Come disinstallare il malware HabitsRAT dalla macchina infetta?
Scitto da Tomas Meskauskas il (aggiornato)
Come disinstallare il malware HabitsRAT
Cos'è HabitsRAT?
Un Trojan di amministrazione remota (RAT) è un software dannoso che offre agli aggressori la possibilità di accedere e controllare i dispositivi infetti da remoto. È noto che la maggior parte dei criminali informatici utilizza i RAT per rubare informazioni sensibili, file e (o) distribuire altro malware. La ricerca mostra che HabitsRAT è il nome di un RAT scritto nel linguaggio di programmazione Go. I criminali informatici possono utilizzare questo malware per attaccare sia gli utenti Windows che quelli Linux. Tuttavia, HabitsRAT potrebbe essere compatibile con altri sistemi operativi in futuro.
È noto che finora ci sono almeno due versioni di HabitsRAT. L'unica differenza principale tra la versione precedente e quella più recente è che la versione più recente utilizza più indirizzi per comunicare tramite il server Command and Control (C2) e diverse chiavi pubbliche C2 per crittografare e autenticare i comandi ricevuti dal server. Come accennato nel primo paragrafo, la maggior parte dei criminali informatici utilizza i RAT per rubare informazioni personali, file e installare malware aggiuntivo. Dipende dalle capacità del RAT installato sulla macchina. Di solito, i criminali informatici prendono di mira informazioni quali i dettagli della carta di credito (come il numero della carta di credito, il nome del titolare della carta, la data di scadenza, il codice di sicurezza o CVV), i numeri di previdenza sociale, le credenziali di accesso (nomi utente, indirizzi e-mail, password), numero di conto bancario, nome, cognome, numero di telefono, ecc. Tentano di ottenere informazioni che potrebbero essere utilizzate per rubare identità, account personali (ad esempio, e-mail, social media, conti bancari), effettuare acquisti fraudolenti, transazioni, fornire malware (ad esempio, inviare malspam utilizzando e-mail rubate conti). È comune che i criminali informatici rubino informazioni per venderle a terzi (ad altri criminali informatici). Vale la pena ricordare che i RAT spesso raccolgono dati registrando le sequenze di tasti (registrando i tasti premuti).
È anche comune che i criminali informatici utilizzino i RAT installati per installare malware aggiuntivo, come, ad esempio, ransomware. Il ransomware è un tipo di malware che crittografa i file e li mantiene inaccessibili a meno che le vittime non li decifrino con uno specifico strumento di decrittografia. Di norma, è impossibile decrittografare i file senza strumenti che solo gli aggressori possono fornire. Inoltre, i criminali informatici possono utilizzare i RAT per l'installazione di minatori di criptovalute o altro software indesiderato. È interessante notare che un gran numero di trojan di amministrazione remota possono accedere al microfono, alla webcam, acquisire schermate, gestire (ad esempio, eliminare, spostare, rinominare, copiare) file, eseguire comandi tramite Prompt dei comandi e (o) PowerShell ed eseguire altre azioni. Ad ogni modo, le vittime che hanno un RAT come HabitsRAT installato sui loro computer dovrebbero disinstallarlo immediatamente.
Nome | Trojan di accesso remoto HabitsRAT |
Tipo di minacia | Trojan di amministrazione remota, spyware. |
Nomi rilevati | Avast (Win64:Trojan-gen), BitDefender (Trojan.GenericKD.46016584), ESET-NOD32 (Una variante di WinGo/Agent.AJ), Kaspersky (Trojan.Win64.Agent.qwhwlu), Microsoft (Trojan:Win32/Tiggre!rfn), Lista completa (VirusTotal) |
Sintomi | I trojan di accesso remoto sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere in silenzio, quindi nessun sintomo particolare è chiaramente visibile su una macchina infetta. |
Metodi distributivi | Allegati email infetti, pubblicità online dannose, ingegneria sociale, "crack" del software. |
Danni | Password e informazioni bancarie rubate, furto di identità, perdita di dati, installazione di malware aggiuntivo |
Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
In conclusione, un RAT è un tipo di malware che i criminali informatici utilizzano per accedere e controllare i computer infetti da remoto (tramite il server C2). Nella maggior parte dei casi, gli utenti che installano inconsapevolmente malware di questo tipo sui propri computer diventano vittime di furti di identità, perdono file, denaro, non possono accedere ad account personali e (o) incontrano altri seri problemi. È normale che i RAT installati siano in esecuzione in background, silenziosamente, senza destare sospetti. Pertanto, le vittime spesso non sono consapevoli del fatto che sul loro computer è installato un RAT fino a quando non notano transazioni non autorizzate, non possono accedere ai propri account, ecc. Altri esempi di RAT sono AndroRAT, Spectre, e DarkCrystal. È importante sapere che esistono strumenti di amministrazione remota legittimi. Tuttavia, possono essere utilizzati anche dai criminali informatici per scopi dannosi.
