Jak usunąć CrySome z zainfekowanych urządzeń
TrojanZnany również jako: CrySome trojan zdalnej administracji
Otrzymaj bezpłatne skanowanie i sprawdź, czy twój komputer jest zainfekowany.
USUŃ TO TERAZAby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Czym jest malware CrySome?
CrySome to trojan zdalnego dostępu (RAT), który pozwala cyberprzestępcom przejąć kontrolę nad zainfekowanym urządzeniem. Ten RAT może kraść pliki i hasła, szpiegować aktywność i zdalnie wykonywać polecenia. CrySome jest jeszcze poważniejszym zagrożeniem, ponieważ potrafi się ukrywać, wyłączać oprogramowanie antywirusowe i pozostawać w systemie nawet po jego zresetowaniu lub próbach usunięcia.
Więcej informacji o CrySome
Po połączeniu się ze swoim serwerem CrySome wysyła informacje o zainfekowanym urządzeniu. Przesyłane dane obejmują nazwę użytkownika komputera, wersję systemu operacyjnego, czas od uruchomienia oraz kraj/region. Wysyła również tytuł okna, z którego aktualnie korzysta użytkownik (bez włączania sesji zdalnej).
Następnie RAT konfiguruje zainfekowany system do odbierania poleceń. Niektóre podstawowe funkcje są zawsze aktywne, podczas gdy inne mogą być włączane lub wyłączane w zależności od ustawień. CrySome obsługuje szeroki zakres poleceń, umożliwiając cyberprzestępcom prowadzenie różnorodnych złośliwych działań.
Może uruchamiać polecenia powłoki/PowerShell, pobierać i uruchamiać pliki, przesyłać i pobierać pliki, przeglądać, odczytywać i usuwać pliki, wykonywać zrzuty ekranu, wymuszać ponowne uruchomienie systemu, wyświetlać lub kończyć działające programy, robić zdjęcia kamerą internetową oraz uzyskiwać dostęp do mikrofonu (i go używać). CrySome może również umożliwić bezpośrednią komunikację między cyberprzestępcami a ofiarami.
Ponadto RAT może tworzyć tunele SOCKS/odwrotnego proxy w celu ukrytego dostępu do sieci, podglądać ekrany, sterować myszą i klawiaturą, zarządzać wieloma monitorami, potajemnie kontrolować ukrytą sesję użytkownika i uruchamiać aplikacje w sposób niewidoczny, kraść zapisane hasła przeglądarki i pliki cookie oraz rejestrować wszystko, co jest wpisywane za pomocą klawiatury.
Trwałość i unikanie wykrycia
CrySome tworzy zaplanowane zadanie ponownego uruchamiania się co kilka minut i instaluje się jako usługa systemu Windows, która uruchamia się przy starcie i restartuje się w przypadku awarii. Kopiuje się do ukrytych folderów zapasowych, aby móc się odzyskać po usunięciu, oraz dodaje wpisy w rejestrze, aby uruchamiać się automatycznie przy starcie systemu Windows. RAT może modyfikować określone pliki systemowe, aby pozostać nawet po przywróceniu ustawień fabrycznych.
Ponadto CrySome ukrywa swoje pliki i blokuje je, aby nie można ich było usunąć, oraz uruchamia proces „obserwatora", który restartuje go w przypadku zatrzymania. Może oznaczyć się jako krytyczny proces systemowy i zablokować narzędziom bezpieczeństwa dostęp lub możliwość jego zatrzymania.
Dodatkowo RAT wyszukuje i kończy procesy antywirusowe, blokuje pliki instalacyjne programów antywirusowych, zatrzymuje usługi antywirusowe i uniemożliwia ich ponowne uruchomienie oraz wyłącza funkcje Microsoft Defender (takie jak ochrona w czasie rzeczywistym, ochrona w chmurze, skanowanie itp.). Może również całkowicie zablokować uruchamianie programów zabezpieczających.
