Jak usunąć ValleyRAT z zainfekowanych komputerów

Czym jest złośliwe oprogramowanie ValleyRAT?

ValleyRAT to niedawno odkryte złośliwe oprogramowanie, które zwróciło uwagę społeczności zajmującej się cyberbezpieczeństwem. RAT, czyli trojany zdalnego dostępu, to złośliwe programy, które umożliwiają cyberprzestępcom uzyskanie zdalnego dostępu i kontroli nad komputerem ofiary. Cyberprzestępcy często wykorzystują te narzędzia do prowadzenia szerokiej gamy nielegalnych działań.

Więcej informacji o ValleyRAT

ValleyRAT, napisany w języku C++ i skompilowany w języku chińskim, prezentuje typowe funkcje podstawowego trojana zdalnego dostępu (RAT). Polecenia stosowane przez ValleyRAT umożliwiają złośliwemu oprogramowaniu wykonywanie szerokiego zakresu działań, z których każde służy określonemu celowi w ramach złośliwych operacji.

ValleyRAT może umieszczać i uruchamiać pliki biblioteki dynamicznej (DLL) oraz inne typy plików w zainfekowanym systemie. Ta funkcja pozwala złośliwemu oprogramowaniu na uruchamianie wybranych przez siebie kodów lub aplikacji, które mogą zawierać dodatkowe złośliwe ładunki (np. oprogramowanie ransomware lub koparki kryptowalut) lub narzędzia.

Ponadto ValleyRAT może wykonać polecenie kluczowe dla swojej trwałości. Ustawiając się tak, aby uruchamiać się automatycznie podczas startu systemu, złośliwe oprogramowanie zapewnia sobie aktywność i ukrycie w zainfekowanym systemie, nawet po ponownym uruchomieniu. Ta trwałość jest niezbędna do utrzymania kontroli nad zainfekowanym urządzeniem.

Inne polecenia umożliwiają ValleyRAT uzyskanie cennych informacji o zaatakowanym systemie. Może on uzyskać listę uruchomionych procesów, zapewniając wgląd w działanie systemu. Dane te mogą być wykorzystywane do różnych celów, w tym do identyfikacji potencjalnych celów lub luk w zabezpieczeniach.

Ponadto ValleyRAT może kontrolować swoje działanie w zainfekowanym systemie. Może zatrzymać swoje działanie lub ponownie się uruchomić w razie potrzeby. Polecenia te pozwalają złośliwemu oprogramowaniu dostosować się do zmieniających się okoliczności lub uniknąć wykrycia poprzez tymczasowe wstrzymanie swojej aktywności.

Zasadniczo polecenia wykonywane przez ValleyRAT umożliwiają złośliwemu oprogramowaniu infiltrację, utrzymanie się w zainfekowanym systemie i manipulowanie nim. Ta elastyczność pozwala złośliwemu oprogramowaniu wykonywać szereg szkodliwych działań, od kradzieży danych po dalszą infiltrację systemu lub sieci, co czyni je potężnym zagrożeniem w rękach cyberprzestępców.

Możliwe uszkodzenia

Cyberprzestępcy uzbrojeni w ValleyRAT mogą wyrządzić ofiarom poważne szkody, w tym kradzież danych w celu oszustwa tożsamościowego i osiągnięcia korzyści finansowych, wdrożenie dodatkowego złośliwego oprogramowania w celu zakłócenia działania systemu, manipulowanie zainfekowanym systemem w celu przeprowadzenia szerszych cyberataków oraz straty finansowe poniesione w wyniku naprawy i potencjalnych oszustw.

Inne przykłady złośliwego oprogramowania o możliwościach RAT to Aphrobyte Plus, PySilon oraz SuperBear.

W jaki sposób ValleyRAT przeniknął do mojego komputera?

Metoda dystrybucji ValleyRAT ulegała zmianom na przestrzeni czasu. W początkowej fazie kampanii wykorzystywano wiadomości e-mail zawierające hiperłącza prowadzące do skompresowanych plików wykonywalnych, co upraszczało proces pobierania ValleyRAT.

W późniejszych kampaniach zastosowano podobną strategię, wykorzystując popularne bezpłatne usługi pocztowe, takie jak Outlook, Hotmail i WeCom, do rozpowszechniania hiperłączy ułatwiających instalację ValleyRAT.

W intrygującym odstępstwie od normy, w ramach odrębnej kampanii zdecydowano się na wykorzystanie programu ładującego opartego na języku Rust do dystrybucji oprogramowania RAT. Program ten pobrał również legalne narzędzie EasyConnect wraz z zmodyfikowaną biblioteką DLL. Następnie EasyConnect zostało zmodyfikowane w celu załadowania i uruchomienia tej biblioteki DLL za pomocą techniki znanej jako przejęcie kolejności wyszukiwania bibliotek DLL.

