Jak usunąć PureRAT z zainfekowanych urządzeń
TrojanZnany również jako: Trojan zdalnego dostępu PureRAT
Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.
USUŃ TO TERAZAby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Czym jest złośliwe oprogramowanie PureRAT?
PureRAT to trojan zdalnego dostępu (RAT) wykorzystywany do kradzieży poufnych informacji z zainfekowanych urządzeń. Wysyła skradzione informacje do serwera C2 kontrolowanego przez atakujących. Oprócz kradzieży danych PureRAT może być wykorzystywany do innych złośliwych celów. Wiadomo, że jest dostarczany za pośrednictwem fałszywych wiadomości e-mail.
Więcej informacji o PureRAT
PureRAT atakuje przeglądarki internetowe, takie jak 360Browser, 7Star, Amigo, Atom, Brave, CentBrowser, Chedot, Chrome, ChromePlus, Chromium, Citrio, CocCoc, Comodo, Coowon, Dragon, Edge, Elements, Epic Privacy, Iridium, K-Melon, Kometa, liebao, Maxthon3, Nichrome, Orbitum, QIP Surf, QQBrowser, Sleipnir5, Sputnik, Torch, Uran, i Vivaldi.
Wiadomo, że złośliwe oprogramowanie atakuje rozszerzenia przeglądarek powiązane z portfelami kryptowalutowymi. Poza tym przeszukuje system w poszukiwaniu aplikacji kryptograficznych na komputery stacjonarne, takich jak Atomic Wallet, Exodus i Ledger Live. Inne aplikacje, które są celem ataków, to Foxmail, Outlook, Steam i Telegram. PureRAT pobiera informacje z folderów instalacyjnych i danych wyżej wymienionych aplikacji.
PureRAT umożliwia również atakującym zdalny dostęp do systemu za pomocą ukrytego protokołu RDP oraz sterowanie pulpitem za pomocą myszy i klawiatury. Może wyświetlać obraz z kamery internetowej ofiary, podsłuchiwać przez mikrofon i rejestrować naciśnięcia klawiszy zarówno w czasie rzeczywistym, jak i w trybie offline. Złośliwe oprogramowanie może uruchamiać polecenia za pośrednictwem zdalnego interfejsu CMD i powiadamiać atakujących o pojawieniu się określonych okien.
Zawiera również narzędzie do przechwytywania transakcji kryptowalutowych. Ponadto PureRAT zawiera menedżera plików, menedżera procesów, menedżera rejestru, menedżera sieci i menedżera uruchamiania. Może przeprowadzać ataki DDoS, posiada menedżera botów streamingowych dla serwisów Twitch i YouTube oraz umożliwia wstrzykiwanie kodu .NET.
Za pośrednictwem swojego centrum wykonawczego PureRAT może pobierać i uruchamiać pliki bezpośrednio w pamięci lub zapisywać je na dysku i uruchamiać. Może również pobierać aktualizacje. Funkcja zarządzania połączeniami pozwala mu zamykać, restartować, odinstalowywać lub blokować aktywne połączenia oraz obsługuje zmiany adresów IP i portów na żywo.
PureRAT może również uruchamiać czat między atakującym a zainfekowanym użytkownikiem, wysyłać lub pobierać torrenty, otwierać strony internetowe, dodawać wyłączenia do programu Windows Defender, usuwać punkty przywracania systemu i edytować plik host. Wyświetla specyfikacje komputera, uruchamia jednowierszowe polecenia PowerShell i zawiera narzędzie do usuwania botów, które pozwala zakończyć lub usunąć złośliwe procesy.
Wykrywa również aktywne okna i wyświetla listę zainstalowanych aplikacji. Ponadto PureRAT oferuje opcje kontroli komputera, umożliwiające atakującym wyłączenie lub ponowne uruchomienie zainfekowanego urządzenia.
| Nazwa | Trojan zdalnego dostępu PureRAT |
| Typ zagrożenia | Trojan zdalnej administracji |
| Nazwy wykrywania | Avast (Win32:MalwareX-gen [Cryp]), Combo Cleaner (Gen:Variant.Jalapeno.18072), ESET-NOD32 (A Variant Of MSIL/Kryptik.ANPO), Kaspersky (HEUR:Backdoor.MSIL.Crysan.gen), Microsoft (Backdoor:MSIL/Crysan.APTA!MTB), Pełna lista (VirusTotal) |
| Objawy | Trojan zdalnego dostępu jest często zaprojektowany tak, aby potajemnie infiltrować komputer ofiary i pozostawać w ukryciu, dlatego też na zainfekowanym komputerze nie widać żadnych wyraźnych objawów. |
| Metody dystrybucji | Zainfekowane załączniki do wiadomości e-mail, socjotechnika. |
| Szkody | Kradzież haseł i danych bankowych, kradzież tożsamości, włączenie komputera ofiary do botnetu, dodatkowe infekcje, straty finansowe i inne. |
| Usuwanie malware (Windows) |
Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. Pobierz Combo CleanerBezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk. |
Wnioski
Podsumowując, PureRAT jest potężnym trojanem zdalnego dostępu. Ofiary PureRAT mogą ponieść różne konsekwencje, w tym straty finansowe, kradzież tożsamości, nieautoryzowany dostęp do kont i naruszenie bezpieczeństwa systemu. Jego szeroki zakres możliwości sprawia, że stanowi poważne zagrożenie zarówno dla osób fizycznych, jak i organizacji.
