FacebookTwitterLinkedIn

Jak usunąć malware zgRAT z systemu operacyjnego

Znany również jako: Trojan zdalnego dostępu zgRAT
Typ: Trojan
Poziom zniszczenia: Silny

Tomas Meskauskas Napisany przez , (zaktualizowany)

Czym jest zgRAT?

zgRAT to złośliwe oprogramowanie sklasyfikowane jako trojan dostępu zdalnego (RAT). Złośliwe oprogramowanie tego typu zostało zaprojektowane w celu umożliwienia zdalnego dostępu i kontroli nad zainfekowanymi urządzeniami. RAT są zwykle wysoce wielofunkcyjne i mogą być wykorzystywane do różnych złośliwych celów.

Zaobserwowano, że zgRAT jest dystrybuowany poprzez kampanie spamowe promujące złośliwe oprogramowanie Agent Tesla, które instaluje ten RAT.

Wykrycia malware zgRAT na VirusTotal

Przegląd malware zgRAT

Trojany dostępu zdalnego działają poprzez umożliwienie zdalnego dostępu i kontroli nad zaatakowanymi urządzeniami. To malware może na różne sposoby manipulować systemami, zainstalowanym oprogramowaniem, procesami, a nawet sprzętem i zarządzać nimi.

RAT-y mają zdolności kradzieży informacji i oprogramowania szpiegującego. Typowe funkcje obejmują: eksfiltrację (pobieranie) plików systemowych/użytkowników, rejestrowanie naciśnięć klawiszy (tj. nagrywanie naciśnięć klawiszy), ekstrakcję danych z zainstalowanych przeglądarek i innych aplikacji (np. nazw użytkowników/haseł, danych osobowych, numerów kart kredytowych itp.), nagrywanie dźwięku /wideo przez mikrofony i kamery, komputery do transmisji strumieniowej na żywo/nagrywania, robienie zrzutów ekranu itd.

RAT-y często mogą powodować infekcje łańcuchowe, tj. pobieranie/instalowanie dodatkowych złośliwych komponentów i programów (np. trojanów, ransomware, koparek kryptowalutowych etc.).

Warto wspomnieć, że twórcy złośliwego oprogramowania często ulepszają swoje dzieła. Dlatego też późniejsze wersje mogą mieć inne/dodatkowe możliwości.

Podsumowując, obecność trojana zdalnego dostępu na urządzeniu może skutkować wieloma infekcjami systemu, utratą danych, poważnymi problemami prywatności, stratami finansowymi, a nawet kradzieżą tożsamości.

Jeśli podejrzewasz, że twoje urządzenie zostało zainfekowane zgRATem (lub innym złośliwym oprogramowaniem) – natychmiast wykonaj pełne skanowanie systemu programem antywirusowym i usuń wszystkie wykryte zagrożenia.

Podsumowanie zagrożenia:
Nazwa Trojan zdalnego dostępu zgRAT
Typ zagrożenia Trojan zdalnego dostępu, RAT, trojan, wirus kradnący hasła, złośliwe oprogramowanie bankowe, oprogramowanie szpiegujące.
Nazwy wykrycia Avast (Win32:PWSX-gen [Trj]), Combo Cleaner (IL:Trojan.MSILZilla.24644), ESET-NOD32 (wariant MSIL/TrojanDownloader.Age), Kaspersky (UDS:Trojan.MSIL.Injuke.gen), Microsoft (Trojan:MSIL/AgentTesla.AL!MTB), Pełna lista wykrycia (VirusTotal)
Objawy Trojany zostały zaprojektowane tak, aby potajemnie infiltrować komputer ofiary i zachowywać się cicho, w związku z czym na zainfekowanym urządzeniu nie są wyraźnie widoczne żadne szczególne objawy.
Metody dystrybucji Zainfekowane załączniki do e-maila, złośliwe reklamy online, socjotechnika, narzędzia „łamania” zabezpieczeń oprogramowania.
Zniszczenie Kradzież haseł i danych bankowych, kradzież tożsamości, dodanie komputera ofiary do botnetu.
Usuwanie malware (Windows)

Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner.
▼ Pobierz Combo Cleaner
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.

Przykłady trojanów zdalnego dostępu

Przeanalizowaliśmy niezliczone próbki malware, a PY#RATIONVagusPupyEkipa i RomCom to tylko niektóre z naszych najnowszych znalezisk programów typu RAT. Trojany dostępu zdalnego mogą być wielofunkcyjne i wykorzystywane do różnych celów.

Ogólnie rzecz biorąc, malware może mieć szeroki zakres możliwości, które – oprócz celów cyberprzestępców – decydują o zagrożeniach stwarzanych przez infekcje. Jednak niezależnie od tego, jak działa złośliwe oprogramowanie – jego obecność w systemie zagraża integralności urządzenia i bezpieczeństwu użytkownika. Dlatego wszelkie zagrożenia należy usuwać natychmiast po ich wykryciu.

