Jak usunąć 3Crypt RAT z komputera Mac

Jakim rodzajem malware jest 3Crypt RAT?

3Crypt RAT to trojan zdalnego dostępu atakujący systemy macOS. W momencie uruchomienia przeprowadza dokładne profilowanie zainfekowanej maszyny - zbiera identyfikatory sprzętowe, odczytuje ustawienia zabezpieczeń urządzenia, mapuje sieć i wylicza każdy uruchomiony proces. Następnie instaluje wiele mechanizmów utrwalania, aby przetrwać restarty, oraz wykorzystuje szereg technik unikania wykrycia, aby ukryć swoją aktywność zarówno przed użytkownikiem, jak i oprogramowaniem zabezpieczającym. Jeśli 3Crypt RAT zostanie wykryty na urządzeniu, powinien zostać usunięty jak najszybciej.

Przegląd 3Crypt RAT

Przy pierwszym uruchomieniu 3Crypt RAT natychmiast zaczyna tworzyć szczegółowy profil zainfekowanego Maca. Zbiera szczegóły sprzętowe, w tym nazwę modelu urządzenia, numer seryjny, UUID, model procesora, zainstalowaną pamięć RAM i kartę graficzną. Odczytuje również bieżący stan funkcji bezpieczeństwa wbudowanych w macOS: czy ochrona integralności systemu (SIP) jest aktywna, czy szyfrowanie dysku FileVault jest włączone i czy zapora systemowa jest uruchomiona. Daje to atakującemu natychmiastowy obraz tego, jak dobrze chroniony jest cel, zanim zostaną podjęte jakiekolwiek dalsze działania.

Rozpoznanie sieci odbywa się w tym samym czasie. RAT identyfikuje wszystkie dostępne interfejsy sieciowe, bramę domyślną, adresy serwerów DNS, lokalną tablicę ARP i wykonuje skanowanie otwartych portów na maszynie. Jednocześnie wykorzystuje niskopoziomowe interfejsy systemowe macOS do uzyskania pełnej listy wszystkich aktualnie uruchomionych procesów - jest to przygotowanie umożliwiające operatorowi potencjalne wstrzyknięcie kodu lub ingerencję w określone aplikacje.

Mechanizmy utrwalania

3Crypt RAT instaluje trzy osobne mechanizmy utrwalania, dzięki czemu przetrwa ponowne uruchomienie i pozostaje aktywny nawet w przypadku usunięcia jednej metody. Zapisuje i natychmiast ładuje plik listy właściwości LaunchAgent z identyfikatorem com.test.3crypt, ustawiając flagę RunAtLoad, aby macOS uruchamiał RAT automatycznie przy każdym logowaniu użytkownika.

Modyfikowane są również pliki inicjalizacji powłoki. Malware dopisuje ukryty znacznik do .zshrc, .bashrc i .bash_profile, zapewniając ponowne uruchomienie za każdym razem, gdy użytkownik otworzy sesję terminala. Trzecia warstwa utrwalania pochodzi z wpisu crontab - zaplanowanego zadania, które może uruchamiać RAT w regularnych odstępach czasu niezależnie od pozostałych mechanizmów.

Unikanie wykrycia

3Crypt RAT wykorzystuje kilka technik, aby uniknąć wykrycia i utrudnić analizę kryminalistyczną. Sprawdza ciąg nazwy procesora i analizuje wzorce alokacji pamięci, aby wykryć, czy działa wewnątrz maszyny wirtualnej lub zautomatyzowanego sandboxa bezpieczeństwa. Jeśli podejrzewa, że jest analizowany, może zmienić swoje zachowanie, aby uniknąć wyzwalania alarmów. Stosuje również środki anty-debugowe za pomocą wywołania systemowego ptrace, które uniemożliwia badaczom bezpieczeństwa podłączanie narzędzi analitycznych do uruchomionego procesu.

Aby utrudnić dochodzenie kryminalistyczne, RAT manipuluje znacznikami czasu plików za pomocą wywołania systemowego utimes, ukrywając rzeczywisty czas operacji na dysku. Wstrzykuje również fałszywe wpisy do dzienników systemowych, niszcząc ślad kryminalistyczny, na którym normalnie polegaliby śledczy. Wreszcie wykorzystuje osascript - wbudowane środowisko skryptowe macOS - do kontekstowego ukrywania się, co pozwala mu wtopić się w legalną aktywność systemową lub tłumić swoją widoczność w zależności od tego, co jeszcze działa na maszynie.

Podsumowanie

3Crypt RAT to wydajne i dobrze wyposażone narzędzie zdalnego dostępu, które daje atakującemu trwały, ukryty dostęp do zainfekowanego Maca. Poprzez fingerprinting sprzętu, enumerację procesów, rozpoznanie sieci i trójwarstwowe utrwalanie ustanawia solidny przyczółek na skompromitowanym urządzeniu. Jego techniki unikania wykrycia - w tym wykrywanie maszyn wirtualnych, anty-debugging, manipulacja znacznikami czasu i zatruwanie dzienników - sprawiają, że jest szczególnie trudny do wykrycia i analizy po fakcie.

Ofiary mogą doświadczyć kradzieży danych, przejęcia kont, kradzieży tożsamości, strat finansowych oraz możliwości dostarczenia dodatkowego malware przez ustanowiony backdoor. Ponieważ 3Crypt RAT działa w ukryciu, użytkownicy często nie mają żadnych oznak, że coś jest nie tak. Usunięcie powinno zostać przeprowadzone natychmiast po podejrzeniu infekcji.

Więcej przykładów malware atakującego macOS to Overlord, GolangGhost i Bella.

