม TrickBot ให้ดาวน์โหลด TrickBooster
  • TrickBooster ที่ดาวน์โหลดมาจะรายงานกลับไปที่เซิร์ฟเวอร์ควบคุม และส่งรายชื่อที่อยู่อีเมลที่รวบรวมและข้อมูลรับรองการเข้าสู่ระบบ จากคอมพิวเตอร์ที่ติดไวรัส
  • เซิร์ฟเวอร์ควบคุม TrickBooster จะสั่งให้บอทมัลแวร์ส่งอีเมลที่เป็นอันตรายจากบัญชีอีเมลของเหยื่อ
  • บอท TrickBooster ส่งอีเมลสแปมเพื่อกระจายมัลแวร์ ต่อไป.

จากการตรวจสอบของ DeepInstinct ฐานข้อมูลของมัลแวร์ TrickBot มีที่อยู่อีเมลประมาณ 250 ล้านรายการที่เพิ่งถูกรวบรวมมาเมื่อเร็วๆ นี้ จาก 250 ล้านที่อยู่อีเมล 25 ล้านมาจาก Gmail, 21 ล้านจาก Yahoo!, 11 ล้านจาก Hotmail และ 10 ล้านจาก AOL และ MSN รายการที่เหลือมาจากโดเมนอีเมลของบริษัทและหน่วยงานรัฐบาล มีแม้กระทั่งที่อยู่อีเมลที่รวบรวมมาจากกระทรวงยุติธรรมสหรัฐฯ, Homeland Security, IRS, NASA และ ATF

วิธีป้องกันคอมพิวเตอร์ของคุณจาก TrickBot

การป้องกันดีกว่าการรักษา และแนวคิดนี้ใช้ได้กับ มัลแวร์ TrickBot คุณเห็นไหมว่ามัลแวร์นี้แอบแฝงและตรวจจับได้ยาก เนื่องจากจะลบข้อความที่ส่งทั้งหมด คุณจะไม่สามารถสังเกตเห็นสิ่งใดได้เว้นแต่จะมีผู้ส่งอีเมลขยะไปแจ้งให้คุณทราบ ในกรณีนี้ ความระมัดระวังคือรูปแบบการป้องกันที่ดีที่สุดสำหรับมัลแวร์ที่ยุ่งยากนี้

ต่อไปนี้คือเคล็ดลับบางประการในการป้องกัน TrickBot จากการติดไวรัสคอมพิวเตอร์ของคุณและปกป้องข้อมูลของคุณ:

  • ติดตั้งการอัปเดต Windows ที่มีอยู่ทั้งหมด Microsoft เผยแพร่แพตช์ความปลอดภัยล่าสุดผ่าน Windows Update ดังนั้นโปรดติดตั้งเมื่อพร้อมใช้งาน คุณยังสามารถตรวจสอบ Windows Update ด้วยตนเองได้โดยไปที่การตั้งค่า > อัปเดต & ความปลอดภัย > อัพเดตวินโดวส์. คลิกปุ่ม ตรวจหาการอัปเดต เพื่อดูว่ามีการอัปเดตใหม่ที่ต้องติดตั้งหรือไม่
  • อัปเดตซอฟต์แวร์ป้องกันไวรัสของคุณ รวมทั้งซอฟต์แวร์จากคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายเดียวกัน
  • โปรดใช้ความระมัดระวังเมื่อเปิดอีเมล โดยเฉพาะกับไฟล์แนบ อีเมลฟิชชิ่งเป็นโหมดอันดับหนึ่งในการกระจายมัลแวร์ TrickBot ดังนั้นให้ใส่ใจกับอีเมลที่ผิดปกติที่คุณได้รับอย่างใกล้ชิด หากคุณได้รับอีเมลจากโดเมนภายนอกเครือข่ายบริษัทของคุณและหัวข้อของอีเมลนั้นเกี่ยวข้องกับงาน ให้ศึกษาโดเมนก่อนเพื่อตรวจสอบว่าอีเมลนั้นถูกต้อง การระบุความถูกต้องของอีเมลอาจเป็นเรื่องยากมาก เนื่องจากมัลแวร์มักจะเลียนแบบธุรกิจจริงเพื่อหลอกให้ผู้ใช้เปิดอีเมล
  • อย่าให้ข้อมูลรับรองการเข้าสู่ระบบของคุณ ผู้โจมตี TrickBot บางคนกำหนดเป้าหมายผู้ใช้ PayPal และหลอกล่อให้เปิดเผยข้อมูลการเข้าสู่ระบบ หากคุณคลิกลิงก์และระบบขอให้คุณลงชื่อเข้าใช้ ไม่ว่าจะเป็น PayPal อีเมล หรือบัญชีอื่นๆ ให้ปิดเบราว์เซอร์ทันที
วิธีลบมัลแวร์ TrickBot

