Jak usunąć program BoryptGrab z zainfekowanych urządzeń

Czym jest złośliwe oprogramowanie BoryptGrab?

BoryptGrab to złośliwe oprogramowanie, które na różne sposoby wykradło informacje z zainfekowanych urządzeń. Rozprzestrzenia się za pośrednictwem fałszywych stron serwisu GitHub, na których oferowane jest darmowe oprogramowanie. Należy pamiętać, że w trakcie łańcucha ataku z udziałem BoryptGrab może zostać zainstalowane inne złośliwe oprogramowanie – backdoor znany jako TunnesshClient. W przypadku wykrycia na urządzeniu BoryptGrab (lub powiązanego zagrożenia) należy je natychmiast usunąć.

Więcej informacji o BoryptGrab

Gdy BoryptGrab infekuje urządzenie, najpierw sprawdza, czy działa ono w maszynie wirtualnej (VM), analizując pliki systemowe i ustawienia. Pomaga mu to uniknąć analizy ze strony badaczy. Sprawdzane są również uruchomione programy, aby sprawdzić, czy któryś z nich nie figuruje na liście narzędzi analitycznych. Ponadto wirus próbuje uzyskać uprawnienia administratora.

BoryptGrab może gromadzić poufne informacje z wielu przeglądarek, w tym Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi i Yandex Browser. Gromadzone dane mogą obejmować dane logowania, informacje do automatycznego wypełniania, historię przeglądania oraz podobne dane.

Warto zauważyć, że BoryptGrab pobiera narzędzie oparte na silniku Chromium, które pomaga mu w kradzieży danych z przeglądarki. Złośliwe oprogramowanie może również pozyskiwać dane z kryptowalutowych portfeli na komputerach stacjonarnych oraz z rozszerzeń przeglądarki. Następnie wykonuje zrzut ekranu i gromadzi ogólne informacje o systemie. Lista atakowanych portfeli kryptowalutowych obejmuje następujące serwisy:

Armory Wallet, Atomic, AtomicDEX, Binance, Bitcoin Core, BitPay, Blockstream Green, Chia Wallet, Coinomi, Copay, Daedalus Mainnet, Dash Core, Dogecoin, Electron Cash, Electrum, ElectrumLTC, Ethereum, Exodus, GreenAddress, Guarda, Jaxx Desktop, Komodo Wallet, Ledger Live, Ledger Wallet, Litecoin Core, MEW Desktop, MultiDoge, MyEtherWallet, NOW Wallet, Raven Core, StakeCube, Trezor Suite, Wasabi Wallet.

BoryptGrab może również pobierać pliki z popularnych folderów na podstawie określonych typów plików. Gromadzi pliki z aplikacji Telegram, hasła przeglądarek, a w nowszych wersjach także tokeny serwisu Discord. Po zebraniu wszystkich tych danych kompresuje je i wysyła na serwer atakującego.

Niektóre wersje programu BoryptGrab pobierają i uruchamiają również backdoora TunnesshClient, ale nie dotyczy to wszystkich wersji. TunnesshClient to złośliwe oprogramowanie napisane w języku Python, które umożliwia atakującym wysyłanie poleceń do zainfekowanego komputera oraz przekierowywanie jego ruchu internetowego poprzez odwrotne połączenie SSH.

Wnioski

BoryptGrab to złośliwe oprogramowanie, które gromadzi poufne informacje z przeglądarek, portfeli kryptowalutowych, komunikatorów oraz plików znajdujących się na zainfekowanym urządzeniu. Próbuje ono również uniknąć wykrycia, sprawdzając obecność maszyn wirtualnych i narzędzi analitycznych oraz żądając uprawnień administratora. Niektóre wersje mogą pobrać backdoora, umożliwiając atakującym przejęcie zdalnej kontroli.

Osoby, które padły ofiarą ataku BoryptGrab, mogą doświadczyć takich problemów, jak straty finansowe, kradzież tożsamości, przejęcie kontroli nad kontami, dodatkowe infekcje oraz inne niepożądane skutki. Dlatego też należy jak najszybciej usunąć BoryptGrab z zainfekowanych urządzeń.

W jaki sposób program BoryptGrab przedostał się do mojego komputera?

Cyberprzestępcy wykorzystują publiczne repozytoria serwisu GitHub, w których umieszczają rzekomo legalne lub przydatne narzędzia. Wykorzystują również optymalizację pod kątem wyszukiwarek (SEO), aby ich fałszywe repozytoria i strony GitHub Pages pojawiały się wyżej w wynikach wyszukiwania. Gdy użytkownicy szukają w Internecie narzędzi, kodów lub pirackiego oprogramowania, mogą natrafić na te strony.

