Jak usunąć CrystalX RAT z zainfekowanych urządzeń

Czym jest malware CrystalX?

CrystalX to trojan zdalnego dostępu (RAT) oferowany jako MaaS (malware‑as‑a‑service) i promowany za pośrednictwem Telegram. Służy głównie do kradzieży informacji z zainfekowanych urządzeń oraz do zdalnego sterowania nimi, a także posiada funkcję prankware. W przypadku wykrycia na urządzeniu CrystalX powinien zostać usunięty jak najszybciej.

Więcej o CrystalX

CrystalX jest przemianowaną wersją wcześniejszego malware (pierwotnie promowanego jako Webcrystal RAT). Jego wygląd i panel kontrolny wydają się być skopiowane lub w dużej mierze oparte na starszym RAT (WebRAT/Salat Stealer). Zasadniczo CrystalX jest komercyjnym i aktywnie promowanym narzędziem zdalnego dostępu.

CrystalX posiada wbudowane narzędzie, które pozwala cyberprzestępcom tworzyć jego dostosowane wersje. Mogą oni wybierać ustawienia, takie jak blokowanie określonych krajów, ukrywanie się przed narzędziami analitycznymi, zmiana ikony pliku i inne. Zawiera również funkcje antyanalityczne zaprojektowane w celu zapobiegania wykryciu lub badaniu.

Gdy RAT zostanie uruchomiony, łączy się ze zdalnym serwerem i wysyła podstawowe informacje o zainfekowanym urządzeniu. Następnie próbuje wykraść poufne dane, takie jak dane logowania z aplikacji takich jak Steam, Discord i Telegram, a także informacje przechowywane w przeglądarkach internetowych opartych na Chromium. Po zebraniu informacji wysyła wszystko z powrotem na serwer atakującego.

Ponadto CrystalX jest zdolny do rejestrowania naciśnięć klawiszy. Funkcja keyloggera rejestruje to, co wpisuje ofiara, w tym hasła i dane kart kredytowych. Co więcej, malware może potajemnie wstrzyknąć fałszywe rozszerzenie przeglądarki w Chrome lub Edge. To rozszerzenie monitoruje skopiowany tekst w poszukiwaniu adresów portfeli kryptowalut.

Jeśli je znajdzie, zamienia je na adres portfela atakującego. Może to być wykorzystywane do przekierowywania transferów kryptowalut do cyberprzestępców zamiast do zamierzonego odbiorcy. Przechwytywanie schowka może być również wykorzystywane do innych złośliwych celów, takich jak kradzież danych logowania lub innych informacji osobistych.

Co więcej, CrystalX umożliwia cyberprzestępcom uruchamianie poleceń, przesyłanie plików oraz przeglądanie wszystkich folderów i dysków na zainfekowanych urządzeniach. Zawiera również wbudowane narzędzie, które pozwala im widzieć i kontrolować ekran ofiary jak zdalny pulpit (VNC). Dodatkowo może potajemnie uzyskiwać dostęp do mikrofonu i kamery.

Malware zawiera również funkcje „żartowania", które cyberprzestępcy mogą wykorzystać do zmiany tapety pulpitu, obracania ekranu, zamiany przycisków myszy lub losowego poruszania kursorem. Może również wyłączać narzędzia systemowe, ukrywać ikony lub wyświetlać fałszywe wyskakujące komunikaty. Dodatkowo CrystalX może umożliwić czat między ofiarą a atakującym.

Podsumowanie

CrystalX jest RAT-em, który zapewnia atakującym szeroki zakres możliwości, w tym kradzież danych, rejestrowanie naciśnięć klawiszy, przechwytywanie schowka oraz zdalną kontrolę zainfekowanych systemów. Zawiera również funkcje antyanalityczne i unikania wykrycia. Ogólnie rzecz biorąc, CrystalX jest niebezpiecznym narzędziem, które może prowadzić do strat finansowych, kradzieży tożsamości, przejęcia kont i innych problemów.

Więcej przykładów RAT-ów to GHOSTFORM, KarstoRAT i Moonrise.

Jak CrystalX przeniknął do mojego komputera?

Malware takie jak CrystalX jest często dystrybuowane za pośrednictwem zainfekowanych plików, takich jak pliki wykonywalne (.exe), archiwa (np. ZIP lub RAR), skrypty lub dokumenty (np. MS Office lub PDF). Interakcja z tymi plikami może spowodować infekcję systemu.

Atakujący rozpowszechniają malware za pośrednictwem załączników e-mail lub linków, luk w oprogramowaniu, fałszywych oszustw związanych ze wsparciem technicznym, niebezpiecznych (lub skompromitowanych) stron internetowych, pirackiego oprogramowania, złamanych narzędzi, złośliwych reklam, zainfekowanych dysków USB, sieci peer-to-peer, zewnętrznych programów do pobierania i podobnych kanałów.

Jak uniknąć instalacji malware?

Utrzymuj system operacyjny i aplikacje na bieżąco aktualizowane. Pobieraj oprogramowanie z zaufanych źródeł, takich jak oficjalne strony internetowe lub zweryfikowane sklepy z aplikacjami, i unikaj złamanych programów, pirackiego oprogramowania lub generatorów kluczy. Nie klikaj reklam, linków ani przycisków na niegodnych zaufania stronach internetowych i odmawiaj otrzymywania powiadomień z podejrzanych stron.

