6 parandusi Gmera Trooja Maci viiruse eemaldamiseks Macist

6 parandusi Gmera Trooja Maci viiruse eemaldamiseks Macist

Teadlased on avastanud “Gmera Trojan Mac”, trooja, mis on suunatud Apple Maci kasutavatele krüptomüüjatele. Pahavara nakatab kasutajaid, imiteerides sarnase domeeni ja kasutajaliidesega autoriteetseid veebisaite, et meelitada tähelepanematuid kasutajaid neid külastama.

ESET-i andmetel avastasid küberturbeettevõtte ESET teadlased pahavara, mis võib varastada andmeid brauseri küpsiste, krüptorahakottide ja ekraanipiltide abil.

Mis on Gmera troojalane Macile ja kuidas see töötab?

GMERA on pahatahtlik pahavara, mis on maskeeritud kui Stockfolio, seaduslik kauplemistööriist Apple Maci kasutajatele. Uuringute kohaselt on sellel pahavaral kahte tüüpi, millest üks on tuvastatud kui trooja. Esimest tuntakse MacOS.GMERA.A ja teist Trooja nime all. macOS.GMERA.B.

Küberkurjategijad kasutavad GMERA-t sageli andmete varastamiseks ja nende juhitavale veebisaidile üleslaadimiseks. Eemaldage GMERA niipea kui võimalik, et vältida selle infektsiooni põhjustatud kahjustusi.

Tüübid

Trojan.MacOS.MERA.A

Gmer Maci troojalane on väljamõeldud tegelane. macOS.MERA. Näidises on kogutud kasutajateave, nagu kasutajanimed, IP-aadressid, rakendused kaustas Rakendused ning failid kataloogides /Documents ja /Desktop.

  • Samuti jäädvustab see OS-i installimise kuupäeva, graafikat ning kuvab teavet, traadita ühenduse teavet ja ekraanipilte.
  • See saadab teabe küberkurjategijate hallatavasse serverisse.
  • Varastatud andmed/detailid võivad sisaldada tundlikku teavet, mida kasutatakse erinevatel viisidel raha teenimiseks.
  • Isikuandmete hankimine võib põhjustada privaatsuse rikkumisi, identiteedivargust, rahalist kahju ja muid probleeme.

Trojan.MacOS.GMERA.B

Variant Trojan.MacOS.GMERA.B (Gmera Trojan Mac) kogub teavet, näiteks ohvri kasutajanime ja IP-aadressi, aga ka mitmeid muid faile.

  • Üks toimib “püsivusmehhanismina”, mis võimaldab GMERA-l jätkata töötamist isegi pärast süsteemi taaskäivitamist, taaskäivitamist, väljalogimist jne.
  • Pärast käivitamist peidab tarkvara nagu GMERA tegeliku Stockfolio kauplemisrakenduse taha ja töötab taustal.
  • Infektsioonist vabanemiseks võtke viivitamatult meetmeid.

Töötab

Gmera Trojan Maci operaatorid jäljendavad pahavara levitamiseks seaduslikke veebisaite. Need veebisaidid on hämmastavalt identsed ja tunduvad harjumatule silmale ehtsad.

Kuigi teadlastel polnud aimugi, kus pahavara levib, hoiatas Kattana kasutajaid pahatahtliku kellegi teisena esinemise teenuse eest, mis meelitab neid troojalase alla laadima.

Teadlastel ei õnnestunud aga kampaaniat GMERA pahavaraga siduda. Teadlaste sõnul levis nakkus ka troojalaste kaudu.

Sümptomid

Troojalased on loodud tungima ohvri arvutisse ja jääma märkamatuks, seega pole nakatunud arvutil ilmseid märke. Nakatunud meilimanused, petlik veebiturundus, sotsiaalne manipuleerimine ja tarkvara häkkimine on seaduslike Stockfolio rakenduste pahatahtlikud variandid.

Nakkuse allikas

Oma viimastes rünnakutes avastati, et GMERA viiruse arendajad kasutasid päris bitcoinidega kauplemisrakenduse Kattana pahatahtlikku versiooni.

  • GMERA pahavara loojad muutsid praeguse Kattana pahavaraks.
  • Samuti töötasid nad välja veebilehti krüptovaluutaga kauplemise pahavara jaoks Apple Maci kasutajatele.
  • Tõenäoliselt võtsid operaatorid oma kavandatud ohvritega isiklikult ühendust ja veensid neid pahavara installima.
  • Brauseri küpsised, sirvimisajalugu ja krüptovaluuta rahakoti paroolid varastati tagasipööratud kestade abil.