In che modo HabitsRAT si è infiltrato nel mio computer?
È comune che i criminali informatici distribuiscano malware tramite malspam (spam dannoso), canali non affidabili per il download di file, programmi, strumenti di attivazione software non ufficiale ("cracking") e falsi programmi di aggiornamento. Nel primo caso, i criminali informatici inviano malware tramite allegati di posta elettronica o collegamenti di download (siti Web) per file dannosi. La maggior parte delle volte inviano e-mail che sembrano lettere ufficiali e contengono alcuni documenti importanti. Il loro scopo principale è indurre i destinatari ad aprire un documento Microsoft Office dannoso, un file eseguibile (come .exe), ZIP, RAR o un altro file di archivio, file JavaScript, documento PDF o un altro file dannoso.
I download da fonti discutibili e inaffidabili possono essere utilizzati anche per distribuire malware. Di solito sono file che sembrano file regolari e legittimi. Per indurre gli utenti a scaricarli, i criminali informatici utilizzano reti peer-to-peer (ad esempio client torrent, eMule), downloader di terze parti, siti Web di hosting di file gratuiti, pagine di download freeware, siti Web non ufficiali. Gli utenti installano malware sui propri computer dopo aver aperto / eseguito quei file. Gli strumenti di attivazione del software non ufficiali sono noti anche come "cracking". Questi strumenti dovrebbero attivare illegalmente il software per gli utenti senza doverlo pagare. Tuttavia, è comune che questi strumenti siano forniti da criminali informatici che li raggruppano con malware. Pertanto, gli utenti che tentano di attivare software con strumenti di "cracking" spesso finiscono per avere i loro computer infetti. Gli aggiornamenti software falsi infettano i sistemi operativi installando software dannoso invece di aggiornare o riparare quello installato o sfruttando bug e difetti di software obsoleto.
Come evitare l'installazione di malware?
Il software installato non deve essere attivato o aggiornato e attivato con strumenti non ufficiali di terze parti. Molto spesso, questi strumenti sono progettati per installare malware (non attivano né aggiornano il software). Un altro problema con gli strumenti di attivazione di terze parti è che è illegale utilizzarli per attivare il software con licenza. Il software installato deve essere aggiornato e attivato (se necessario) con lo strumento, funzioni fornite dagli sviluppatori ufficiali. Inoltre, i collegamenti ai siti Web e i file (allegati) nelle email non pertinenti ricevute non devono essere aperti. Lo stesso vale per i file, i collegamenti nelle e-mail inviate da indirizzi sconosciuti e sospetti. È perché le e-mail di questo tipo tendono ad essere utilizzate per fornire malware. File e programmi devono essere scaricati dalle pagine ufficiali e solo tramite collegamenti diretti. Siti Web non ufficiali, downloader (e installatori) di terze parti, pagine eb di hosting di file gratuito e così via sono comunemente usati come canali per distribuire malware (file dannosi). Il sistema operativo dovrebbe essere scansionato regolarmente alla ricerca di minacce e dovrebbe essere fatto utilizzando un antivirus affidabile o un software anti-spyware. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu:
- Cos'è HabitsRAT?
- STEP 1. Rimozione manuale di HabitsRAT malware.
- STEP 2. Controlla se il tuo computer è pulito.
Come rimuovere un malware manualmente?
La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner. Se si desidera rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando task manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:
Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:
Riavvia il tuo computer in modalità provvisoria:
Windows XP e Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "modalità provvisoria con rete":
Windows 8: Vai alla schermata di avvio di Windows 8, digita Avanzato, nei risultati della ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC", selezionare Avvio. Fare clic sul pulsante "Riavvia ora". Il vostro computer ora riavvierà. in "Opzioni del menu di avvio avanzate." Fai clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fare clic su "Impostazioni di avvio". Fai clic sul pulsante "Restart". Il PC si riavvia nella schermata Impostazioni di avvio. Premere "F5" per l'avvio in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate". Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.
Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare ogni file appartenente al malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascoste prima di procedere. Se trovi dei file del malware assicurati di rimuoverli.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti essere in grado di rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware. Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware in seguito. Per proteggere il computer, assicurati di installare gli aggiornamenti del sistema operativo più recenti e utilizzare un software antivirus.
Per essere sicuri che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.
▼ Mostra Discussione