Lielākā daļa ļaunprātīgas programmatūras veidu ir izstrādātas, lai nozagtu jūsu akreditācijas datus, tostarp sensitīvu informāciju, piemēram, jūsu kredītkartes informāciju un personas identitāti, un pat nolaupītu jūsu failus. Ļaunprātīga programmatūra parasti iekļūst personas datorā diskrēti, bieži izmantojot e-pasta pielikumus vai biežāk, izmantojot sociālās inženierijas uzbrukumus.
Viens no īpaši satraucošajiem ļaunprātīgas programmatūras veidiem ir FickerStealer — izplatīta informācijas zagšanas programmatūra, kas tiek izplatīta kopš 2020. gada. Tātad, kas tas ir? Ko tas dara? Un, ja jūs esat ietekmēts, ko jūs varat darīt?
Kas ir FickerStealer?
FickerStealer pirmo reizi tika atklāts 2020. gada augustā tumšajā tīmeklī. Tas ir populārs informācijas zaglis, kas galvenokārt paredzēts Windows sistēmām un kas pirmo reizi tika pārdots kā a malware-as-a-service (MaaS) programma Telegram par aptuveni 200 USD. Tajā laikā FickerStealer bija pieejams ar dažādām iespējām, un cena sasniedza 900 USD.
FickerStealer var nozagt sensitīvu informāciju, kas glabājas upura datorā, tostarp:
- Kriptovalūtas maku adreses.
- Paroles no tīmekļa pārlūkprogrammām.
- Kredītkartes dati.
- SSH paroles vai FTP pieteikšanās informācija.
- Datora pieteikšanās paroles.
- Visi akreditācijas dati, ko saglabā Windows akreditācijas datu pārvaldnieks.
FickerStealer reklamēja sevi, apgalvojot, ka tas var nozagt sensitīvu informāciju no vairāk nekā 40 pārlūkprogrammām, tostarp visām populārajām pārlūkprogrammām, piemēram, Chrome, Opera, Firefox un Edge.
Kad ļaunprogrammatūra uzlauza pārlūkprogrammu, tā varēja nozagt datus un nosūtīt tos atpakaļ ļaunprātīgas programmatūras sūtītājam. Ja izmantojāt FTP klientu vai e-pasta lietotni, piemēram, Outlook vai Thunderbird, FickerStealer varēja nozagt informāciju arī no tiem.
Un tas spēj apkopot visu informāciju no jūsu datora, tostarp procesoru, instalētajām lietojumprogrammām, CPU lietojumu, kā arī varēja uzņemt ekrānuzņēmumus.
FickerStealer tika uzrakstīts Rust and Assembly, programmēšanas valodās, kas ir neticami efektīvas un ātri ielādējas. Rūsa pati par sevi ir diezgan sarežģīta valoda, kas nedaudz apgrūtina reverso inženieriju.
Pircēji varētu piekļūt tīmekļa panelim, kas ļautu viņiem pārskatīt visu informāciju, ko viņi ir nozaguši upuriem.
Kā FickerStealer inficē jūsu datoru?
Tāpat kā lielākā daļa ļaunprātīgas programmatūras, FickerStealer tika izplatīta, izmantojot dažādas metodes.
E-pasta surogātpasta kampaņas
Šie e-pasta ziņojumi bieži tiek rūpīgi maskēti, lai piedāvātu kaut ko vērtīgu, un, ja kāds nenojaušams cilvēks lejupielādē pielikumu, ļaunprogrammatūra tiek uzreiz ievadīta failu sistēmā. Tas ir viens no izplatītākie ļaunprogrammatūras izplatīšanās veidi.
Šie e-pasta ziņojumi bieži tiek slēpti, lai tie izskatītos svarīgi, un tie var šķist pat oficiāli. Tajos ir pielikumi, kas ir slēpti kā šķietami nekaitīgi faili, tostarp .zip vai .rar pielikumi. Bet, tiklīdz persona tos lejupielādē, tā izpilda skriptu, kas inficē viņu ierīci.
Neoficiālas uzlauztas programmatūras lejupielādes
Kaitīga ļaunprātīga programmatūra, piemēram, FickerStealer, parasti tiek izplatīta, izmantojot "uzlauztas" vai riskantas programmatūras lejupielādes. Daudzi cilvēki lejupielādē uzlauztas programmatūras no neoficiāliem avotiem, piemēram, spoguļu vai straumju mitināšanas.
Vairumā gadījumu šīs programmas ir inficētas ar ļaunprātīgu programmatūru, piemēram, FickerStealer. Lai veicinātu vairāk lejupielāžu, ļaunprātīgi dalībnieki bieži apgalvo, ka piedāvā uzlauztas tādas populāras programmatūras versijas kā Microsoft Office vai jaunas videospēles. Vienmēr ir svarīgi rūpīgi pārbaudiet svarīgas lietas, pirms lejupielādējat failus tiešsaistē, piemēram, vietnes autentiskums.