Gmera Mac Trooja eemaldamise sammud

1. Eemaldage Gmera Maci troojaga seotud failid ja kaustad

  • Klõpsake menüüribal Finderi ikooni. Valige “Mine” ja seejärel “Mine kausta …”.
  • Otsige kaustast /Library/LaunchAgents pahavara loodud kahtlasi ja ebausaldusväärseid faile.
  • Otsige üles kõik hiljuti allalaaditud failid kaustas Launch Agent ja teisaldage need prügikasti.
  • “myppes.download.plist”, “mykotlerino.Itvbit.plist”, “installmac.AppRemoval.plist”, “kuklorest.update.plist” jne on mõned näited brauseri kaaperdaja või reklaamvara loodud failidest.
  • Reklaamvarafailide tuvastamine ja eemaldamine tugikaustas „/Library/Application”.
  • Sisestage paneelile „Go To Folder…” „/Library/Application Support”.
  • Otsige rakenduste toe kaustast kahtlasi hiljuti lisatud katalooge.
  • Kui leiate mõne neist, näiteks “NicePlayer” või “MPlayerX”, teisaldage need prügikasti.
  • Otsige kaustast /Library/LaunchAgent pahavara loodud faile.
  • Kui leiate kahtlaseid faile, peaksite need leidma ja teisaldama kausta Prügikast.
  • Otsige kaustast /Library/LaunchDaemons pahavara loodud faile.
  • Väljale Sirvi kausta sisestage /Library/LaunchDaemons.
  • Otsige äsja avatud kaustast “LaunchDaemons” kahtlasi faile, mis on hiljuti lisatud, ja teisaldage need kausta “Prügikast”.

2. Eemaldage Gmera Interneti-brauseritest

Eemaldage Safarist kahtlased ja pahatahtlikud laiendused.

  • Avage menüüribalt brauser “Safari”. Valige rippmenüüst “Safari” ja seejärel “Seaded”.
  • Valige avanevas seadete aknas hiljuti installitud laiendused.
  • Kõik need laiendused tuleks ära tunda ja nende eemaldamiseks klõpsake nende kõrval olevat nuppu “Desinstalli”. Kui te pole ikka veel kindel, võite Safari brauserist eemaldada kõik laiendused, kuna ükski neist pole brauseri õigeks tööks vajalik.
  • Kui saate jätkuvalt soovimatuid veebilehtede ümbersuunamisi või pealetükkivaid reklaame, saate Safari brauseri seaded lähtestada.

Lähtestage Safari

  • Valige Safari menüüst “Eelistused”.
  • Seadistage laiendus vahekaardil Laiendus asendisse “Väljas”. Selle sätte tõttu on Safaris installitud laiendused keelatud.
  • Valige menüüst Seaded vahekaart Üldine. Asendage vaikeavaleht soovitud URL-iga.
  • Uurige otsingumootorite pakkuja vaikeseadeid. Valige väljal “Seaded” vahekaart “Otsi” ja soovitud otsingumootor, näiteks “Google”.

Tühjendage Safari brauseris vahemälu

  • Valige väljal “Seaded” vahekaart “Täpsem” ja “Kuva menüüribal arendusmenüüd”.
  • Valige menüüst Arendus Tühjenda vahemälud.
  • Kustutage oma sirvimisajalugu ja veebisaidi andmed. Valige “Safari” menüüst “Kustuta ajalugu ja veebisaidi andmed”.
  • Pärast seda valige “kogu ajalugu” ja seejärel “Kustuta ajalugu”.

Mozilla Firefox: soovimatute ja pahatahtlike pistikprogrammide eemaldamine

  • Gmera lisandmoodulid tuleb Mozilla Firefoxist eemaldada.
  • Käivitage Mozilla Firefoxi veebibrauser. Klõpsake ekraani paremas ülanurgas nuppu “Ava menüü”.
  • Valige avanevast menüüst Lisandmoodulid.
  • Kõigi hiljuti installitud lisandmoodulite loendi kuvamiseks valige rippmenüüst “Laiendus”.
  • Valige kõik küsitavad lisandmoodulid ja klõpsake nende eemaldamiseks nende kõrval olevat nuppu “Desinstalli”.

Lähtestage Mozilla Firefoxi eelistused

Kui soovite Mozilla Firefoxi brauserit uuesti laadida, järgige allolevaid juhiseid.

  • Avage Firefox Mozilla brauser ja minge ekraani vasakus ülanurgas nupule “Firefox”.
  • Valige uue menüü alammenüüst “Help” “Tõrkeotsingu teave”.
  • Klõpsake tõrkeotsingu teabe ekraanil nuppu Lähtesta Firefox.
  • Valides suvandi “Lähtesta Firefox”, kinnitate, et soovite lähtestada Mozilla Firefoxi seaded tehase vaikeseadetele. Brauser taaskäivitub ja seaded lähtestatakse tehaseseadetele.