Inne przykłady trojanów RAT to PylangGhost RAT, Sakura RAT i Sorillus RAT.
W jaki sposób PureRAT zainfekował mój komputer?
Wiadomo, że PureRAT infiltruje systemy poprzez atak socjotechniczny. Atakujący podszywają się pod nowego klienta i wysyłają ofierze plik PDF zawierający link do folderu Zoho WorkDrive. Folder ten zawiera złośliwe pliki ZIP.
Po otwarciu plik dostarcza złośliwą bibliotekę DLL, która jest zaszyfrowana za pomocą kryptera Ghost Crypt. Biblioteka DLL wykorzystuje technikę zwaną procesem hipnozy, aby potajemnie wstrzyknąć PureRAT do legalnego procesu systemu Windows.
Jak uniknąć instalacji złośliwego oprogramowania?
Zawsze aktualizuj system operacyjny i aplikacje oraz regularnie skanuj komputer za pomocą zaufanego oprogramowania zabezpieczającego. Zachowaj ostrożność w przypadku wiadomości e-mail — unikaj otwierania załączników lub klikania linków, jeśli wiadomość jest nieoczekiwana, nie ma związku z tematem lub pochodzi od nieznanego nadawcy.
Pobieraj aplikacje i pliki wyłącznie z oficjalnych stron internetowych lub legalnych sklepów z aplikacjami. Nigdy nie pobieraj pirackiego oprogramowania ani narzędzi do łamania zabezpieczeń. Nie klikaj wyskakujących okienek, reklam ani podejrzanych przycisków na wątpliwych stronach internetowych i nie udzielaj takim stronom uprawnień do wysyłania powiadomień.
Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować zainfekowane złośliwe oprogramowanie.
Strona internetowa promująca PureRAT:
Panel administracyjny PureRAT:
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
POBIERZ Combo CleanerPobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Szybkie menu:
- Czym jest PureRAT?
- KROK 1. Ręczne usuwanie złośliwego oprogramowania PureRAT.
- KROK 2. Sprawdź, czy komputer jest czysty.
Jak ręcznie usunąć złośliwe oprogramowanie?
Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem - zwykle najlepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Do usunięcia tego złośliwego oprogramowania zalecamy użycie Combo Cleaner Antivirus dla Windows.
Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań , i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować te kroki:
Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, rejestr i lokalizacje systemu plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcji zaawansowanych systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci - przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie "Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie i przejdzie do menu "Zaawansowane opcje uruchamiania". Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij "Ustawienia uruchamiania".
Kliknij przycisk "Uruchom ponownie". Komputer uruchomi się ponownie na ekranie ustawień startowych. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 8 w "Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W otwartym menu kliknij "Uruchom ponownie", przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij "Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane".
W menu opcji zaawansowanych wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W następnym oknie należy kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":
Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij "Opcje" u góry i odznacz opcje "Ukryj puste lokalizacje" i "Ukryj wpisy systemu Windows". Po zakończeniu tej procedury kliknij ikonę "Odśwież".
Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.
Powinieneś zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy nad jego nazwą i wybierz "Usuń".
Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (gwarantuje to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Pamiętaj, aby włączyć ukryte pliki i foldery przed kontynuowaniem. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, usuń go.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie masz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.
Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze najlepiej jest zapobiegać infekcjom niż później próbować usunąć złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, należy instalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany złośliwym oprogramowaniem PureRAT. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Sformatowanie urządzenia pamięci masowej spowoduje usunięcie PureRAT, ale jest to drastyczny krok, który prowadzi do utraty wszystkich danych, chyba że masz kopię zapasową. Przed sformatowaniem możesz spróbować użyć renomowanego narzędzia zabezpieczającego, takiego jak Combo Cleaner, aby wykryć i usunąć infekcję.
Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?
Złośliwe oprogramowanie może spowodować kradzież danych, straty finansowe, uszkodzenie systemu, naruszenie prywatności i nieautoryzowany dostęp do kont. Może również spowolnić lub spowodować awarię urządzeń i rozprzestrzenić się na inne systemy.
Jaki jest cel złośliwego oprogramowania PureRAT?
Jego cele obejmują kradzież poufnych danych (zwłaszcza z przeglądarek i aplikacji kryptowalutowych), szpiegowanie użytkowników za pomocą kamery internetowej i mikrofonu, rejestrowanie naciśnięć klawiszy, przejmowanie transakcji kryptowalutowych, zarządzanie plikami i procesami, przeprowadzanie ataków typu DDoS oraz wyłączanie funkcji bezpieczeństwa.
W jaki sposób PureRAT przeniknął do mojego komputera?
PureRAT prawdopodobnie zainfekował Twój komputer poprzez atak socjotechniczny. Atakujący wysłał plik PDF z linkiem do folderu Zoho WorkDrive zawierającego złośliwy plik ZIP i naciskał, aby go uruchomić. Po uruchomieniu wykorzystał technikę ukrywania się, aby wstrzyknąć PureRAT do legalnego procesu systemu Windows.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner może wykrywać i usuwać prawie wszystkie znane złośliwe oprogramowania. Ponieważ zaawansowane złośliwe oprogramowanie często ukrywa się głęboko w systemie, konieczne jest przeprowadzenie pełnego skanowania systemu.
Udostępnij:
Facebook
X.com
LinkedIn
Skopiuj link
Tomas Meskauskas
Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania
Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.
Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznęPortal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznę
▼ Pokaż dyskusję