Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.
USUŃ TO TERAZAby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Czym jest złośliwe oprogramowanie Efimer?
Efimer to złośliwe oprogramowanie służące do kradzieży kryptowalut. Rozprzestrzenia się poprzez zainfekowane strony WordPress, złośliwe pliki torrentowe i fałszywe wiadomości e-mail. Oprogramowanie komunikuje się ze swoimi operatorami za pośrednictwem sieci Tor i wykorzystuje specjalne skrypty do atakowania podatnych stron WordPress oraz gromadzenia adresów e-mail w celu przeprowadzenia dalszych ataków.
Więcej informacji o Efimer
Po uruchomieniu złośliwego pliku skryptowego (plik skryptowy Windows) zawierającego Efimer, użytkownicy zazwyczaj widzą fałszywy komunikat o błędzie, a złośliwe oprogramowanie dostaje się do systemu. Skrypt najpierw sprawdza, czy użytkownik ma uprawnienia administratora. Jeśli użytkownik ma uprawnienia administratora, złośliwe oprogramowanie dodaje określone foldery i pliki do listy wykluczeń programu Windows Defender i konfiguruje zaplanowane zadanie.
Jeśli użytkownik nie ma uprawnień administratora, skrypt nadal instaluje Efimer, ale ustawia go tak, aby uruchamiał się automatycznie poprzez rejestr systemu Windows. Efimer został stworzony z myślą o użytkownikach kryptowalut. Zastępuje on adresy portfeli skopiowane do schowka adresem atakującego.
Złośliwe oprogramowanie sprawdza, czy menedżer zadań jest uruchomiony, i zatrzymuje się, jeśli tak jest, aby uniknąć wykrycia. Jeśli nie, instaluje i uruchamia Tor. Następnie Efimer sprawdza pliki SEED zawierające frazy portfela i wysyła dane do serwera atakującego. Po wykonaniu tej czynności złośliwe oprogramowanie zaczyna monitorować schowek w poszukiwaniu adresów portfeli kryptowalutowych i zastępować je adresami atakującego.
Wykonuje również zrzuty ekranu i wysyła zarówno pliki SEED, jak i zrzuty ekranu na serwer. Co więcej, Efimer nie tylko kradnie kryptowaluty — wykorzystuje również zainfekowane komputery do ataków na podatne witryny WordPress, publikuje fałszywe linki do pobrania w celu rozprzestrzeniania się i przeprowadza ataki brute-force w celu kradzieży haseł.
Wszystkie przechwycone dane uwierzytelniające są wysyłane do atakujących, co pozwala im zwiększyć liczbę zainfekowanych systemów.
Istnieje również inna odmiana Efimer, która sprawdza, czy działa na maszynie wirtualnej, ukrywa swój folder i śledzi, kiedy należy wysłać dane. Koncentruje się bardziej na rozszerzeniach przeglądarek i aplikacjach portfela, szyfruje zebrane dane i usuwa je dopiero po potwierdzeniu, że serwer je otrzymał.
Należy zauważyć, że ataki obejmują również skrypt, który zbiera adresy e-mail ze stron internetowych. Atakujący mogą następnie wykorzystać te adresy do wysyłania spamu, phishingu lub złośliwego oprogramowania, co pomaga im w rozprzestrzenianiu Efimer (lub innych złośliwych narzędzi).