Podczas gdy większość kampanii opierała się na przynętach związanych z fakturami, nietypowa kampania z maja 2023 r. wykorzystywała pliki PDF przypominające CV. Pliki te zawierały hiperłącza, które po aktywacji pobierały zdalne skompresowane ładunki, ostatecznie instalując ValleyRAT.

Jak uniknąć instalacji złośliwego oprogramowania?

Zachowaj ostrożność podczas klikania linków lub pobierania plików z nieznanych lub podejrzanych stron internetowych. Korzystaj wyłącznie z renomowanych źródeł w celu pobierania oprogramowania i treści. Zachowaj ostrożność w przypadku nieoczekiwanych i nieistotnych wiadomości e-mail, zwłaszcza tych zawierających załączniki lub linki. Unikaj otwierania załączników lub klikania linków z nieznanych lub nieoczekiwanych źródeł (adresów

Unikaj interakcji z podejrzanymi reklamami (np. wyskakującymi okienkami) podczas odwiedzania podejrzanych stron. Regularnie aktualizuj system operacyjny, oprogramowanie i programy antywirusowe/antymalware. Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować zainfekowane złośliwe oprogramowanie.

Zrzut ekranu fałszywej chińskiej strony internetowej służącej do pobierania przeglądarki Google Chrome (anizom[.]com), rozprzestrzeniającej złośliwe oprogramowanie ValleyRAT:

Zrzut ekranu fałszywej strony internetowej Karlos – legalnego chińskiego dostawcy usług SMS (karlost[.]club) – rozpowszechniającej złośliwe oprogramowanie ValleyRAT:

Aktualizacja z 14 czerwca 2024 r. – odkryto nową odmianę ValleyRAT. Ta wersja ma ulepszone funkcje antydetekcyjne, takie jak sprawdzanie oprogramowania antywirusowego i zakończenie procesów dla Qihoo 360 i WinRAR. Trojan gromadzi również szerszy zakres danych związanych z urządzeniem.

ValleyRAT rozszerzył listę poleceń o nowe funkcje, które obejmują manipulowanie kontami użytkowników i systemem (tj. wymuszone wylogowania, ponowne uruchomienia i wyłączenia), filtrowanie procesów, czyszczenie dziennika zdarzeń systemu Windows oraz wykonywanie zrzutów ekranu.

Więcej informacji na temat tych zmian można znaleźć w artykule autorstwa Muhammada Irfana V A i Manishy Ramcharan Prajapati na blogu Zscaler.

Aktualizacja z 28 maja 2025 r. – Niedawno wykryto nową kampanię rozpowszechniającą ValleyRAT. Kampania ta opiera się na fałszywych instalatorach oprogramowania podszywających się pod znane aplikacje, takie jak LetsVPN i QQ Browser, aby nakłonić użytkowników do zainicjowania infekcji złośliwym oprogramowaniem.

W tej kampanii cyberprzestępcy wykorzystują program Catena do ładowania złośliwego oprogramowania. Atak rozpoczyna się od zainstalowania trojana NSIS, który wygląda jak legalny plik instalacyjny przeglądarki QQ Browser. Po uruchomieniu instalator wykorzystuje program Catena do dostarczenia złośliwego oprogramowania ValleyRAT do systemu ofiary.

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

• Czym jest ValleyRAT?
• KROK 1. Ręczne usuwanie złośliwego oprogramowania ValleyRAT.
• KROK 2. Sprawdź, czy Twój komputer jest czysty.

Jak ręcznie usunąć złośliwe oprogramowanie?

Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem — zazwyczaj najlepiej jest pozwolić programom antywirusowym lub anty-malware wykonać to automatycznie. Aby usunąć to złośliwe oprogramowanie, zalecamy użycie Combo Cleaner Antivirus dla Windows.

Jeśli chcesz ręcznie usunąć złośliwe oprogramowanie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które chcesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:

Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, wykonaj następujące czynności:

Pobierz program o nazwie Autoruns. Program ten pokazuje aplikacje uruchamiane automatycznie, rejestr i lokalizacje systemu plików:

Uruchom ponownie komputer w trybie awaryjnym:

Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk Start, kliknij opcję Zamknij, kliknij opcję Uruchom ponownie, a następnie kliknij przycisk OK. Podczas uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż pojawi się menu zaawansowanych opcji systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 7 w „trybie awaryjnym z obsługą sieci”:

Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz „Zaawansowane”, a następnie wybierz opcję „Ustawienia” z wyników wyszukiwania. Kliknij opcję „Zaawansowane opcje uruchamiania”, a następnie w otwartym oknie „Ogólne ustawienia komputera” wybierz opcję „Zaawansowane uruchamianie”.