Zachowaj ostrożność w przypadku nieoczekiwanych wiadomości e-mail lub wiadomości, szczególnie od nieznanych nadawców, i unikaj otwierania linków lub załączników, które wyglądają podejrzanie lub są niepotrzebne. Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner Antivirus dla Windows w celu automatycznego wyeliminowania infiltrowanego malware.

Panel administracyjny CrystalX (źródło: securelist.com):

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

• Czym jest CrystalX?
• KROK 1. Ręczne usuwanie malware CrystalX.
• KROK 2. Sprawdź, czy Twój komputer jest czysty.

Jak ręcznie usunąć malware?

Ręczne usuwanie malware jest skomplikowanym zadaniem — zwykle lepiej jest pozwolić programom antywirusowym lub antymalware zrobić to automatycznie. Aby usunąć to malware, zalecamy użycie Combo Cleaner Antivirus dla Windows.

Jeśli chcesz usunąć malware ręcznie, pierwszym krokiem jest identyfikacja nazwy malware, które próbujesz usunąć. Oto przykład podejrzanego programu działającego na komputerze użytkownika:

Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować następujące kroki:

Pobierz program o nazwie Autoruns. Ten program pokazuje automatycznie uruchamiane aplikacje, lokalizacje w rejestrze i systemie plików:

Uruchom ponownie komputer w trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij wielokrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Zaawansowane opcje systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.

Film pokazujący, jak uruchomić Windows 7 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Uruchom Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.

Kliknij przycisk „Uruchom ponownie teraz". Komputer uruchomi się ponownie w „menu Zaawansowane opcje uruchamiania". Kliknij przycisk „Rozwiązywanie problemów", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".

Kliknij przycisk „Uruchom ponownie". Komputer uruchomi się ponownie na ekranie Ustawienia uruchamiania. Naciśnij F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić Windows 8 w „Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilanie. W otwartym menu kliknij „Uruchom ponownie", przytrzymując przycisk „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", następnie wybierz „Opcje zaawansowane".

W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie naciśnij klawisz „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

Film pokazujący, jak uruchomić Windows 10 w „Trybie awaryjnym z obsługą sieci":

Rozpakuj pobrane archiwum i uruchom plik Autoruns.exe.

W aplikacji Autoruns kliknij „Options" u góry i odznacz opcje „Hide Empty Locations" oraz „Hide Windows Entries". Po wykonaniu tej procedury kliknij ikonę „Refresh".

Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik malware, który chcesz wyeliminować.

Zapisz jego pełną ścieżkę i nazwę. Zwróć uwagę, że niektóre malware ukrywa nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest unikanie usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwie i wybierz „Delete".

Po usunięciu malware za pośrednictwem aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym starcie systemu), powinieneś wyszukać nazwę malware na swoim komputerze. Upewnij się, że włączyłeś wyświetlanie ukrytych plików i folderów przed kontynuowaniem. Jeśli znajdziesz nazwę pliku malware, usuń go.

Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć wszelkie malware z komputera. Pamiętaj, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności komputerowych. Jeśli nie posiadasz tych umiejętności, pozostaw usuwanie malware programom antywirusowym i antymalware.

Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze, lepiej jest zapobiegać infekcji niż próbować później usuwać malware. Aby zapewnić bezpieczeństwo komputera, instaluj najnowsze aktualizacje systemu operacyjnego i używaj oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji malware, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany malware CrystalX, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Pełne formatowanie urządzenia usunie CrystalX, ale spowoduje również usunięcie wszystkich danych z systemu. Zanim to zrobisz, lepiej jest najpierw spróbować usunąć malware za pomocą zaufanego narzędzia bezpieczeństwa, takiego jak Combo Cleaner.

Jakie są największe problemy, które może powodować malware?

Malware może kraść lub uszkadzać pliki, uruchamiać dodatkowe złośliwe oprogramowanie, zbierać prywatne dane i nie tylko. Może to skutkować poważnymi konsekwencjami, takimi jak utrata danych, skompromitowane konta, straty finansowe, kradzież tożsamości i inne problemy.

Jaki jest cel CrystalX RAT?

Celem CrystalX RAT jest zapewnienie atakującym zdalnej kontroli nad zainfekowanymi komputerami w celu kradzieży danych, monitorowania aktywności i wykonywania złośliwych działań, takich jak szpiegowanie, manipulacja systemem i kradzież finansowa.

Jak malware przeniknęło do mojego komputera?

Malware jest często rozpowszechniane za pośrednictwem zainfekowanych plików, takich jak pliki wykonywalne, archiwa, skrypty lub dokumenty, które mogą zainfekować system po interakcji z nimi. Jest dystrybuowane za pośrednictwem załączników e-mail, złośliwych linków, luk w oprogramowaniu, fałszywych oszustw związanych ze wsparciem technicznym, niebezpiecznych stron internetowych, pirackiego lub złamanego oprogramowania, złośliwych reklam, zainfekowanych dysków USB, sieci peer-to-peer, zewnętrznych programów do pobierania itp.

Czy Combo Cleaner ochroni mnie przed malware?

Tak, Combo Cleaner może wykryć i usunąć większość znanych infekcji malware. Jednak zaawansowane zagrożenia mogą ukrywać się głęboko w systemie, dlatego wykonanie pełnego skanowania systemu jest niezbędne.