Jak malware zgRAT dostało się na mój komputer?

Zaobserwowano, że zgRAT rozprzestrzenia się poprzez kampanie spamowe. Jego e-maile zawierały zainfekowane załączniki. Po otwarciu, załączone pliki wprowadzały RAT Agent Tesla na urządzenia, który z kolei infekowało je wirusem zgRAT. Jednak malware jest rozsyłane przy użyciu różnych technik, co nie jest mało prawdopodobne w przypadku zgRAT.

Złośliwe oprogramowanie jest dystrybuowane głównie poprzez wykorzystanie taktyk phishingu i socjotechniki. Zwykle jest zamaskowane lub dołączone do zwykłego oprogramowania/nośników.

Złośliwe pliki mogą mieć różne formaty, np. dokumentów Microsoft Office i PDF, plików wykonywalnych (.exe, .run itp.), archiwów (ZIP, RAR itp.), JavaScript itd. Kiedy taki plik jest wykonywany, uruchamiany lub otwierany w inny sposób – łańcuch infekcji zostaje uruchomiony.

Najbardziej rozpowszechnione metody dystrybucji obejmują: złośliwe załączniki/łącza w wiadomościach i e-mailach spamowych, pobrania metodą drive-by (potajemne/oszukańcze), oszustwa internetowe, złośliwe reklamy, niewiarygodne kanały pobierania (np. witryny z freeware i stron trzecich, sieci peer-to-peer udostępnianie sieci itp.), nielegalne narzędzia aktywacyjne programów („łamania" zabezpieczeń") i fałszywe aktualizacje.

Jak uniknąć instalacji malware?

Zdecydowanie zalecamy ostrożność wobec przychodzących e-maili i innych wiadomości. Nie należy otwierać załączników i linków znalezionych w podejrzanych/nieistotnych wiadomościach, ponieważ mogą być zaraźliwe. Tę samą czujność należy zachować w przypadku przeglądania, ponieważ oszukańcze i złośliwe treści online zwykle wydają się nieszkodliwe.

Zalecamy pobieranie produktów wyłącznie z oficjalnych i zweryfikowanych źródeł. Ponadto oprogramowanie musi być aktywowane i aktualizowane przy użyciu oryginalnych funkcji/narzędzi.

Bardzo ważne jest, aby mieć zainstalowany i aktualizowany sprawdzony program antywirusowy. Programy zabezpieczające muszą być używane do regularnego skanowania systemu oraz usuwania zagrożeń i problemów. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Combo Cleaner, aby automatycznie usunąć obecne złośliwe oprogramowanie.

E-mail spamowy używany do dystrybucji Agent Tesla, który infekuje systemy zgRAT:

E-mail spamowy dystrybuujący malware zgRAT

Tekst prezentowany w tym e-mailu:

Temat: RE: Onquest China/Vietnam PO NBI_8079-50 / 35% Down Payment Terms


Dear Sir,


Hope this mail finds you well!!


Kindly find and review attached Purchase Order and revert back with your best offer for items in the attached file.


Please state your payment terms and delivery time (ETA/FOB).


Also note, your offer should be in PDF/XLS format.


Awaits your prompt response.


Thanks & Best regards,
----------------------------------------
Nguyen Tu Uyen
Manager of Oversea Business Dept., E&C Division Bestar Steel Co., Ltd | Shinestar Holdings Group
(Tel: (0086)731-88687357 Mobile: 0086-13480703040(What'sAPP)
(Fax:(0086)731-88687351 Skype ID:anny.jiangB214 :hxxp://www.bestartubes.com
Add.: No.9 Xiangfu Road,Yuhua District, Changsha, Hunan, China 410000
----------------------------------------
Steel Pipe Manufacturer Since 1993
P Save a tree. Please think about environment before print.

Zrzut ekranu fałszywej aktualizacji witryny Google Chrome (boombay[.]com.ar) rozsyłającej zgRAT:

Witryna rozsyłająca malware zgRAT, prezentująca je jako aktualizację Google Chrome

Natychmiastowe automatyczne usunięcie malware: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
 ▼ POBIERZ Combo Cleaner Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Jak manualnie usunąć malware?

Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie Combo Cleaner.

Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:

Proces złośliwego oprogramowania uruchomiony w Menedżerze zadań

Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:

manual malware removal step 1Pobierz program o nazwie Autoruns. Pokazuje on automatycznie uruchamiane aplikacje, rejestr i lokalizacje plików systemowych:

Wygląd aplikacji Autoruns

manual malware removal step 2Uruchom ponownie swój komputer w trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcje zaawansowane systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.

Uruchom system Windows 7 lub Windows XP w trybie awaryjnym z obsługą sieci

Film pokazujący jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, a w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.

Kliknij przycisk „Uruchom ponownie teraz". Twój komputer zostanie teraz ponownie uruchomiony w „Zaawansowanym menu opcji uruchamiania". Kliknij przycisk „Rozwiąż problemy", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".