Google Chrome: soovimatute ja pahatahtlike laienduste eemaldamine

  • Avage Chrome’i brauser ja valige rippmenüüst “Chrome’i menüü”. Valige menüüst “Veel tööriistu” ja seejärel “Laiendused”.
  • Otsige vahekaardilt Laiendused üles kõik hiljuti installitud lisandmoodulid ja laiendused.
  • Valige rippmenüüst “Ost”. Ükski kolmanda osapoole pistikprogramm ei ole brauseri sujuvaks tööks hädavajalik.

Lähtestage Google Chrome

  • Avage brauser, minge akna paremasse ülanurka ja klõpsake kolmerealist riba.
  • Valige avaneva akna allosas “Kuva täpsemad sätted”.
  • Kerige äsja loodud akna allossa ja valige Lähtesta brauseri sätted.
  • Avanevas brauseri sätete lähtestamise aknas klõpsake nuppu Lähtesta.

3. Kustutage või eemaldage nakatunud fail

Trooja jõudis alla laaditud faili või ebausaldusväärsest allikast installitud rakenduse või laienduse kaudu. On täiesti võimalik, et lihtne eemaldamine võib probleemi lahendada, kuid see pole kaugeltki nii, arvestades, kui raske on pahavara hävitada.

Kasutage Macis LaunchPadi

  • Launchpadi saab avada, klõpsates sellel dokis või avades selle rakenduste kaustast.
  • Puuteplaati saate pigistada ka pöidla ja kolme sõrmega.
  • Kui rakendus pole Launchpadis dokumenteeritud, sisestage selle nimi otsinguribale. Järgmise või eelmise lehe avamiseks libistage puuteplaadil kahe sõrmega paremale või vasakule.
  • Vajutage ja hoidke all suvalist rakendust, kuni see hakkab võnkuma, hoides samal ajal valikuklahvi all.
  • Klõpsake desinstallitava rakenduse kõrval nuppu Desinstalli, seejärel kinnitage, klõpsates käsul Desinstalli.
  • Tarkvara eemaldatakse kohe. Rakendusi, mida ei kuvata, ei laaditud alla App Store’ist või teie Mac nõuab neid.
  • Rakenduse eemaldamiseks, mida ei hangitud App Store’ist, kasutage App Store’i asemel Finderit.

Rakenduse eemaldamiseks kasutage Finderit.

  • Leidke rakendus Finderist. Suurem osa rakendustest asub rakenduste kaustas, kuhu pääsete juurde, valides Finderi mis tahes akna külgribalt rakendused.
  • Tarkvara otsimiseks saate kasutada ka Spotlighti. Hoidke all klahvi Command () ja topeltklõpsake seda Spotlightis.
  • Valige rakendus ja lohistage see prügikasti, kasutades menüüd Fail > Teisalda prügikasti.
  • Prügikast ilmub macOS-i dokki.
  • Kui kasutajanimi ja parool on nõutavad, kasutage Macis administraatori konto nime ja parooli. Tõenäoliselt on see kasutajanimi ja parool, mida kasutate oma Maci sisselogimiseks.
  • Tarkvarast vabanemiseks avage Finder > Empty Trash.

4. Laadige alla Time Machine’i varukoopia

Proovige välja selgitada, kas teie Macis on troojalane, ja seejärel selle käsitsi eemaldamine on tõenäoliselt heidutav ülesanne. Enne nakatunud faili installimist võib olla lihtsam lihtsalt Time Machine’i varukoopia taastada.

  • Maci taastamiseks Time Machine’i varukoopiast toimige järgmiselt.
  • Valige menüüribalt ikoon Time Machine.
  • Sisestage valik “Ajamasin”.
  • Ilmub Finderi akende virn, millest igaüks esindab erinevat varukoopiat.
  • Pärast taastada, mida soovite taastada, klõpsake nuppu “Taasta”.

5. Kasutage viirusetõrjetarkvara

Peaksite käivitama viirusekontrolli alati, kui kahtlustate, et teie Mac on nakatunud pahavaraga. See hõlmab ka siis, kui kahtlustate, et olete nakatunud troojalasega. Viirusetõrjetarkvara kontrollib faile ohtliku koodi suhtes.

Otsige brauseri lisandmooduleid.

Kontrollige oma arvutit brauseri kaaperdajate ja reklaamilaiendite suhtes.