Gdy użytkownicy otwierają repozytorium, są przekierowywani na stronę internetową w stylu GitHub, która wygląda jak prawdziwa strona z oprogramowaniem do pobrania. Strony te reklamują narzędzia takie jak kody do gier, pirackie oprogramowanie lub programy użytkowe, np. narzędzia zwiększające liczbę klatek na sekundę (FPS), a także oprogramowanie takie jak Filmora czy Voicemod, które rzekomo umożliwia pobieranie lub modyfikowanie innych aplikacji.

Na stronie udostępniono archiwum ZIP, które udaje instalator oprogramowania. Gdy użytkownik pobierze i uruchomi pliki zawarte w archiwum, rozpoczyna się infekcja.

Jak uniknąć zainstalowania złośliwego oprogramowania?

Zawsze pobieraj oprogramowanie z zaufanych źródeł, takich jak oficjalne strony internetowe lub renomowane sklepy z aplikacjami, i dbaj o to, by Twój system operacyjny oraz aplikacje były regularnie aktualizowane. Zachowaj ostrożność w przypadku wiadomości e-mail lub innych wiadomości, których nie oczekiwałeś, zwłaszcza jeśli zawierają załączniki lub linki, i unikaj ich otwierania.

Korzystaj z niezawodnych programów zabezpieczających, aby regularnie przeprowadzać skanowanie, które pozwoli wykryć i wyeliminować potencjalne zagrożenia. Ponadto unikaj klikania w podejrzane reklamy, wyskakujące okienka lub linki podczas przeglądania niezweryfikowanych stron internetowych oraz odrzucaj prośby o zezwolenie na wysyłanie powiadomień od stron, którym nie ufasz.

Jeśli podejrzewasz, że Twój komputer został zainfekowany, zalecamy przeprowadzenie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie usunąć złośliwe oprogramowanie.

Fałszywa strona pobierania na Githubie, z której rozpowszechniany jest program BoryptGrab (źródło: trendmicro.com):

Strona „README” złośliwego repozytorium na GitHubie (źródło: trendmicro.com):

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

• Czym jest BoryptGrab?
• KROK 1. Ręczne usunięcie złośliwego oprogramowania BoryptGrab.
• KROK 2. Sprawdź, czy Twój komputer jest wolny od wirusów.

Jak ręcznie usunąć złośliwe oprogramowanie?

Ręczne usuwanie złośliwego oprogramowania to skomplikowane zadanie – zazwyczaj najlepiej jest pozwolić, aby programy antywirusowe lub anty-malware zrobiły to automatycznie. Aby usunąć to złośliwe oprogramowanie, zalecamy skorzystanie z Combo Cleaner Antivirus dla Windows.

Jeśli chcesz ręcznie usunąć złośliwe oprogramowanie, pierwszym krokiem jest ustalenie nazwy programu, który chcesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:

Jeśli przejrzałeś listę programów uruchomionych na komputerze, na przykład za pomocą Menedżera zadań, i znalazłeś program, który wygląda podejrzanie, wykonaj następujące czynności:

Pobierz program o nazwie Autoruns. Program ten wyświetla aplikacje uruchamiane automatycznie wraz z systemem, wpisy w rejestrze oraz lokalizacje w systemie plików:

Uruchom komputer w trybie awaryjnym:

Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij przycisk „Start”, wybierz opcję „Zamknij komputer”, następnie „Uruchom ponownie” i kliknij „OK”. Podczas uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż pojawi się menu „Zaawansowane opcje systemu Windows”, a następnie wybierz z listy opcję „Tryb awaryjny z obsługą sieci”.

Film pokazujący, jak uruchomić system Windows 7 w „trybie awaryjnym z obsługą sieci”:

Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci – przejdź do ekranu startowego systemu Windows 8, wpisz „Zaawansowane”, a następnie w wynikach wyszukiwania wybierz opcję „Ustawienia”. Kliknij „Zaawansowane opcje uruchamiania”, a w otwartym oknie „Ogólne ustawienia komputera” wybierz opcję „Zaawansowane uruchamianie”.

Kliknij przycisk „Uruchom ponownie teraz”. Komputer uruchomi się ponownie, wyświetlając „Menu zaawansowanych opcji uruchamiania”. Kliknij przycisk „Rozwiązywanie problemów”, a następnie przycisk „Opcje zaawansowane”. Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania”.

