Cómo deshacerse del malware TrickBot (04.27.24)

Los piratas informáticos se están volviendo más creativos en el diseño de software malicioso para hacerlos más poderosos, más peligrosos y más efectivos. Un malware que roba contraseñas o registra las actividades de su teclado ahora parece elemental. Debe estar al nivel de un ransomware o un cripto-minero para poder destacarse en esta industria competitiva.

Debido a esta tendencia, las entidades de malware siguen volviéndose más agresivas y complicadas con el tiempo. va por. Un ejemplo perfecto es el malware TrickBot. Este malware fue diseñado para comprometer correos electrónicos y existe desde hace bastante tiempo. De hecho, el malware TrickBot ha comprometido 250 millones de cuentas de correo electrónico hasta ahora.

El malware TrickBot existe desde 2016. Pero en lugar de disminuir o desaparecer, el malware se mantuvo fuerte y ha evolucionado a lo largo de los años. Incluso se considera una de las principales amenazas dirigidas a las empresas en la actualidad. En los últimos años, el malware ha evolucionado y ha agregado nuevas funciones que lo hacen mucho más aterrador de lo que solía ser.

¿Qué puede hacer el malware TrickBot?

TrickBot es originalmente un troyano bancario, al igual que el malware Emotet . Está diseñado para robar información bancaria y otra información financiera de la computadora infectada. Por lo general, se propaga a través de correos electrónicos de spear phishing enviados al personal desprevenido de organizaciones o empresas. Por ejemplo, podría disfrazarse como un currículum vitae falso enviado por un solicitante al personal de reimgs humanos o una factura falsa enviada al departamento de contabilidad. El malware TrickBot se esconde en el archivo infectado de Microsoft Word o Excel adjunto al correo electrónico.

Una vez que el malware entró, se puede propagar fácilmente a través de la organización de muchas formas. La forma más sencilla es explotar las vulnerabilidades en el Bloque de mensajes del servidor (SMB), un protocolo de intercambio de archivos utilizado por las empresas. Permite a los usuarios de Windows en la misma red compartir y acceder a archivos fácilmente.

Según los expertos en seguridad de DeepInstinct, TrickBot se ha convertido en una "amenaza robusta, elaborada y sofisticada, con múltiples propósitos para varios tipos de actividad." Descubrieron una variante del malware TrickBot, llamado TrickBooster, un módulo de distribución malicioso basado en correo electrónico que recopila correos electrónicos y contactos de la libreta de direcciones y las cuentas de correo electrónico de la computadora infectada. Luego, el malware envía correos electrónicos no deseados desde la cuenta de correo electrónico del usuario y elimina los mensajes enviados para evitar la detección. Así es como el malware se propaga rápidamente y recolecta cuentas de correo electrónico con fines de monetización.

En resumen, el malware TrickBot funciona en cuatro etapas:

  • La computadora de la víctima se infecta con TrickBot y recibe instrucciones del servidor de control de TrickBot para descargar TrickBooster.
  • El TrickBooster descargado luego informa al servidor de control y envía listas de direcciones de correo electrónico recolectadas y credenciales de inicio de sesión desde la computadora infectada.
  • El servidor de control TrickBooster luego indica al bot de malware que envíe correos electrónicos maliciosos desde las cuentas de correo electrónico de la víctima.
  • El bot TrickBooster envía correos electrónicos no deseados para propagar el malware más.

Según la investigación de DeepInstinct, la base de datos del malware TrickBot contenía aproximadamente 250 millones de direcciones de correo electrónico que se habían recopilado recientemente. De los 250 millones de direcciones de correo electrónico, 25 millones provienen de Gmail, 21 millones de Yahoo !, 11 millones de Hotmail y 10 millones de AOL y MSN. El resto de las entradas provienen de dominios de correo electrónico propiedad de empresas y agencias gubernamentales. Incluso se obtuvieron direcciones de correo electrónico del Departamento de Justicia de EE. UU., Seguridad Nacional, IRS, NASA y ATF.

Cómo proteger su computadora contra TrickBot

Prevenir es mejor que curar, y este concepto se aplica perfectamente a la Malware TrickBot. Verá, este malware es muy furtivo y puede ser muy difícil de detectar. Dado que elimina todos los mensajes enviados, no podrá notar nada a menos que alguien a quien se le envió el correo electrónico no deseado para notificarlo. En este caso, estar atento es la mejor forma de protección contra este engañoso malware.

Estos son algunos consejos para evitar que TrickBot infecte su computadora y proteger sus datos:

  • Instale todas las actualizaciones de Windows disponibles. Microsoft lanza los últimos parches de seguridad a través de Windows Update, así que asegúrese de instalarlos cuando estén disponibles. También puede verificar manualmente Windows Update yendo a Configuración & gt; Actualizar & amp; Seguridad & gt; Actualizacion de Windows. Haga clic en el botón Buscar actualizaciones para ver si hay nuevas actualizaciones que deban instalarse.
  • Actualice su software antivirus, incluidos los de computadoras conectadas a la misma red.
  • Tenga cuidado al abrir correos electrónicos, especialmente aquellos con archivos adjuntos. Los correos electrónicos de phishing son el modo número uno de distribución del malware TrickBot, así que preste mucha atención a los correos electrónicos inusuales que reciba. Si recibe un correo electrónico de un dominio fuera de la red de su empresa y el tema del correo electrónico está relacionado con el trabajo, primero investigue el dominio para verificar si el correo electrónico es legítimo. Puede ser muy difícil determinar la autenticidad del correo electrónico, ya que el malware generalmente imita a empresas reales para engañar a los usuarios para que los abran.
  • No proporcione sus credenciales de inicio de sesión. Algunos atacantes de TrickBot apuntan a los usuarios de PayPal y los engañan para que proporcionen su información de inicio de sesión. Si hace clic en un enlace y se le solicita que inicie sesión, ya sea PayPal, correo electrónico u otras cuentas, cierre el navegador de inmediato.
Cómo eliminar el malware TrickBot