Kliknij przycisk „Uruchom ponownie teraz”. Komputer uruchomi się ponownie i wyświetli menu „Zaawansowane opcje uruchamiania”. Kliknij przycisk „Rozwiązywanie problemów”, a następnie przycisk „Opcje zaawansowane”. Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania”.

Kliknij przycisk „Uruchom ponownie”. Komputer uruchomi się ponownie i wyświetli ekran ustawień startowych. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 8 w trybie awaryjnym z obsługą sieci:

Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij „Uruchom ponownie”, przytrzymując klawisz „Shift” na klawiaturze. W oknie „Wybierz opcję” kliknij „Rozwiązywanie problemów”, a następnie wybierz „Opcje zaawansowane”.

W menu opcji zaawansowanych wybierz „Ustawienia startowe” i kliknij przycisk „Uruchom ponownie”. W kolejnym oknie należy nacisnąć klawisz „F5” na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 10 w „trybie awaryjnym z obsługą sieci”:

Rozpakuj pobrany plik archiwum i uruchom plik Autoruns.exe.

W aplikacji Autoruns kliknij „Opcje” u góry i odznacz opcje „Ukryj puste lokalizacje” oraz „Ukryj wpisy systemu Windows”. Po wykonaniu tej procedury kliknij ikonę „Odśwież”.

Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik złośliwego oprogramowania, który chcesz usunąć.

Należy zapisać pełną ścieżkę i nazwę programu. Należy pamiętać, że niektóre złośliwe oprogramowania ukrywają nazwy procesów pod nazwami legalnych procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwę i wybierz opcję „Usuń”.

Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (zapewnia to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Przed kontynuowaniem należy włączyć wyświetlanie ukrytych plików i folderów. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, pamiętaj, aby go usunąć.

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych czynności powinno usunąć wszelkie złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie posiadasz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.

Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze, lepiej zapobiegać infekcji niż próbować później usuwać złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, zainstaluj najnowsze aktualizacje systemu operacyjnego i używaj oprogramowania antywirusowego. Aby mieć pewność, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany złośliwym oprogramowaniem ValleyRAT. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Zamiast od razu formatować urządzenie pamięci masowej (środek ostateczny) w celu wyeliminowania ValleyRAT, warto rozważyć alternatywne rozwiązania. Zaleca się sprawdzenie alternatywnych rozwiązań, takich jak użycie renomowanych narzędzi antywirusowych i anty-malware, takich jak Combo Cleaner, do skanowania i eliminowania złośliwego oprogramowania.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może prowadzić do różnych szkodliwych skutków, w tym naruszenia bezpieczeństwa danych, strat finansowych, naruszenia prywatności i zakłóceń w działaniu systemu. Ponadto może zagrozić bezpieczeństwu danych osobowych i poufnych informacji, potencjalnie prowadząc do kradzieży tożsamości i trwałych konsekwencji dla osób poszkodowanych.

Jaki jest cel złośliwego oprogramowania ValleyRAT?

Głównym celem ValleyRAT jest umożliwienie cyberprzestępcom nieautoryzowanego zdalnego sterowania urządzeniem ofiary. To wszechstronne złośliwe oprogramowanie może być wykorzystywane do kradzieży danych, manipulacji systemem, uzyskiwania stałego dostępu, dostarczania innego złośliwego oprogramowania, inwigilacji, tworzenia botnetów, oszustw finansowych i innych celów, w zależności od zamierzeń atakujących.

W jaki sposób złośliwe oprogramowanie ValleyRAT dostało się do mojego komputera?

Początkowo ValleyRAT rozprzestrzeniał się poprzez linki w wiadomościach e-mail do skompresowanych plików wykonywalnych. Późniejsze kampanie kontynuowały ten trend, wykorzystując usługi darmowej poczty elektronicznej. Znaczącą zmianą było zastosowanie w jednej z kampanii programu ładującego opartego na języku Rust do dostarczania ValleyRAT wraz z zmanipulowaną biblioteką DLL wykonywaną poprzez przejęcie kolejności wyszukiwania bibliotek DLL. W maju 2023 r. w ramach nietypowej kampanii wykorzystano pliki PDF o tematyce związanej z CV, zawierające linki do zdalnych ładunków, które instalowały ValleyRAT.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner posiada zdolność wykrywania i usuwania niemal wszystkich infekcji złośliwym oprogramowaniem. Należy pamiętać, że zaawansowane złośliwe oprogramowanie często ukrywa się głęboko w systemie. Dlatego konieczne jest przeprowadzenie pełnego skanowania systemu.