Kliknij przycisk „Uruchom ponownie”. Komputer uruchomi się ponownie, wyświetlając ekran ustawień startowych. Naciśnij klawisz F5, aby uruchomić komputer w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 8 w „trybie awaryjnym z obsługą sieci”:

Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę zasilania. W wyświetlonym menu kliknij „Uruchom ponownie”, przytrzymując klawisz „Shift” na klawiaturze. W oknie „Wybierz opcję” kliknij „Rozwiązywanie problemów”, a następnie wybierz „Opcje zaawansowane”.

W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania” i kliknij przycisk „Uruchom ponownie”. W kolejnym oknie naciśnij klawisz „F5” na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić system Windows 10 w „trybie awaryjnym z obsługą sieci”:

Rozpakuj pobrany plik archiwum i uruchom plik Autoruns.exe.

W aplikacji Autoruns kliknij przycisk „Opcje” u góry i usuń zaznaczenie opcji „Ukryj puste lokalizacje” oraz „Ukryj wpisy systemu Windows”. Po wykonaniu tej czynności kliknij ikonę „Odśwież”.

Przejrzyj listę wygenerowaną przez aplikację Autoruns i znajdź plik złośliwego oprogramowania, który chcesz usunąć.

Należy zapisać jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowania ukrywają nazwy procesów pod nazwami legalnych procesów systemu Windows. Na tym etapie bardzo ważne jest, aby nie usuwać plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwę i wybierz opcję „Usuń”.

Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (dzięki temu złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym starcie systemu) należy wyszukać nazwę tego oprogramowania na komputerze. Przed rozpoczęciem należy włączyć wyświetlanie ukrytych plików i folderów. Jeśli znajdziesz plik o nazwie odpowiadającej złośliwemu oprogramowaniu, koniecznie go usuń.

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych czynności powinno usunąć wszelkie złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanej wiedzy informatycznej. Jeśli nie posiadasz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i anty-malware.

Te kroki mogą okazać się nieskuteczne w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze, lepiej zapobiegać infekcjom niż później próbować usuwać złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, należy instalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego. Aby mieć pewność, że komputer jest wolny od złośliwego oprogramowania, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.

Najczęściej zadawane pytania (FAQ)

Moje urządzenie zostało zainfekowane złośliwym oprogramowaniem BoryptGrab. Czy powinienem sformatować nośnik danych, aby się go pozbyć?

Sformatowanie urządzenia spowoduje usunięcie programu BoryptGrab, ale spowoduje również utratę wszystkich danych, dlatego należy to traktować wyłącznie jako ostateczność. Lepiej jest najpierw przeprowadzić pełne skanowanie za pomocą sprawdzonego oprogramowania zabezpieczającego, takiego jak Combo Cleaner.

Jakie są największe problemy, jakie może powodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może wykraść dane osobowe, umożliwić atakującym zdalne przejęcie kontroli nad urządzeniem, usunąć lub uszkodzić pliki, zainstalować kolejne złośliwe programy, spowolnić działanie systemu, spowodować awarie oraz wykonać inne szkodliwe działania.

Jaki jest cel programu BoryptGrab?

Celem programu BoryptGrab jest kradzież danych przeglądarki, danych portfeli kryptowalutowych (z aplikacji komputerowych i rozszerzeń), informacji z komunikatorów (Telegram i Discord), informacji systemowych oraz zrzutów ekranu. Może on również zapewniać zdalny dostęp za pośrednictwem TunnesshClient (w niektórych wersjach).

W jaki sposób program BoryptGrab przedostał się na moje urządzenie?

BoryptGrab najprawdopodobniej przedostał się do Twojego urządzenia za pośrednictwem fałszywej strony lub repozytorium GitHub, które udawały, że oferują darmowe oprogramowanie lub narzędzia. Kiedy pobrałeś i otworzyłeś dostarczony plik ZIP, złośliwe oprogramowanie zainstalowało się w systemie.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Tak, program Combo Cleaner jest w stanie wykrywać i usuwać większość znanych złośliwych programów. Ponieważ niektóre zaawansowane zagrożenia mogą ukrywać się głęboko w systemie, zaleca się przeprowadzenie pełnego skanowania systemu, aby mieć pewność, że wszystkie szkodliwe elementy zostaną wykryte i usunięte.