Kliknij przycisk „Uruchom ponownie". Twój komputer uruchomi się ponownie na ekranie Ustawienia uruchamiania. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.

Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci

Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij „Uruchom ponownie" przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij przycisk „Rozwiązywanie problemów", a następnie wybierz opcję „Opcje zaawansowane".

W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie powinieneś kliknąć przycisk „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Uruchom system Windows 10 w trybie awaryjnym z obsługą sieci

Film pokazujący jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":

manual malware removal step 3Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.

Wyodrębnij archiwum Autoruns.zip i uruchom aplikację Autoruns.exe

manual malware removal step 4W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" oraz „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".

Odśwież wyniki aplikacji Autoruns

manual malware removal step 5Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz usunąć.

Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po znalezieniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń".

Usuń złośliwe oprogramowanie w Autoruns

Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.

Wyszukaj złośliwe oprogramowanie i usuń je

Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware.

Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Combo Cleaner.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany malware zgRAT. Czy trzeba sformatować urządzenie pamięci masowej, aby się go pozbyć?

Nie, większość złośliwych programów można usunąć bez konieczności formatowania.

Jakie są największe problemy, jakie może powodować złośliwe oprogramowanie zgRAT?

Zagrożenia stwarzane przez infekcję zależą od funkcjonalności programu i sposobu działania cyberprzestępców. zgRAT to RAT – rodzaj złośliwego oprogramowania zaprojektowanego w celu umożliwienia zdalnego dostępu/kontroli nad urządzeniami i zwykle ma szeroki zakres możliwości. Ogólnie rzecz biorąc, takie infekcje mogą prowadzić do utraty danych, poważnych problemów prywatności, strat finansowych, a nawet kradzieży tożsamości.

Jaki jest cel malware zgRAT?

Zwykle złośliwe oprogramowanie służy do generowania przychodów. Jednak cyberprzestępcy mogą również wykorzystywać to oprogramowanie do rozrywki, przeprowadzania osobistych zemsty, zakłócania procesów (np. stron internetowych, usług, firm itp.), a nawet przeprowadzania ataków na tle politycznym/geopolitycznym.

Jak złośliwe oprogramowanie zgRAT przeniknęło do mojego komputera?

Odnotowano, że zgRAT rozsyłało się poprzez złośliwe załączniki rozpowszechniane w wiadomościach spamowych. Jednak ten trojan może być dystrybuowany również przy użyciu innych metod.

Złośliwe oprogramowanie jest dystrybuowane głównie za pośrednictwem e-maili/wiadomości spamowych, oszustw internetowych, złośliwych reklam, podejrzanych kanałów pobierania (np. nieoficjalnych witryn i stron z freeware, sieci udostępniania P2P itp.), nielegalnych narzędzi aktywacji oprogramowania („łamania" zabezpieczeń oprogramowania) i fałszywych aktualizacji. Co więcej, niektóre szkodliwe programy mogą samodzielnie rozsyłać się poprzez sieci lokalne i wymienne urządzenia pamięci masowej (np. dyski flash USB, zewnętrzne dyski twarde itp.).

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, Combo Cleaner może wykryć i usunąć praktycznie wszystkie znane infekcje złośliwym oprogramowaniem. Należy podkreślić, że przeprowadzenie pełnego skanowania systemu jest niezbędne, ponieważ wyrafinowane malware zwykle kryje się głęboko w systemach.

▼ Pokaż dyskusję

O autorze:

Tomas Meskauskas

Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online. Przeczytaj więcej o autorze.

Portal bezpieczeństwa PCrisk został stworzony przez połączone siły badaczy bezpieczeństwa, którzy pomagają edukować użytkowników komputerów w zakresie najnowszych zagrożeń bezpieczeństwa online. Więcej informacji o autorach i badaczach, którzy pracują w Pcrisk, można znaleźć na naszej Stronie kontaktowej.

Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.

O nas

PCrisk to portal bezpieczeństwa cybernetycznego, informujący internautów o najnowszych zagrożeniach cyfrowych. Nasze artykuły są tworzone przez ekspertów ds. bezpieczeństwa i profesjonalnych badaczy złośliwego oprogramowania. Przeczytaj więcej o nas.

Instrukcje usuwania w innych językach
Przewodnik po nowych narzędziach do usuwania wirusów
Top narzędzia usuwania wirusów
Kod QR
Trojan zdalnego dostępu zgRAT kod QR
Zeskanuj ten kod QR, aby mieć łatwy dostęp do przewodnika usuwania Trojan zdalnego dostępu zgRAT na swoim urządzeniu mobilnym.
Polecamy:

Usuń infekcje malware na Windows już dzisiaj:

▼ USUŃ TO TERAZ
Pobierz Combo Cleaner

Platforma: Windows

Ocena redaktora dla Combo Cleaner:
Ocena redaktoraZnakomita!

[Początek strony]

Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez Rcs Lt, spółkę macierzystą PCRisk. Przeczytaj więcej.