Złodziej Baldr

Znany również jako: Malware Baldr
Typ: Trojan
Dystrybucja: Niska
Poziom zniszczenia: Silny

Poradnik usuwania wirusa Baldr

Czym jest Baldr?

Złodziej Baldr (znany również jako Trojan:MSIL/Darbl.A) to złośliwy program przeznaczony do kradzieży różnych danych. Jest to narzędzie, które cyberprzestępcy mogą kupić na forach hakerskich w celu generowania przychodów poprzez niewłaściwe wykorzystanie zebranych (skradzionych) informacji. Z reguły przedstawiają ten program jako narzędzie, które można wykorzystać do różnych celów. W czasie badań był promowany za pomocą oszukańczych filmów CS:GO. Oznacza to, że był prezentowany jako program, który miał pozwolić użytkownikom na oszukiwanie w tej konkretnej grze. Jest to jeden ze sposobów, w jaki cyberprzestępcy oszukują ludzi do jego pobrania i zainstalowania.

Baldr malware

Baldr jest narzędziem, które może zostać zakupione przez każdego za 150 $. Cyberprzestępcy rozpowszechniają je w celu kradzieży różnych danych przeglądarki, takich jak pliki cookies, hasła, historia przeglądania, formularze autouzupełniania itd. Dodatkowo jest w stanie wykradać pliki wallet.dat tworzone przez klientów Bitcoin. Pliki te są używane do przechowywania w nich informacji o kluczu prywatnym. Baldr zapisuje również dane z aplikacji do przesyłania wiadomości, takich jak Jabber, Psi +, Psi i Pidgin, zbiera dane od klientów VPN, takich jak NordVPN i ProtoVPN, zbiera zapisy z Filezilla i Total Commander. Ponadto może służyć do kradzieży plików umieszczonych na Pulpicie, w folderach Dokumenty i Pliki do pobrania. Może być również używany do tworzenia zrzutów ekranu. Ponadto Baldr zbiera informacje o systemie, takie jak geolokalizacje, adresy IP, nazwę komputera i nazwę użytkownika, szczegóły systemu, takie jak adres MAC, rozdzielczość ekranu, język systemu operacyjnego, ilość dodanej pamięci RAM, listę zainstalowanych programów i inne informacje tego typu. Większość skradzionych danych może zostać niewłaściwie wykorzystana do generowania przychodów na wiele sposobów. Osoby, które posiadają go zainstalowanego, mogą napotkać poważne problemy z prywatnością, bezpieczeństwem przeglądania, straty finansowe i inne problemy. Jeśli zostanie zainstalowane to złośliwe narzędzie, należy je natychmiast odinstalować. Jeśli zainstalowany jest Baldr, można go zidentyfikować jako nieznany proces uruchomiony w Menedżerze zadań. W naszym przykładzie powyżej nazwa procesu jest ciągiem sumy okupu i liter ("211d67b463f54b3fa1c0a2ab253ec186.exe", nazwa pliku to"Private_Cheat by pc_Ret v8.exe").

Podsumowanie zagrożenia:
Nazwa Malware Baldr
Typ zagrożenia Trojan, wirus kradnący hasła, malware bankowe, spyware
Nazwy wykrycia (Private_Cheat by pc_Ret v8.exe) Avast (Win32:TrojanX-gen [Trj]), BitDefender (AIT:Trojan.Nymeria.1583), ESET-NOD32 (wariant Win32/Spy.Baldr.B), Kaspersky (HEUR:Trojan.Win32.Generic), pełna lista (VirusTotal)
Nazwa(y) złośliwego procesu random string
Objawy Trojany są zaprojektowane do podstępnej infiltracji komputera ofiary i pozostawania cichymi, w wyniku czego na komputerze ofiary nie ma jasno widocznych konkretnych objawów.
Metody dystrybucji Zainfekowane załączniki e-maila, złośliwe ogłoszenia internetowe, inżynieria społeczna, złamane oprogramowanie, fałszywe oszustwa gier komputerowych.
Zniszczenie Skradzione informacje bankowe, hasła, kradzież tożsamości, komputer ofiary dodany do botnetu.
Usuwanie

Aby wyeliminować Malware Baldr, nasi badacze malware zalecają przeskanowanie twojego komputera Spyhunter.
▼ Pobierz Spyhunter
Bezpłatny skaner sprawdza, czy twój komputer jest zainfekowany. Aby usunąć malware, musisz zakupić pełną wersję Spyhunter.