ดังที่กล่าวไว้ก่อนหน้านี้ TrickBot จัดการได้ยากมาก เป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดในปัจจุบัน และการกำจัดมันต้องใช้ความพยายามและความสนใจเป็นอย่างมาก โทรจันประเภทนี้รู้วิธีซ่อนอย่างดี ดังนั้นคุณต้องระมัดระวังในการกำจัดมัลแวร์นี้ โดยปกติแล้วจะซ่อนไฟล์ที่เป็นอันตรายในส่วนลึกของระบบ ทำให้ยากต่อการตรวจจับและนำออก

หากคุณสงสัยว่าคอมพิวเตอร์ของคุณติดมัลแวร์ TrickBot ให้ทำตามคำแนะนำด้านล่างเกี่ยวกับวิธีลบด้วยตนเองและ ตรวจสอบให้แน่ใจว่าไม่กลับมา

ขั้นตอนที่ 1: บูตเข้าสู่ Safe Mode

การบูตเข้าสู่ Safe Mode จะปิดใช้กระบวนการของบุคคลที่สามที่ไม่จำเป็นทั้งหมด เพื่อให้คุณสามารถแยกแยะกระบวนการที่น่าสงสัยที่ทำงานบนคอมพิวเตอร์ของคุณได้อย่างง่ายดาย ในการบูตเข้าสู่ Safe Mode ให้ทำตามขั้นตอนด้านล่าง:

  • คลิก เริ่ม จากนั้นคลิกไอคอนปุ่มเปิด/ปิดที่มุมล่างซ้ายของเมนู นี่จะเป็นการเปิดเผยเมนูตัวเลือกพลังงาน
  • กดปุ่ม Shift บนแป้นพิมพ์ค้างไว้ จากนั้นคลิก รีสตาร์ท
  • คอมพิวเตอร์ของคุณจะรีสตาร์ทและเข้าสู่ Safe Mode .
  • ขั้นตอนที่ 2: ถอนการติดตั้งโปรแกรมที่น่าสงสัย

    มัลแวร์ส่วนใหญ่จะติดตั้งซอฟต์แวร์ที่เป็นอันตรายอื่นๆ บนคอมพิวเตอร์ของคุณ ในกรณีของ TrickBot จะดาวน์โหลดและติดตั้ง TrickBooster เพื่อรวบรวมที่อยู่อีเมลและข้อมูลติดต่อบนคอมพิวเตอร์ที่ติดไวรัส คุณต้องตรวจสอบว่าโปรแกรมใดที่ติดตั้งในคอมพิวเตอร์ของคุณถูกต้องตามกฎหมายและโปรแกรมใดน่าสงสัย

    หากต้องการถอนการติดตั้งแอปที่น่าสงสัยออกจากคอมพิวเตอร์ ให้ทำดังนี้:

  • เปิด เรียกใช้ โดยการกดปุ่ม Windows + R เข้าด้วยกัน
  • พิมพ์ appwiz.cpl ลงในกล่องโต้ตอบ จากนั้นคลิก ตกลง ซึ่งจะเป็นการเปิด แผงควบคุม
  • ค้นหาโปรแกรมที่คุณไม่ได้ติดตั้ง จากนั้นถอนการติดตั้ง
  • ขั้นตอนที่ 3: ปิดใช้งานรายการเริ่มต้นที่น่าสงสัย

    TrickBot ก็เหมือนกับมัลแวร์อื่นๆ ที่ถูกออกแบบมาให้ทำงานเมื่อระบบโหลด คุณต้องตรวจสอบรายการเริ่มต้นของคุณเพื่อดูว่ามีการโหลดกระบวนการที่ไม่คุ้นเคยในระหว่างการเริ่มต้นหรือไม่