  • Valige menüüribalt Safari > Eelistused. Kontrollige olemasolevat avalehe URL-i ja tehke vajalikud muudatused.
  • Seejärel minge vahekaardile “Laiendused” ja eemaldage kõik, mis on teile võõras, kuna need võivad teie järel luurata, salvestada teie isikuandmeid ja suunata teid ümber pahatahtlikele veebisaitidele.

Eemaldage oma seadmest kõik küsitavad rakendused.

  • Kontrollige, kas olete installinud võõra tarkvara:
  • Liikuge Finderis kausta Rakendused, valides Mine > Rakendused või vajutades Shift + Command + A.
  • Eemaldage loendist kõik tundmatud rakendused, kerides seda.
  • Seejärel tühjendage prügikast.

Eemaldage oma süsteemist kõik küsitavad sisselogimisüksused.

  • Eemaldage oma Maci pahavara eemaldamise eesmärgi osana kõik sisselogimisüksused, mis toimivad veidralt.
  • Mõned neist võivad olla teile võõrad või te ei mäleta, et oleksite need sisse lülitanud.
  • Teatud üksuste käivitamise takistamiseks toimige järgmiselt. Tühjendage valikud Apple’i menüüs > System Preferences > Users & Groups > Login Items.

Looge Apple macOS-is uus profiil.

Kui Maci viirus sihib kasutajat, mitte seadet, saate olukorra parandada, luues macOS-is uue profiili. Uue kasutajaprofiili loomiseks toimige järgmiselt.

  • Valige Apple’i menüüst System Preferences > Users & Groups.
  • Muudatuste tegemiseks avage leht.
  • Valige lisatava inimese tüüp, klõpsates nuppu + (administraator või standardne).
  • Looge uus kasutaja, sisestades uue kasutajanime ja parooli ning klõpsates nuppu “Loo kasutaja”.

6. Maci tehaseseadetele lähtestamine

See on viimane abinõu, kuid kui miski muu ei aita Troojat Macist eemaldada, saate teha ka tehaseseadetele lähtestamise. See lähtestab teie Maci tehaseseadetele, kustutades sellest kõik, sealhulgas kõik teie andmed, nii et tehke eelnevalt varukoopia. Alustamiseks peate sisenema taasterežiimi.

M1 Macis taasterežiimi sisenemiseks tehke järgmist.

  • Lülitage oma Mac välja.
  • Nüüd vajutage ja hoidke paar sekundit all toitenuppu.
  • Hoidke nuppu all, kuni näete käskluste laadimise valikut.
  • Jätkake, vajutades sisestusklahvi.
  • Kui küsitakse, sisestage administraatori parool.
  • Nüüd minge Disk Utility’i ja otsige suvand “Kustuta”, et eemaldada kõik failid Macist.

Järeldus

Gmera on tuntud ka kui Kassi troojalane, ohtlik arvutiinfektsioon, mis maskeerub kui Stockfolio, ehtne ja kasulik kauplemistööriist Maci kasutajatele. “Gmera Trojan Mac” eemaldamiseks ja arvuti pahavarast puhastamiseks kasutage kõiki ülaltoodud toiminguid.

KKK

Kas troojalased võivad Maci mõjutada?

Kui teie Mac on nakatunud Trooja hobusega, saab programm teha kõike alates teiste viiruste või nuhkvara installimisest kuni häkkerile täieliku kaugjuhtimise andmiseni teie süsteemi üle. Trooja hobune on kohutav uudis nii teile kui teie masinale.

Kuidas teada saada, kas teie Macis on trooja viirus?

Teie Mac hakkab veidralt käituma ja tegema asju, mida te ei oota. Teie Mac hakkab aeglaselt töötama, justkui kasutaks miski kõiki protsessori ressursse. Reklaamid hakkavad teie arvutis ilmuma.

Kuidas saab pahavara peita?

Pahavara võib jääda täiustatud püsivaks ohuks (APT), kasutades polümorfismi, krüptimist ja protsessisisest täitmist. Iga kord, kui polümorfset koodi esitatakse, muutub see. Muutes krüpteerimis-/dekrüpteerimisvõtmeid igas uues seadmes, peidab krüpteerimine need tegevused ja hoiab neid silme ees.

Mis on troojalane? Kas see on viirus või pahavara?

Trooja hobune on omamoodi pahavara, mis maskeerib end tõeliseks programmiks ja laaditakse arvutisse. Ründaja kasutab sageli sotsiaalset manipuleerimist, et sisestada pahatahtlikku koodi ehtsatesse rakendustesse, et pääseda oma programmi abil süsteemile juurde.

Lisa kommentaar

Sinu e-postiaadressi ei avaldata. Nõutavad väljad on tähistatud *-ga