| Nazwa | CrySome trojan zdalnej administracji |
| Typ Zagrożenia | Trojan zdalnego dostępu |
| Nazwy Wykrycia | Avast (Win32:MalwareX-gen [Misc]), Combo Cleaner (Gen:Variant.Application.Barys.65422), ESET-NOD32 (MSIL/Agent.FTF Trojan), Kaspersky (HEUR:Trojan-Spy.MSIL.Bobik.gen), Microsoft (Trojan:MSIL/Crysome!AMTB), Pełna lista (VirusTotal) |
| Objawy | Trojany zdalnego dostępu są zaprojektowane tak, aby potajemnie infiltrować komputer ofiary i pozostawać w ukryciu, dlatego na zainfekowanej maszynie nie są wyraźnie widoczne żadne szczególne objawy. |
| Możliwe Metody Dystrybucji | Zainfekowane załączniki e-mail, złośliwe reklamy internetowe, inżynieria społeczna, luki w oprogramowaniu, „cracki" oprogramowania. |
| Szkody | Kradzież haseł i informacji bankowych, kradzież tożsamości, komputer ofiary dodany do botnetu, dodatkowe infekcje, straty finansowe. |
| Usuwanie malware (Windows) |
Aby usunąć możliwe infekcje malware, przeskanuj komputer profesjonalnym oprogramowaniem antywirusowym. Nasi analitycy bezpieczeństwa zalecają korzystanie z Combo Cleaner. Pobierz Combo CleanerBezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk. |
Podsumowanie
CrySome daje atakującym kontrolę nad zainfekowanym urządzeniem i pozwala im kraść dane, szpiegować użytkowników oraz zdalnie wykonywać wiele złośliwych działań. Jest zaprojektowany tak, aby pozostawać w ukryciu i działać nieprzerwanie, wykorzystując silne metody trwałości, które utrudniają jego usunięcie nawet po ponownych uruchomieniach lub resetach systemu. Te możliwości czynią go niebezpiecznym zagrożeniem.
Więcej przykładów trojanów zdalnego dostępu to GHOSTFORM, KarstoRAT i Moonrise.
W jaki sposób CrySome przedostał się na mój komputer?
Złośliwe oprogramowanie, takie jak CrySome, jest powszechnie dostarczane za pośrednictwem zainfekowanych plików, w tym plików wykonywalnych, skompresowanych archiwów, skryptów oraz dokumentów, takich jak pliki PDF i pliki Office. Samo otwarcie tych plików lub podjęcie dodatkowych kroków może spowodować infekcję.
Cyberprzestępcy wykorzystują różne metody dystrybucji do rozprzestrzeniania złośliwego oprogramowania, w tym załączniki e-mail lub linki, fałszywe pliki do pobrania, luki w zabezpieczeniach, oszukańcze wiadomości wsparcia technicznego, złośliwe lub zhakowane strony internetowe, pirackie lub crackowane oprogramowanie, zwodnicze reklamy, zainfekowane nośniki wymienne, platformy wymiany peer-to-peer oraz zewnętrzne programy do pobierania.
Jak uniknąć instalacji złośliwego oprogramowania?
Otwieraj linki lub załączniki wyłącznie z zaufanych źródeł i zachowuj ostrożność w przypadku nieoczekiwanych wiadomości e-mail lub komunikatów, zwłaszcza jeśli pochodzą od nieznanych nadawców. Pobieraj aplikacje i oprogramowanie wyłącznie z oficjalnych stron internetowych lub zweryfikowanych sklepów z aplikacjami i unikaj korzystania z crackowanych programów, pirackiego oprogramowania lub generatorów kluczy.
Utrzymuj system operacyjny i wszystkie aplikacje w aktualnym stanie oraz unikaj interakcji z reklamami, wyskakującymi okienkami lub innymi treściami na niezaufanych stronach internetowych. Ponadto unikaj wyrażania zgody na otrzymywanie powiadomień od podejrzanych stron.
Jeśli uważasz, że Twój komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie wyeliminować złośliwe oprogramowanie.
Strona internetowa promująca CrySome (źródło: cyfirma.com):
Panel administracyjny CrySome (źródło: cyfirma.com):
Natychmiastowe automatyczne usunięcie malware:
Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:
POBIERZ Combo CleanerPobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.
Szybkie menu:
- Czym jest CrySome?
- KROK 1. Ręczne usuwanie złośliwego oprogramowania CrySome.
- KROK 2. Sprawdź, czy Twój komputer jest czysty.
Jak ręcznie usunąć złośliwe oprogramowanie?
