AZORult Trooja

AZORult viiruse eemaldamise juhend

Mis on AZORult?

AZORult on kõrge riskiga Trooja tüüpi viirus, mis on mõeldud mitmesuguse tundliku teabe kogumiseks. Uuringud näitavad, et küberkurjategijad levitavad seda pahavara rämpspostikampaaniate abil. E-kirjad sisaldavad tavaliselt petlikku teksti, et meelitada kasutajaid manusena avama manustatud faile (nt võltsitud töötaotlusvormid, mis edastatakse MS Office'i vormingus). Pärast avamist täidavad need manused AZORult'i süsteemi imbuvaid käske. AZORult'i vanemad versioonid levitati kasutades Ramnit , Õmblusteta ja muud vahelaadurid.

Rämpspostikampaaniates kasutatakse lihtsat kelmuse mudelit. Küberkurjategijad edastavad erinevaid sõnumeid, julgustades kasutajaid manustatud faile avama. Lisaks väidavad nad tõenäoliselt, et nad on seaduslike ettevõtete või valitsusasutuste töötajad. Nad registreerivad pidevalt erinevaid domeene ja e-posti aadresse, lisades sinna ka ettevõtete / asutuste nimed. Seda tehes üritavad nad jätta mulje legitiimsusest - palju lihtsam on kasutajaid meelitada tuttavatelt nimedelt saadud sõnumeid uskuma. Nagu eespool mainitud, laadivad avatud manused siiski vargsi alla ja installivad Trooja tüüpi viirused (antud juhul AZORult). AZORult'i üks peamisi eesmärke on tundlike andmete kogumine. See troojalane on võimeline kaaperdama veebibrausereid ja salvestama mitmesuguseid salvestatud / sisestatud andmeid, sealhulgas küpsiseid, sisselogimisi / paroole, sirvimisajalugu jne. Uuringud näitavad, et küberkurjategijaid huvitavad enamasti krüptoraha rahakotite, e-posti kontode, FTP-kontode ja XMPP-klientide sisselogimised / paroolid. Seda troojalast saab konfigureerida ka ohvrite töölauale salvestatud andmete hankimiseks. Uuemad AZORult'i versioonid on rakendatud lisafunktsioonidega, nagu ekraanipiltide tegemine, andmete kogumine Jabberi vestlusajaloost / logidest, Skype ja muud sarnased teenused. See teave on äärmiselt tundlik ja küberkurjategijad kasutavad seda tulu saamiseks. Seetõttu võib AZORult Trooja olemasolu põhjustada tõsiseid privaatsusprobleeme ja märkimisväärset rahalist kahju. Kui olete hiljuti avanud kahtlased e-posti manused või näete sAMsUNg 'protsessis Windowsi tegumihalduris on suur tõenäosus, et teie arvuti on AZORult pahavara nakatunud. Kui jah, peaksite viivitamatult skannima süsteemi õigustatud viirusetõrje / nuhkvaratõrje komplektiga ja kõrvaldama kõik tuvastatud ohud.

On palju Trooja tüüpi viiruseid, mis sarnanevad AZORultiga Emotet , LokiBot ja Vastupidine - need on vaid mõned näited paljudest. Nagu AZORult, levitatakse neid viirusi sageli rämpspostikampaaniate abil. Pealegi on nende käitumine üldiselt identne - enamik kogub tundlikku teavet. Mõnel juhul levitavad troojalased aga muid viirusi, näiteks lunavara. Igal juhul kujutavad need viirused teie privaatsust ja Interneti-sirvimise ohutust märkimisväärselt.

Kuidas AZORult minu arvuti nakatas?