Jak 3Crypt RAT przeniknął na mój komputer?

Konkretne metody dystrybucji stosowane do rozprzestrzeniania 3Crypt RAT nie są obecnie znane. Ogólnie trojany zdalnego dostępu polegają na phishingu i inżynierii społecznej, aby dotrzeć do ofiar. Złośliwe programy są zazwyczaj podszywane pod legalne oprogramowanie lub media albo dołączane do nich, a samo otwarcie zainfekowanego pliku może wystarczyć do wywołania infekcji.

Typowe kanały dystrybucji obejmują złośliwe załączniki e-mail, trojany, pobieranie drive-by, podejrzane źródła pobierania, takie jak strony z darmowym oprogramowaniem i sieci Peer-to-Peer, pirackie oprogramowanie i media, nielegalne narzędzia aktywacji („cracki") oraz fałszywe monity o aktualizacjach oprogramowania. Niektóre złośliwe programy są również zdolne do samodzielnego rozprzestrzeniania się przez sieci lokalne i wymienne urządzenia pamięci masowej, takie jak dyski flash USB.

Jak uniknąć malware?

Należy zachować ostrożność w przypadku wiadomości e-mail, wiadomości bezpośrednich i plików z nieoczekiwanych lub nieznanych źródeł. Nie należy otwierać załączników ani klikać linków w podejrzanych wiadomościach. Oprogramowanie należy pobierać wyłącznie z oficjalnych źródeł, takich jak Mac App Store lub strona internetowa dewelopera, oraz unikać crackowanych aplikacji, generatorów kluczy i nieoficjalnych instalatorów. Należy regularnie aktualizować macOS i wszystkie zainstalowane aplikacje.

Należy unikać klikania wyskakujących reklam, podejrzanych linków lub powiadomień przeglądarki z nieznanych stron internetowych. Należy używać renomowanej aplikacji zabezpieczającej i regularnie przeprowadzać skanowanie systemu. Jeśli komputer jest już zainfekowany, zalecamy uruchomienie skanowania za pomocą Combo Cleaner Antivirus dla Windows, aby automatycznie usunąć wszystkie zagrożenia.

Natychmiastowe automatyczne usunięcie malware:

Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Combo Cleaner to profesjonalne narzędzie do automatycznego usuwania malware, które jest zalecane do pozbycia się złośliwego oprogramowania. Pobierz je, klikając poniższy przycisk:

Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem. Aby korzystać z w pełni funkcjonalnego produktu, musisz kupić licencję na Combo Cleaner. Dostępny jest 7-dniowy bezpłatny okres próbny. Combo Cleaner jest własnością i jest zarządzane przez RCS LT, spółkę macierzystą PCRisk.

Szybkie menu:

• Czym jest 3Crypt RAT?
• Usuwanie plików i folderów powiązanych z 3Crypt RAT z OSX.

Usuwanie potencjalnie niechcianych aplikacji:

Usuń potencjalnie niechciane aplikacje z folderu „Aplikacje":

Kliknij ikonę Finder. W oknie Finder wybierz „Aplikacje". W folderze aplikacji poszukaj „MPlayerX", „NicePlayer" lub innych podejrzanych aplikacji i przeciągnij je do Kosza. Po usunięciu potencjalnie niechcianych aplikacji powodujących reklamy online przeskanuj Maca w poszukiwaniu pozostałych niechcianych komponentów.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany malware 3Crypt RAT, czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Formatowanie całkowicie usunie 3Crypt RAT, ale jednocześnie wymaże wszystko, co jest przechowywane na urządzeniu. Przed podjęciem tak drastycznego kroku generalnie zaleca się najpierw wypróbowanie niezawodnego narzędzia bezpieczeństwa, takiego jak Combo Cleaner.

Jakie największe problemy może powodować malware 3Crypt RAT?

3Crypt RAT zapewnia atakującym trwały, ukryty zdalny dostęp do zainfekowanego Maca. Może to skutkować kradzieżą danych, przejęciem kont, kradzieżą tożsamości, stratami finansowymi oraz wdrożeniem dodatkowego malware. Ponieważ stosuje techniki unikania wykrycia i działa bez widocznych objawów, może pozostawać aktywny w systemie przez długi czas, zanim zostanie wykryty.

Jaki jest cel malware 3Crypt RAT?

Celem 3Crypt RAT jest zapewnienie atakującym stałego zdalnego dostępu do zainfekowanych urządzeń macOS. Poprzez profilowanie sprzętu, ustawień bezpieczeństwa, sieci i uruchomionych procesów zapewnia operatorowi szczegółową świadomość sytuacyjną i trwały przyczółek do dalszych ataków lub kradzieży danych.

Jak malware 3Crypt RAT przeniknęło na mój komputer?

Konkretne metody dystrybucji 3Crypt RAT nie są jeszcze znane. Malware jest zazwyczaj rozprzestrzeniane za pośrednictwem wiadomości phishingowych, strojanizowanych instalatorów, pirackiej zawartości, złośliwych reklam, fałszywych aktualizacji oprogramowania i cracków oprogramowania. Niektóre zagrożenia rozprzestrzeniają się również przez sieci lokalne lub wymienne urządzenia pamięci masowej.

Czy Combo Cleaner ochroni mnie przed malware?

Tak, Combo Cleaner może wykrywać i usuwać szeroki zakres zagrożeń. Jednak niektóre zaawansowane malware może ukrywać się głęboko w systemie, dlatego zdecydowanie zaleca się przeprowadzenie pełnego skanowania w celu zapewnienia całkowitego usunięcia.