如何從啟用Rootkit的Scranos惡意軟件中保護您的密碼

請注意,Scranos rootkit惡意軟件最近一直在運行,它可以通過偽造證書竊取您的密碼和用戶憑據,對您造成嚴重損害。但是,如果您已成為Scranos rootkit惡意軟件的受害者,請不要擔心。安全公司Bitdefender聲稱可以輕鬆刪除它。

對於那些不知道的人來說,rootkit惡意軟件是最困難和最無情的惡意軟件之一,你可能會遇到不幸的惡意軟件。 Scranos最近一直受到安全專家的關注,因為它已遍布全球。

如前所述,安全性Bitdefender是第一個發現Scranos使用帶有證書籤名的rootkit驅動程序的人,該證書最有可能竊取和竊取用戶密碼和數據。最初,Scranos在中國大部分地區運營,但最近惡意軟件似乎已經走向全球。根據Bitdefender的說法,目前大多數感染髮生在印度,羅馬尼亞,巴西,法國,意大利和印度尼西亞。

Scranos偽裝成合法的軟件或應用程序,如電子書閱讀器,視頻播放器,驅動程序,甚至安全軟件。一旦它進入你的機器,Scranos將安裝一個rootkit驅動程序以隱藏惡意軟件。 Scranos將與命令和控制(C&C)中心連接,後者將開始下載其餘組件。 Scranos惡意軟件已在所有最新版本的Windows上找到,可以追溯到Windows XP。在使用Windows 10和7的機器上發現了最大的Scranos rootkits,這並不奇怪。

Bitdefender報告稱他們收集了Scranos rootkit惡意軟件樣本,其中一些可追溯到2018年11月。惡意軟件在2018年12月和2019年1月達到頂峰。然後,3月份C&C中心開始傳播其他惡意軟件,這可能意味著該網絡已開始與第三方合作進行按次付費安裝詐騙。

Scranos有什麼危險?

斯克拉諾斯不是開玩笑。它可以執行各種攻擊,例如:

  1. 從所有流行的瀏覽器中提取Cookie並竊取用戶名和密碼,例如Google Chrome,Mozilla Firefox,Opera,Microsoft Edge,Internet Explorer和其他瀏覽器
  2. 從Facebook,亞馬遜和Airbnb獲取支付賬戶。
  3. 在您不知情的情況下,通過Facebook帳戶向其他帳戶發送好友請求。
  4. 向您的Facebook好友發送網上誘騙郵件。
  5. Steam帳戶的Pilfer用戶名和密碼。
  6. 在Internet Explorer中管理JavaScript廣告軟件。
  7. 為Chrome和Opera添加擴展程序,以使用JavaScript廣告軟件感染它們。
  8. 監視您的瀏覽歷史記錄。
  9. 向Chrome用戶隱藏地展示廣告或靜音YouTube視頻。
  10. 安裝Chrome(如果尚未安裝)。
  11. 訂閱特定的YouTube視頻頻道。
  12. 下載並運行惡意負載。
  13. rootkit的嫌疑人簽名似乎屬於雲宇健康管理諮詢(上海)有限公司。儘管在撰寫本文時尚未撤銷證書,但已通知有關當局。

如何檢測和刪除Scranos和其他rootkit惡意軟件。

Rootkit惡意軟件相當頑固,因此它們通常需要非常具體的步驟來檢測和刪除它們。 Scranos本身可以刪除,但過程相當複雜. 請按照以下步驟操作,您應該能夠從計算機中刪除這個討厭的惡意軟件。

      1. 如果瀏覽器已打開,請將其關閉。
      2. 關閉從臨時路徑運行的所有進程。
      3. 刪除檢測為惡意的所有文件。
      4. 關閉rundll32.exe進程。
      5. 創建rootkit文件名,如下所示:
        - 獲取當前用戶的SID。
        - 計算由a)產生的字符串的MD5。
        - 從b)獲取前12個字符
      6. 執行具有管理員權限的cmd或PowerShell窗口並鍵入:
        > sc stop sc delete轉到%WINDIR%\ System32 \ drivers並蒐索名為.sys的文件並刪除該文件。
      7. 刪除DNS驅動程序(下面,MOIYZBWQSO應替換為您的特定驅動程序名稱):
        - 確保安裝了DNS驅動程序:%TEMP%應該是一個包含10個隨機大寫字母的文件(例如:MOIYZBWQSO.sys)。在註冊表中,還應該有一個與名稱對應的鍵(例如:HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ MOIYZBWQSO)
        - 運行具有管理員權限的cmd或PowerShell窗口並鍵入:
        “sc停止MOIYZBWQSO”
        “sc刪除MOIYZBWQSO”
        - 刪除文件%TEMP%\ MOIYZBWQSO.sys
      8. 重新啟動PC以從svchost.exe進程中刪除注入的代碼。
      9. 從您的瀏覽器中刪除所有可疑擴展程序。
      10. 更改所有密碼以防萬一。

July 16, 2019

發表評論

重要!若要繼續到下一步,請完成以下簡單的數學問題。
Please leave these two fields as is:
10 + 9是什麼?