FickerStealer varētu arī viegli izplatīties, izmantojot neoficiālus programmatūras aktivizācijas rīkus. Tie tiek izmantoti pirātismam, un tie ir paredzēti, lai noņemtu DRM ierobežojumus un ļautu cilvēkiem izmantot ierobežotu programmatūru bez licences atslēgas.
Izplatīts piemērs ir Keygen vai atslēgu ģenerators. Tie bieži satur ļaunprātīgus failus un var inficēt jūsu datoru, tiklīdz palaižat programmu.
FickerStealer tika plaši izplatīts šādā veidā. Tā kā tā tika pārdota kā MaaS, ļaunprātīgiem dalībniekiem bija iespēja pielāgot programmas iespējas, pamatojoties uz to, kā viņi vēlējās to izplatīt.
Kas padarīja FickerStealer tik populāru?
Atšķirībā no parastās ļaunprogrammatūras, tas tika pārdots kā pakalpojums. Tātad, tiklīdz pircējs panāks darījumu, viņš saņems pielāgoto ļaunprātīgas programmatūras pakotni, tostarp servera iestatījumus un izpildāmo failu.
Ļaunprātīgas programmatūras izplatītājam bija nepieciešama arī C&C (komandu un kontroles) servera adrese, lai viņi varētu pielāgot ļaunprātīgas programmatūras kodu saziņai ar pircēja serveri.
Tā kā FickerStealer nav nekādu atkarību, tas varētu darboties bez papildu bibliotēku lejupielādes, padarot to neticami ātru. Un atšķirībā no citām ļaunprātīgām programmām tā nepaļāvās uz HTTP protokolu, lai sazinātos ar C&C serveri.
Sakari tika pilnībā šifrēti klienta pusē, izmantojot XOR rotāciju, tāpēc datus parasti bija grūti atšifrēt. Vēl svarīgāk ir tas, ka FickerStealer nekad neglabāja žurnālus.
Tiklīdz ļaunprogrammatūra nozaga datus, tā tikai pārsūtīs tos uz C&C serveri, padarot to daudz grūtāk atklāt. Parastā ļaunprogrammatūra parasti ieraksta datus un saglabā tos pagaidu mapē pirms to nosūtīšanas uz C&C serveri.
Kā noņemt FickerStealer
FickerStealer galvenokārt ir paredzēts Windows sistēmām, tāpēc šādi ieteikumi galvenokārt ir paredzēti lietotājiem, kuri izmanto šo sistēmu.
Izmantojiet spēcīgu pretvīrusu lietotni
Pretvīrusu aizsardzība ir nepieciešama, lai atklātu, ievietotu karantīnā un noņemtu no datora ļaunprātīgu programmatūru. Ir vairāki populāras pretvīrusu programmas operētājsistēmai Windows 11, un datora aizsardzībai ir ļoti ieteicams izmantot cienījamu, piemēram, Kaspersky.
Ja jūsu dators ir inficēts ar FickerStealer, jūsu antivīruss to atklās un noņems inficētos failus. Tas, iespējams, ir vissvarīgākais solis, jo ļaunprātīgas programmatūras gadījumā profilakse ir labākais līdzeklis.
Pretvīrusu lietotnes periodiski skenē jūsu datoru, lai atklātu jebkādu ļaunprātīgu programmatūru vai kaitīgas programmas, piemēram datoru tārpi, un pēc tam ievieto karantīnā inficētos failus.
Formatējiet savu failu sistēmu
Parasti šī metode nav ieteicama, taču, ja jūsu datorā nav sensitīvu failu un jums ir jāatbrīvojas no FickerStealer, iespējams, vēlēsities apsvērt iespēju formatēt cieto disku. Tomēr šim patiešām vajadzētu būt pēdējam pasākumam, kuru apsverat.
Formatējot disku, tiks noņemti visi diskā esošie faili, tostarp operētājsistēma (ja tā ir tajā pašā diskdzinī), tāpēc, iespējams, jums būs jāpārstartē un vēlreiz jāinstalē operētājsistēma.
Esiet droši, pārlūkojot tīmekli
Ļaunprātīga programmatūra bieži izplatās, izmantojot aizdomīgus failus un e-pasta pielikumus. Ir svarīgi izvairīties no neuzticamu failu lejupielādes datorā, jo īpaši no neoficiāliem avotiem.
Turklāt, ja saņemat e-pastu no neoficiāla avota, esiet ļoti piesardzīgs, atverot to. Lielākajai daļai e-pasta pakalpojumu sniedzēju tagad ir iebūvēti ļaunprātīgas programmatūras skenēšanas rīki, tāpēc jūs saņemsit paziņojumu, ja fails ir inficēts.
Un, ja pievienojat jaunu iekšējo disku — cietvielu vai cieto disku, noteikti formatējiet to, pirms sākat to lietot.