Ręczne usuwanie złośliwego oprogramowania jest skomplikowanym zadaniem — zwykle лучше pozwolić programom antywirusowym lub antymalware zrobić to automatycznie. Aby usunąć to złośliwe oprogramowanie, zalecamy użycie Combo Cleaner Antivirus dla Windows.
Jeśli chcesz usunąć złośliwe oprogramowanie ręcznie, pierwszym krokiem jest zidentyfikowanie nazwy złośliwego oprogramowania, które próbujesz usunąć. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:
Jeśli sprawdziłeś listę programów uruchomionych na komputerze, na przykład za pomocą menedżera zadań, i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś kontynuować wykonując poniższe kroki:
Pobierz program o nazwie Autoruns. Program ten pokazuje automatycznie uruchamiane aplikacje, lokalizacje rejestru i systemu plików:
Uruchom ponownie komputer w trybie awaryjnym:
Użytkownicy systemów Windows XP i Windows 7: Uruchom komputer w trybie awaryjnym. Kliknij Start, kliknij Zamknij, kliknij Uruchom ponownie, kliknij OK. Podczas procesu uruchamiania komputera naciśnij kilkakrotnie klawisz F8 na klawiaturze, aż zobaczysz menu Opcje zaawansowane systemu Windows, a następnie wybierz z listy Tryb awaryjny z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 7 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 8: Uruchom system Windows 8 w trybie awaryjnym z obsługą sieci — przejdź do ekranu startowego systemu Windows 8, wpisz Zaawansowane, w wynikach wyszukiwania wybierz Ustawienia. Kliknij Zaawansowane opcje uruchamiania, w otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie.
Kliknij przycisk „Uruchom ponownie teraz". Komputer zostanie teraz ponownie uruchomiony i wyświetli „Menu zaawansowanych opcji uruchamiania". Kliknij przycisk „Rozwiązywanie problemów", a następnie kliknij przycisk „Opcje zaawansowane". Na ekranie opcji zaawansowanych kliknij „Ustawienia uruchamiania".
Kliknij przycisk „Uruchom ponownie". Komputer uruchomi się ponownie i wyświetli ekran ustawień uruchamiania. Naciśnij klawisz F5, aby uruchomić system w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 8 w „Trybie awaryjnym z obsługą sieci":
Użytkownicy systemu Windows 10: Kliknij logo Windows i wybierz ikonę Zasilanie. W otwartym menu kliknij „Uruchom ponownie", przytrzymując jednocześnie klawisz „Shift" na klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz „Opcje zaawansowane".
W menu opcji zaawansowanych wybierz „Ustawienia uruchamiania" i kliknij przycisk „Uruchom ponownie". W następnym oknie naciśnij klawisz „F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.
Film pokazujący, jak uruchomić system Windows 10 w „Trybie awaryjnym z obsługą sieci":
Wypakuj pobrane archiwum i uruchom plik Autoruns.exe.
W aplikacji Autoruns kliknij „Options" u góry i odznacz opcje „Hide Empty Locations" oraz „Hide Windows Entries". Po wykonaniu tej procedury kliknij ikonę „Refresh".
Sprawdź listę dostarczoną przez aplikację Autoruns i zlokalizuj plik złośliwego oprogramowania, który chcesz wyeliminować.
Zapisz jego pełną ścieżkę i nazwę. Należy pamiętać, że niektóre złośliwe oprogramowanie ukrywa nazwy procesów pod legalnymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy na jego nazwie i wybierz „Delete".
Po usunięciu złośliwego oprogramowania za pomocą aplikacji Autoruns (zapewnia to, że złośliwe oprogramowanie nie uruchomi się automatycznie przy następnym starcie systemu), należy wyszukać nazwę złośliwego oprogramowania na komputerze. Przed kontynuowaniem upewnij się, że ukryte pliki i foldery są włączone. Jeśli znajdziesz nazwę pliku złośliwego oprogramowania, pamiętaj, aby go usunąć.
Uruchom ponownie komputer w trybie normalnym. Wykonanie tych kroków powinno usunąć wszelkie złośliwe oprogramowanie z komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Jeśli nie posiadasz takich umiejętności, pozostaw usuwanie złośliwego oprogramowania programom antywirusowym i antymalware.