Nagu eespool mainitud, reklaamivad rämpspostikampaaniad pahatahtlikke manuseid (MS Office'i dokumendid). Pärast avamist julgustavad need failid kasutajaid lubama makrokäske, vastasel juhul ei kuvata sisu õigesti. Tegelikult lubab makrode lubamine manustel käivitada käske, mis AZORultit vargsi alla laadivad ja installivad. Pange tähele, et sellel levitamismeetodil on suur viga - manused ei saa pahavara alla laadida, kui need avatakse muude programmide kui MS Office'i tööriistade abil. Kui näiteks .doc-fail avatakse mõne muu tarkvara kui MS Word abil, siis pahavara alla ei laadita. Lisaks on AZORult suunatud ainult MS Windowsile ja muude platvormide kasutajad on turvalised.

Kuidas vältida pahavara installimist?

Nende nakkuste vältimiseks olge Interneti sirvimisel väga ettevaatlik. Analüüsige hoolikalt kõiki saadud e-posti manuseid. Faile, mis tunduvad ebaolulised või on saadud kahtlastelt / tundmatutelt e-posti aadressidelt, ei tohiks kunagi avada. Lisaks levitatakse mõnda troojalast võltsuuendajate ja kolmandate osapoolte allalaadijate / installerite abil. Seetõttu hoidke installitud rakendusi ajakohasena. Selle saavutamiseks kasutage ainult ametliku arendaja pakutavaid rakendatud funktsioone või tööriistu. Sama kehtib tarkvara allalaadimise / installimise kohta. Programme soovitatakse alla laadida ainult ametlikest allikatest, kasutades otseseid allalaadimislinke. Kolmandate osapoolte allalaadijad / installijad teenivad raha petturirakenduste reklaamimisega ja seetõttu ei tohiks neid kasutada. Samuti on esmatähtis maineka viirusetõrje / nuhkvaratõrje paketi installimine ja käitamine. Pange tähele, et 2010. aasta ja uuemad MS Office'i versioonid avavad äsja allalaaditud dokumendid režiimis „Kaitstud vaade”. See väldib pahatahtlike manuste pahavara allalaadimist ja installimist. Seetõttu on vanemate MS Office'i versioonide kasutamine riskantne. Arvutiinfektsioonide peamisteks põhjusteks on teadmiste puudumine ja hoolimatu käitumine. Ohutuse võti on ettevaatus. Kui olete juba avanud manuse 'AZORult', soovitame skannimise käivitada Malwarebytes Windowsi jaoks sissetunginud pahavara automaatseks kõrvaldamiseks.

AZORult'i e-kirjaga esitatud tekst:

Teema: töökoha taotlemine
Kuidas läheb?
Minu nimi on Britney ja mind huvitab töö.
Lisasin oma CV koopia.
Parool on 321
Aitäh!
Britney

Rämpspostikampaania AZORult kaudu levitatud pahatahtlik manus:

Selles pahatahtlikus manuses esitatud tekst:

kuidas Linuxis faile lahti pakkida

KAITSTUD DOKUMENT
EI SAA VEIW? MICROSOFT SOOVITAB JÄRGMISI SAMMU

1. Avage dokument MS Office'is. Veebis eelvaade ei tööta kaitstud dokumentide puhul.
2. Kasutage arvutit / töölauda. Kaitstud dokument ei tööta mobiiltelefonis.
3. Kuna olete selle dokumendi veebis alla laadinud, peate klõpsama nuppu „Luba redigeerimine” või „Luba makro” ja seejärel klõpsama kollasel ribal nuppu „Luba sisu”.

AZORult pahavara protsessi ekraanipilt (' sAMsUNG ') Windowsi tegumihalduris:

Uuendage 19. veebruari 2020 - Küberkurjategijad on hiljuti hakanud levitama AZORult'i troojalast varjates seaduslikku VPN-teenust nimega ProtonVPN. Kelmid on loonud ProtonVPNi ehtsa veebisaidi koopia - protonvpn [.] Com. Replika URL-i aadress on protonvpn [.] Pood. Nüüd, kuna võltsveebi kujundus on täiesti identne ja domeen on samuti väga sarnane, saab kasutajaid hõlpsasti meelitada võltsitud ProtonVPN-i installiseadistusi alla laadima. Kui see on täidetud, sisestab võltsinstaller süsteemi AZORult trooja.