    การทำเช่นนี้:

  • เปิด เรียกใช้ โดยกดปุ่ม strong>Windows + R ปุ่มเข้าด้วยกัน
  • พิมพ์ msconfig ลงในกล่องโต้ตอบ จากนั้นกด Enter ซึ่งควรเปิดหน้าต่าง บริการ
  • คลิกที่แท็บ เริ่มต้น
  • ค้นหารายการที่มี ไม่รู้จัก ภายใต้หมวดหมู่ ผู้ผลิต และยกเลิกการเลือก
  • ขั้นตอนที่ 4: กำจัดกระบวนการที่น่าสงสัย

    นอกเหนือจากการปิดใช้งานรายการเริ่มต้นที่น่าสงสัยและการถอนการติดตั้งโปรแกรมปลอม การตรวจสอบรายการใดเป็นสิ่งสำคัญ กระบวนการที่ทำงานบนคอมพิวเตอร์ของคุณเป็นมัลแวร์ คุณต้องฆ่ากระบวนการเหล่านี้ทันทีและลบไดเร็กทอรีที่ไฟล์ถูกซ่อนไว้ ในการดำเนินการนี้:

  • กด Ctrl + Shift + Esc เพื่อเปิด ตัวจัดการงาน
  • คลิกที่แท็บ กระบวนการ
  • กำหนดว่ากระบวนการใดเป็นมัลแวร์โดย Googling
  • ขวา- คลิกกระบวนการที่น่าสงสัย จากนั้นเลือกเปิดตำแหน่งไฟล์ ซึ่งควรเปิดไดเรกทอรีที่มีไฟล์ของกระบวนการ
  • กลับไปที่ Task Manager คลิกขวาที่กระบวนการที่น่าสงสัยอีกครั้งแล้วคลิก สิ้นสุดกระบวนการ
  • กลับไปที่โฟลเดอร์ที่เปิดอยู่และลบไฟล์ทั้งหมด
  • ขั้นตอนที่ 5: สแกนคอมพิวเตอร์ของคุณโดยใช้โปรแกรมป้องกันมัลแวร์

    เพื่อกำจัด TrickBot ขอแนะนำให้ สแกนคอมพิวเตอร์และไดเรกทอรีโดยใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่อัปเดตแล้ว เมื่อตรวจพบแล้ว ให้ทำตามคำแนะนำเพื่อกำจัดมัลแวร์ TrickBot อย่างสมบูรณ์

    ขั้นตอนที่ 6: ลบไฟล์ที่เหลือ

    สาเหตุหนึ่งที่ทำให้ TrickBot ลบออกได้ยากก็เพราะว่ามันซ่อนไฟล์ได้ดีมาก คุณต้องตรวจสอบให้แน่ใจว่าไฟล์ทั้งหมดที่เกี่ยวข้องกับมัลแวร์ถูกลบเพื่อป้องกันไม่ให้กลับมา ไฟล์เหล่านี้มักจะซ่อนอยู่ในไดเร็กทอรีที่มีชื่อสุ่ม คุณสามารถค้นหาโฟลเดอร์เหล่านี้เพื่อดูว่ามีไฟล์ TrickBot เหลืออยู่หรือไม่:

    • C:\
    • C:\Windows
    • C:\Windows\System32
    • C:\Windows\Syswow64
    • C:\Windows\ProgramData
    • %AppData% โฟลเดอร์ โดยเฉพาะโฟลเดอร์ Roaming
    สรุป

    มัลแวร์ TrickBot แสดงให้เราเห็นว่ามัลแวร์ธรรมดาสามารถปรับให้เข้ากับเทคโนโลยีใหม่และยกระดับเกมได้อย่างไร ความระแวดระวังและการรับรู้คือการป้องกันอันดับหนึ่งจากมัลแวร์ที่ตรวจพบอย่างต่อเนื่องและยากต่อการตรวจพบ เช่น TrickBot หากคุณคิดว่าระบบของคุณติดไวรัส ให้ทำตามคำแนะนำด้านบนเพื่อลบมัลแวร์ TrickBot ออกจากคอมพิวเตอร์ของคุณอย่างสมบูรณ์


    วิดีโอ YouTube: วิธีกำจัดมัลแวร์ TrickBot

    03, 2024