| Nazwa | Efimer malware |
| Typ zagrożenia | Trojan, Clipper |
| Nazwy wykrywania | Avast (Script:SNH-gen [Trj]), Combo Cleaner (Trojan.GenericS.5863), ESET-NOD32 (JS/Agent.SWE), Kaspersky (Trojan-Dropper.Win32. Agentb.qx), Microsoft (Trojan:Win32/Wacatac.B!ml), Pełna lista (VirusTotal) |
| Objawy | Trojany są zaprojektowane tak, aby potajemnie infiltrować komputer ofiary i pozostawać w ukryciu, dlatego na zainfekowanym komputerze nie widać żadnych wyraźnych objawów. |
| Metody dystrybucji | Zainfekowane załączniki do wiadomości e-mail, zainfekowane witryny WordPress, torrenty. |
| Szkody | Kradzież kryptowaluty, wykorzystanie zainfekowanego urządzenia do dalszego rozprzestrzeniania złośliwego oprogramowania (lub innych zagrożeń). |
| Usuwanie malware (Windows) |
Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. Pobierz Combo CleanerBezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk. |
Wnioski
Efimer to niebezpieczne złośliwe oprogramowanie, które kradnie poufne informacje i rozprzestrzenia się w systemach. Może atakować dane dotyczące kryptowalut, naruszać bezpieczeństwo stron internetowych i gromadzić dane uwierzytelniające. Zainfekowanie komputera przez Efimer może spowodować takie problemy, jak kradzież kryptowalut, kradzież danych uwierzytelniających, nieautoryzowany dostęp do kont i narażenie na dalsze ataki.
W jaki sposób Efimer przeniknął do mojego komputera?
Kiedy atakujący wykorzystują pocztę elektroniczną do dostarczania złośliwego oprogramowania, wysyłają wiadomości udające, że pochodzą od legalnych podmiotów, często zawierające twierdzenia związane z kwestiami prawnymi lub finansowymi. Te wiadomości e-mail zawierają plik archiwum chroniony hasłem. Złośliwe oprogramowanie infiltruje systemy, gdy użytkownicy wyodrębniają i uruchamiają skrypt zawarty w pliku archiwum.
Kiedy cyberprzestępcy wykorzystują witryny WordPress, atakują słabo zabezpieczone strony internetowe, stosują metodę brute force w celu uzyskania danych logowania i publikują fałszywe linki do pobrania filmów lub innych treści. Linki te prowadzą do archiwów chronionych hasłem, zawierających Efimer. Użytkownicy, którzy pobierają i uruchamiają te pliki, infekują swoje systemy.
Jak uniknąć instalacji złośliwego oprogramowania?
Unikaj pobierania plików lub oprogramowania z zewnętrznych programów do pobierania, stron z torrentami, nieoficjalnych stron itp. Pobieraj pliki lub oprogramowanie wyłącznie z oficjalnych stron internetowych lub zaufanych sklepów z aplikacjami. Unikaj otwierania nieoczekiwanych załączników do wiadomości e-mail lub klikania podejrzanych linków z nieznanych adresów.
Aktualizuj system operacyjny, przeglądarki i aplikacje. Nie wchodź w interakcje z reklamami, linkami lub innymi elementami na niewiarygodnych stronach internetowych i zawsze blokuj żądania powiadomień z takich stron. Korzystaj z renomowanego oprogramowania zabezpieczającego i regularnie skanuj system.
Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować zainfekowane złośliwe oprogramowanie.
Złośliwa wiadomość e-mail rozprzestrzeniająca Efimer (źródło: securelist.com):
Treść wiadomości e-mail:
Subject: Application for illegal use of a domain name
JUSTICE
The legal bureau examined the complaint and established that, in the name of the domain, patented combinations belonging to a major brand are used. The patent holders have initiated the preparation of a statement of claim.
The claim may be withdrawn upon the change of the domain name. The patent holders are interested in acquiring your domain. Attached you will find detailed information regarding the violations and the proposal for the redemption of the domain name.
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
POBIERZ Combo CleanerPobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Szybkie menu:
- Czym jest Efimer?
- KROK 1. Ręczne usuwanie złośliwego oprogramowania Efimer.
- KROK 2. Sprawdź, czy komputer jest czysty.
Jak ręcznie usunąć złośliwe oprogramowanie?
Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem — zazwyczaj najlepiej jest pozwolić programom antywirusowym lub anty-malware wykonać to automatycznie. Aby usunąć to złośliwe oprogramowanie, zalecamy użycie Combo Cleaner Antivirus dla Windows.