Ekraanipilt võltsitud ProtonVPN-i veebisaidilt (protonvpn [.] Pood):

Ekraanipilt võltsitud ProtonVPN-i installerist (kasutatakse AZORult levitamiseks) ja selle tuvastamisnimedest VirusTotalis:

Ekraanipilt kelmuse levitamisest AZORult Trooja:

Tekst esitatakse:

Teema: AW: AW: makse kviitung ja tellimuse kinnitus 25-05-20 Invoice_20-613129926-001

Tere,

Lisast leiate allkirjastatud müügilepingu ja saate maksenõuande lisas loetletud maksetehingute kohta.

Parimate soovidega

Lugupidamisega
Sven Göke

Saadetud koos rakendusega GMX Mail

DKV EURO SERVICE GmbH + Co. KG
Balcke-Dürr-Allee 3, D-40882 Ratingen
Fon: +49 (0) 2102 5518-0
Faks: +49 (0) 2102 5518-192
hxxp: //www.dkv-euroservice.com/

Veel üks rämpspost, mida kasutatakse AZORult trooja levitamiseks:

Tekst esitatakse:

Teema: tellimuse kinnitus

Lugupeetud härra

Palun leidke hinnapakkumise jaoks lisatud tellimustellimus.

palun väljastage meile tasumiseks arve arve + pangaandmed.

Tänud ja parimat,

Angel Silver Co., Ltd.
1213 Charoenkrungi tee
Soi 47/1 Bangrak, Bangkok 10500
TAI
Telefon: + 66 (0) 2 630 95 16
Faks: + 66 (0) 2 630 95 16

Lisatud pahatahtliku MS Exceli dokumendi ekraanipilt:

Kohene automaatne pahavara eemaldamine: Ohude käsitsi eemaldamine võib olla pikk ja keeruline protsess, mis nõuab arenenud arvutioskusi. Malwarebytes on professionaalne automaatne pahavara eemaldamise tööriist, mida soovitatakse pahavarast lahti saada. Laadige see alla, klõpsates allolevat nuppu:
▼ LAADI Malwarebytes Sellel veebisaidil loetletud tarkvara allalaadimisega nõustute meie tingimustega Privaatsuspoliitika ja Kasutustingimused . Täisfunktsionaalse toote kasutamiseks peate ostma Malwarebytes'i litsentsi. Saadaval on 14-päevane tasuta prooviversioon.

Kiire menüü:

• Mis on AZORult?
• SAMM 1. AZORult pahavara käsitsi eemaldamine.
• 2. SAMM. Kontrollige, kas teie arvuti on puhas.

Kuidas pahavara käsitsi eemaldada?

Pahavara käsitsi eemaldamine on keeruline ülesanne - tavaliselt on kõige parem lubada viirusetõrjeprogrammidel või pahavaratõrjeprogrammidel seda automaatselt teha. Selle pahavara eemaldamiseks soovitame seda kasutada Malwarebytes Windowsi jaoks . Kui soovite pahavara käsitsi eemaldada, peate esmalt tuvastama selle pahavara nime, mida proovite eemaldada. Siin on näide kasutaja arvutis töötavast kahtlasest programmist:

ubuntu vaata kettaruumi

Kui kontrollisite arvutis töötavate programmide loendit, näiteks tegumihalduri abil, ja tuvastasite kahtlasena tunduva programmi, peaksite jätkama järgmiste toimingutega.

Laadige alla programm nimega Autorunid . See programm näitab automaatse käivitamise rakendusi, registrit ja failisüsteemi asukohti:

Taaskäivitage arvuti turvarežiimis:

Windows XP ja Windows 7 kasutajad: Käivitage arvuti turvarežiimis. Klõpsake nuppu Start, käsku Shut Down, käsku Restart ja seejärel nuppu OK. Arvuti käivitamise ajal vajutage mitu korda klaviatuuril klahvi F8, kuni näete Windowsi täpsema suvandi menüüd, ja valige loendist turvarežiim võrguga.