Te kroki mogą nie zadziałać w przypadku zaawansowanych infekcji złośliwym oprogramowaniem. Jak zawsze, лучше zapobiegać infekcji niż później próbować usuwać złośliwe oprogramowanie. Aby zapewnić bezpieczeństwo komputera, instaluj najnowsze aktualizacje systemu operacyjnego i korzystaj z oprogramowania antywirusowego. Aby upewnić się, że komputer jest wolny od infekcji złośliwym oprogramowaniem, zalecamy przeskanowanie go za pomocą Combo Cleaner Antivirus dla Windows.
Często zadawane pytania (FAQ)
Mój komputer jest zainfekowany złośliwym oprogramowaniem CrySome, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?
Chociaż pełny reset może usunąć CrySome, spowoduje wymazanie wszystkich plików z systemu. W większości przypadków należy najpierw spróbować użyć renomowanego programu zabezpieczającego, takiego jak Combo Cleaner.
Jakie są największe problemy, które może powodować złośliwe oprogramowanie?
Złośliwe oprogramowanie może uszkodzić lub usunąć pliki, wstrzyknąć dodatkowe złośliwe oprogramowanie, szpiegować ofiary i nie tylko. Może to prowadzić do poważnych konsekwencji, takich jak straty finansowe, kradzież danych i tożsamości, nieautoryzowany dostęp do kont, utrata danych i inne poważne problemy.
Jaki jest cel CrySome RAT?
CrySome RAT jest zaprojektowany do potajemnego szpiegowania użytkowników poprzez dostęp do ekranu, kamery internetowej, mikrofonu i aktywności systemu. Może również kraść wrażliwe dane, takie jak hasła, pliki, pliki cookie i informacje o systemie. Jednocześnie daje atakującym pełną zdalną kontrolę nad urządzeniem, pozostając w ukryciu i wyłączając narzędzia bezpieczeństwa.
W jaki sposób złośliwe oprogramowanie przedostało się na mój komputer?
Złośliwe oprogramowanie jest powszechnie dostarczane za pośrednictwem złośliwych plików wykonywalnych, archiwów, skryptów i dokumentów, które mogą zainfekować urządzenie po ich otwarciu lub uruchomieniu. Cyberprzestępcy wykorzystują złośliwe strony internetowe, wiadomości phishingowe z załącznikami lub linkami, fałszywe oszustwa wsparcia technicznego, luki w oprogramowaniu, crackowane programy, szkodliwe reklamy internetowe, zainfekowane nośniki USB, sieci wymiany peer-to-peer oraz niezaufane źródła pobierania od stron trzecich do dostarczania złośliwego oprogramowania.
Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?
Tak, Combo Cleaner jest w stanie wykryć i usunąć większość znanych infekcji złośliwym oprogramowaniem. Jednak niektóre zaawansowane zagrożenia mogą być głęboko ukryte w systemie, dlatego przeprowadzenie pełnego skanowania systemu jest ważne, aby zapewnić pełne wykrycie.
Udostępnij:
Facebook
X.com
LinkedIn
Skopiuj link
Tomas Meskauskas
Ekspert ds. bezpieczeństwa, profesjonalny analityk złośliwego oprogramowania
Jestem pasjonatem bezpieczeństwa komputerowego i technologii. Posiadam ponad 10-letnie doświadczenie w różnych firmach zajmujących się rozwiązywaniem problemów technicznych i bezpieczeństwem Internetu. Od 2010 roku pracuję jako autor i redaktor Pcrisk. Śledź mnie na Twitter i LinkedIn, aby być na bieżąco z najnowszymi zagrożeniami bezpieczeństwa online.
Portal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznęPortal bezpieczeństwa PCrisk jest prowadzony przez firmę RCS LT.
Połączone siły badaczy bezpieczeństwa pomagają edukować użytkowników komputerów na temat najnowszych zagrożeń bezpieczeństwa w Internecie. Więcej informacji o firmie RCS LT.
Nasze poradniki usuwania malware są bezpłatne. Jednak, jeśli chciałbyś nas wspomóc, prosimy o przesłanie nam dotacji.
Przekaż darowiznę
▼ Pokaż dyskusję