Jest wiele szkodliwych programów rozsyłanych przez cyberprzestępców w celu kradzieży danych osobowych. Niektórymi przykładami narzędzi, które działają podobnie, są Evital, CryptoStealer, IcedID i Ave Maria. Różne programy mogą być zaprojektowane do kradzieży różnych danych, jednak posiadanie komputera zainfekowanego szkodliwym programem tego typu zazwyczaj prowadzi do mniej więcej tych samych problemów (strat finansowych, problemów z prywatnością itd.).

Jak Baldr przeniknął do mojego komputera?

Jak wspomniano na początku, w czasie badań niektórzy cyberprzestępcy promowali Baldr poprzez oszukańcze filmy CS:GO. Oznacza to, że był przebrany za narzędzie, które w jakiś sposób pozwalało użytkownikom oszukiwać w tej konkretnej grze. Istnieją jednak inne sposoby rozsyłania takich infekcji komputerowych. Dość często cyberprzestępcy wysyłają wiadomości e-mail (kampanie spamowe). Dołączają złośliwe pliki i mają nadzieję, że przynajmniej niektórzy odbiorcy je otworzą. Zazwyczaj są to pliki JavaScript, dokumenty Microsoft Office lub PDF, archiwa takie jak ZIP, RAR, pliki wykonywalne (.exe) itd. Po otwarciu pobierają i instalują szkodliwe programy. Trojany są infekcjami komputerowymi zaprojektowanymi do rozsyłania (pobierania i instalowania) innych programów tego typu. Mogą być używane do rozsyłania takich narzędzi, jak Baldr. Narzędzia do łamania oprogramowania, jeśli są używane, zamiast aktywować niektóre programy, często również powodują infekcje komputerowe. Innym sposobem pobierania i instalowania szkodliwych programów jest wykorzystywanie niewiarygodnych źródeł pobierania oprogramowania, takich jak nieoficjalne strony, programy do pobierania stron trzecich, sieci peer-to-peer itd. Cyberprzestępcy często wykorzystują te źródła jako narzędzia do przedstawiania swoich szkodliwych plików jako legalne. Innymi słowy, skłaniają użytkowników do samodzielnego pobierania i instalowania malware.

Jak uniknąć instalacji malware?

Nie otwieraj załączników ani linków internetowych zawartych w wiadomościach e-mail otrzymywanych z podejrzanych, nieznanych adresów. Wiadomości te są zazwyczaj prezentowane jako oficjalne i ważne, jednak w większości przypadków są nieistotne. Nie należy im ufać. Pobieraj oprogramowanie z oficjalnych witryn i korzystaj z bezpośrednich linków. Aktualizuj zainstalowane oprogramowanie za pomocą wbudowanych funkcji lub narzędzi dostarczanych wyłącznie przez oficjalnych programistów. Nie aktywuj oprogramowania za pomocą narzędzi, które mają ominąć płatne aktywacje. Narzędzia te nie tylko powodują infekcje komputerowe, ale także są nielegalne. Miej zainstalowane i zawsze uruchomione renomowane oprogramowanie antywirusowe lub antyszpiegowskie. Narzędzia te zazwyczaj dobrze wykrywają i eliminują zagrożenia, zanim będą one mogły wyrządzić jakiekolwiek szkody w systemie operacyjnym. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy przeprowadzenie skanowania za pomocą  Spyhunter, aby automatycznie wyeliminować infiltrujące malware.

Zrzut ekranu dewelopera sprzedającego Baldr na forum hakerskim:

baldr sold on hacking forums for 150

Natychmiastowe automatyczne usunięcie Malware Baldr: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Malware Baldr. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Jak manualnie usunąć malware?

Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie  Spyhunter. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:

malicious process running on user's computer sample

Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:

manual malware removal step 1 Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:

screenshot of autoruns application

manual malware removal step 2Uruchom ponownie swój komputer w trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

 

manual malware removal step 3Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.

extract autoruns.zip and run autoruns.exe

manual malware removal step 4W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".

Click 'Options' at the top and uncheck 'Hide Empty Locations' and 'Hide Windows Entries' options

manual malware removal step 5Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.

Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń"

locate the malware file you want to remove

Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.

searching for malware file on your computer

Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.

Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Spyhunter.