Video, mis näitab, kuidas Windows 7 käivitada võrguga turvarežiimis:

Windows 8 kasutajad : Käivitage Windows 8 turvarežiim võrguühendusega - minge Windows 8 avaekraanile, tippige Täpsem, valige otsingutulemites Seaded. Klõpsake käsku Täpsemad käivitusvalikud, avanenud aknas Üldised arvuti sätted valige Täpsem käivitamine. Klõpsake nuppu „Taaskäivita kohe”. Nüüd taaskäivitub teie arvuti menüüsse Täpsemad käivitusvalikud. Klõpsake nuppu „Tõrkeotsing” ja seejärel nuppu „Täpsemad valikud”. Täpsemate valikute ekraanil klõpsake käsku Startup settings. Klõpsake nuppu 'Taaskäivita'. Teie arvuti taaskäivitub ekraanile Startup Settings. Võrguühendusega turvarežiimis käivitamiseks vajutage klahvi F5.

Video näitab, kuidas Windows 8 käivitada võrguühendusega turvarežiimis:

Windows 10 kasutajad : Klõpsake Windowsi logol ja valige toiteikoon. Avatud menüüs klõpsake nuppu „Taaskäivita”, hoides samal ajal klaviatuuril nuppu „Tõstuklahv”. Klõpsake aknas „Vali suvand” valikul „Tõrkeotsing”, seejärel valige „Täpsemad valikud”. Täpsemate valikute menüüs valige käsk Startup Settings ja klõpsake nuppu Restart. Järgmises aknas peaksite klõpsama klaviatuuri nupul F5. See taaskäivitab teie opsüsteemi võrguga turvarežiimis.

Video, mis näitab, kuidas Windows 10 käivitada võrguga turvarežiimis:

Pakkige alla laaditud arhiiv ja käivitage fail Autoruns.exe.

Rakenduses Autoruns klõpsake ülaosas valikut 'Suvandid' ja tühjendage valikud 'Peida tühjad asukohad' ja 'Peida Windowsi kirjed'. Pärast seda protseduuri klõpsake ikooni 'Värskenda'.

Kontrollige rakenduse Autoruns pakutavat loendit ja leidke pahavarafail, mille soovite eemaldada.

Peaksite üles kirjutama selle täieliku tee ja nime. Pange tähele, et mõni pahavara peidab protsessinimed Windowsi õigustatud protsessinimede alla. Selles etapis on väga oluline vältida süsteemifailide eemaldamist. Kui olete leidnud kahtlase programmi, mille soovite eemaldada, klõpsake hiire parema nupuga selle nime kohal ja valige „Kustuta“.

Pärast pahavara eemaldamist Autorunsi rakenduse kaudu (see tagab, et pahavara ei käivitu järgmisel süsteemi käivitamisel automaatselt), peaksite pahavara nime otsima oma arvutist. Ole kindel lubage peidetud failid ja kaustad enne jätkamist. Kui leiate pahavara failinime, eemaldage see.

ekraani heledus ei tööta Windows 7

Taaskäivitage arvuti tavarežiimis. Nende toimingute järgimine peaks arvutist eemaldama kõik pahavara. Pange tähele, et ohtude käsitsi eemaldamine nõuab arenenud arvutioskusi. Kui teil neid oskusi pole, jätke pahavara eemaldamine viirusetõrje- ja pahavaratõrjeprogrammide hooleks. Need toimingud ei pruugi kaugelearenenud pahavara nakkustega töötada. Nagu alati, on nakkuse vältimine kõige parem, kui proovige hiljem pahavara eemaldada. Arvuti turvalisuse tagamiseks installige uusimad operatsioonisüsteemi värskendused ja kasutage viirusetõrjetarkvara.

Soovitame selle skannimiseks veenduda, et teie arvutis pole pahavara nakkusi Malwarebytes Windowsi jaoks .