Como se mencionó anteriormente, TrickBot es muy complicado de manejar. Es una de las mayores amenazas cibernéticas en la actualidad y deshacerse de ella requiere mucho esfuerzo y atención. Este tipo de troyano sabe cómo esconderse bien, por lo que debe ser minucioso al eliminar este malware. Por lo general, oculta los archivos maliciosos en el interior del sistema, lo que dificulta su detección y eliminación.

Si sospecha que su computadora está infectada con el malware TrickBot, siga la guía a continuación sobre cómo eliminarlo manualmente y asegúrese de que no vuelva.

Paso 1: Arranque en modo seguro.

Arrancar en modo seguro deshabilita todos los procesos de terceros innecesarios para que pueda distinguir fácilmente los procesos sospechosos que se ejecutan en su computadora. Para iniciar en modo seguro, siga los pasos a continuación:

  • Haga clic en Inicio , luego haga clic en el icono del botón de encendido en la esquina inferior izquierda del menú. Esto revelaría el menú de opciones de energía.
  • Mantén presionado el botón Shift en tu teclado, luego haz clic en Reiniciar
  • Tu computadora se reiniciará y entrará en Modo seguro .
    • Paso 2: desinstale los programas sospechosos.

    La mayoría de los programas maliciosos instalan otros programas maliciosos en su computadora. En el caso de TrickBot, descarga e instala TrickBooster para recolectar direcciones de correo electrónico e información de contacto en la computadora infectada. Debe verificar qué programas instalados en su computadora son legítimos y cuáles son sospechosos.

    Para desinstalar aplicaciones sospechosas de su computadora, haga lo siguiente:

  • Abra Ejecutar presionando los botones Windows + R juntos.
  • Escriba appwiz.cpl en el cuadro de diálogo y luego haga clic en Aceptar . Esto abriría el Panel de control.
  • Busque programas que no haya instalado y luego desinstálelos.
    • Paso 3: Desactive las entradas de inicio sospechosas.

    TrickBot, al igual que otros programas maliciosos, está diseñado para ejecutarse cuando se carga el sistema. Debe verificar sus elementos de inicio para descubrir si se están cargando procesos desconocidos durante el inicio.

    Para hacer esto:

  • Abra Ejecutar presionando la tecla botones Windows + R juntos.
  • Escriba msconfig en el cuadro de diálogo, luego presione Enter . Esto debería abrir la ventana Servicios .
  • Haga clic en la pestaña Inicio .
  • Busque entradas con Desconocido en la categoría Fabricante y desmárquelos.
    • Paso 4: Elimine los procesos sospechosos.

    Además de deshabilitar las entradas de inicio sospechosas y desinstalar programas falsos, también es importante verificar cuáles Los procesos que se ejecutan en su computadora son malware. Debe eliminar estos procesos de inmediato y eliminar los directorios donde están ocultos sus archivos. Para hacer esto:

  • Presione Ctrl + Shift + Esc para abrir Administrador de tareas.
  • Haga clic en la pestaña Procesos .
  • Determine qué procesos son entidades de malware buscándolos en Google.
  • Derecha- haga clic en el proceso sospechoso y, a continuación, seleccione Abrir ubicación de archivo . Esto debería abrir el directorio donde se encuentran los archivos del proceso.
  • Vuelva al Administrador de tareas, haga clic derecho en el proceso sospechoso nuevamente y haga clic en Finalizar proceso.
  • Vuelva a la carpeta abierta y elimine todos los archivos.
    • Paso 5: Escanee su computadora usando Anti-Malware.

    Para deshacerse de TrickBot, se recomienda escanee su computadora y sus directorios usando su software anti-malware actualizado. Una vez detectado, siga las instrucciones para deshacerse por completo del malware TrickBot.

    Paso 6: Elimine los archivos sobrantes.

    Una de las razones por las que TrickBot es difícil de eliminar es porque oculta muy bien sus archivos. Debe asegurarse de que todos los archivos asociados con el malware se hayan eliminado para evitar que vuelva. Estos archivos suelen estar ocultos en directorios con nombres aleatorios. Puede buscar en estas carpetas para ver si hay algún archivo sobrante de TrickBot escondido:

    • C: \
    • C: \ Windows
    • C: \ Windows \ System32
    • C: \ Windows \ Syswow64
    • C: \ Windows \ ProgramData
    • % AppData% carpetas, especialmente la carpeta Roaming
    Resumen

    El malware TrickBot nos muestra cómo un malware simple puede adaptarse a las nuevas tecnologías y subir de nivel. La vigilancia y la conciencia son la protección número uno contra el malware persistente y difícil de detectar como TrickBot. Si cree que su sistema ha sido infectado, siga nuestra guía anterior para eliminar completamente el malware TrickBot de su computadora.

    Video de Youtube: Cómo deshacerse del malware TrickBot

    04, 2024