Jeśli chcesz ręcznie usunąć złośliwe oprogramowanie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które chcesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować następujące kroki:
Pobierz program o nazwie Autoruns. Program ten pokazuje aplikacje uruchamiane automatycznie, rejestr i lokalizacje systemu plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk Start, kliknij opcję Zamknij, kliknij opcję Uruchom ponownie, a następnie kliknij przycisk OK. Podczas uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż pojawi się menu zaawansowanych opcji systemu Windows, a następnie wybierz z listy opcję Tryb awaryjny z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 7 w „trybie awaryjnym z obsługą sieci”:
Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz „Zaawansowane”, a następnie wybierz opcję „Ustawienia” z wyników wyszukiwania. Kliknij „Zaawansowane opcje uruchamiania”, a następnie w otwartym oknie „Ogólne ustawienia komputera” wybierz „Zaawansowane uruchamianie”.
Kliknij przycisk „Uruchom ponownie teraz”. Komputer uruchomi się ponownie w menu „Zaawansowane opcje uruchamiania”. Kliknij przycisk „Rozwiązywanie problemów”, a następnie przycisk „Opcje zaawansowane”. Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania”.
Kliknij przycisk „Uruchom ponownie”. Komputer uruchomi się ponownie w ekranie Ustawienia uruchamiania. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 8 w „trybie awaryjnym z obsługą sieci”:
Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij „Uruchom ponownie”, przytrzymując klawisz „Shift” na klawiaturze. W oknie „Wybierz opcję” kliknij „Rozwiązywanie problemów”, a następnie wybierz „Opcje zaawansowane”.
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania” i kliknij przycisk „Uruchom ponownie”. W kolejnym oknie kliknij przycisk „F5” na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 10 w „trybie awaryjnym z obsługą sieci”:
Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Opcje” u góry i odznacz opcje „Ukryj puste lokalizacje” i „Ukryj wpisy systemu Windows”. Po wykonaniu tej procedury kliknij ikonę „Odśwież”.
Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz usunąć.
Należy zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowania ukrywają nazwy procesów pod nazwami legalnych procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwę i wybierz „Usuń”.
Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (zapewnia to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Przed przystąpieniem do dalszych czynności należy włączyć wyświetlanie ukrytych plików i folderów. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, pamiętaj, aby go usunąć.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych czynności powinno usunąć wszelkie złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności komputerowych. Jeśli nie posiadasz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.
Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze, najlepiej jest zapobiegać infekcjom, niż próbować później usuwać złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, zainstaluj najnowsze aktualizacje systemu operacyjnego i używaj oprogramowania antywirusowego. Aby mieć pewność, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany Efimerem, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Zazwyczaj formatowanie urządzenia jest ostatecznością. Najpierw zaleca się wykonanie pełnego skanowania systemu za pomocą renomowanego oprogramowania antywirusowego (takiego jak Combo Cleaner) i usunięcie Efimera.
Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?
Złośliwe oprogramowanie może spowolnić działanie systemów, zablokować lub uszkodzić pliki, uruchomić inne złośliwe oprogramowanie, wykraść poufne dane i nie tylko. Ofiary często padają ofiarą kradzieży pieniędzy, kont lub tożsamości lub borykają się z innymi problemami.
Jaki jest cel Efimer?
Celem Efimer jest kradzież kryptowaluty poprzez monitorowanie aktywności schowka i zastępowanie adresów portfeli adresami kontrolowanymi przez atakujących. Zbiera również poufne informacje, naraża podatne na ataki witryny WordPress i gromadzi dane uwierzytelniające w celu rozszerzenia zakażonych urządzeń.
W jaki sposób Efimer zainfekował moje urządzenie?
Efimer prawdopodobnie zainfekował Twoje urządzenie, gdy uruchomiłeś złośliwy skrypt z archiwum chronionego hasłem, pobranego z fałszywej wiadomości e-mail lub zainfekowanej witryny WordPress.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner może wykrywać i usuwać większość złośliwego oprogramowania. Zaleca się przeprowadzenie pełnego skanowania systemu, ponieważ zaawansowane zagrożenia często ukrywają się głęboko w systemie.
Udostępnij:
Facebook
X.com
LinkedIn
Skopiuj link
Tomas Meskauskas
Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania
Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.
Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznęPortal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznę
▼ Pokaż dyskusję