6 korjausta Gmera Trojan Mac -viruksen poistamiseksi Macista
Tutkijat ovat löytäneet ”Gmera Trojan Macin”, troijalaisen, joka on suunnattu Apple Mac -tietokoneita käyttäville kryptokauppiaille. Haittaohjelmat tartuttavat käyttäjiä jäljittelemällä arvovaltaisia verkkosivustoja, joilla on samanlainen verkkotunnus ja käyttöliittymä, huijatakseen varomattomia käyttäjiä vierailemaan niillä.
ESETin mukaan kyberturvallisuusyhtiö ESETin tutkijat ovat havainneet haittaohjelmia, jotka voivat varastaa tietoja käyttämällä ”selaimen evästeitä, kryptolompakoita ja kuvakaappauksia”.
Mikä on Gmera Trojan for Mac ja miten se toimii?
GMERA on haitallinen haittaohjelma, joka naamioituu Stockfolioksi, lailliseksi kaupankäyntityökaluksi Apple Mac -käyttäjille. Tutkimusten mukaan tätä haittaohjelmaa on kahta lajiketta, joista toinen on tunnistettu troijalaiseksi. Edellinen tunnetaan nimellä MacOS.GMERA.A ja jälkimmäinen Troijalainen. macOS.GMERA.B.
Kyberrikolliset käyttävät usein GMERAa varastaakseen tietoja ja ladatakseen ne hallitsemalleen verkkosivustolle. Poista GMERA mahdollisimman pian välttääksesi tämän infektion aiheuttamat vauriot.
Tyypit
Trojan.MacOS.MERA.A
Gmer Mac Troijalainen on kuvitteellinen hahmo. macOS.MERA. Esimerkkiin kerätään käyttäjätiedot, kuten käyttäjänimet, IP-osoitteet, Sovellukset-kansion sovellukset ja /Documents- ja /Desktop-hakemistojen tiedostot.
- Se tallentaa myös käyttöjärjestelmän asennuspäivämäärän, grafiikan ja näyttää tiedot, langattomat tiedot ja kuvakaappaukset.
- Se lähettää tietoja kyberrikollisten ylläpitämälle palvelimelle.
- Varastetut tiedot/yksityiskohdat voivat sisältää arkaluontoisia tietoja, joita käytetään rahan ansaitsemiseen eri tavoin.
- Henkilötietojen hankkiminen voi johtaa yksityisyyden loukkauksiin, identiteettivarkauksiin, taloudellisiin menetyksiin ja muihin ongelmiin.
Trojan.MacOS.GMERA.B
Trojan.MacOS.GMERA.B (Gmera Trojan Mac) -versio kerää tietoja, kuten uhrin käyttäjätunnuksen ja IP-osoitteen, sekä useita muita tiedostoja.
- Toinen toimii ”pysyvyysmekanismina”, jolloin GMERA voi jatkaa toimintaansa myös järjestelmän uudelleenkäynnistyksen, uudelleenkäynnistyksen, uloskirjautumisen jne. jälkeen.
- Käynnistyksen jälkeen ohjelmisto, kuten GMERA, piiloutuu todellisen Stockfolio-kaupankäyntisovelluksen taakse ja toimii taustalla.
- Ryhdy välittömästi toimiin päästäksesi eroon infektiosta.
Työskentely
Gmera Trojan Mac -operaattorit jäljittelevät laillisia verkkosivustoja levittääkseen haittaohjelmia. Nämä sivustot ovat hämmästyttävän identtisiä ja näyttävät aidolta kouluttamattomalle silmälle.
Vaikka tutkijoilla ei ollut aavistustakaan, missä haittaohjelma leviää, Kattana varoitti käyttäjiä haitallisesta henkilönä esiintymispalvelusta, joka houkutteli heitä lataamaan troijalaisen.
Tutkijat eivät kuitenkaan pystyneet yhdistämään kampanjaa GMERA-haittaohjelmaan. Tutkijoiden mukaan tartunta levisi myös troijalaisten kautta.
Oireet
Troijalaiset on suunniteltu soluttautumaan uhrin tietokoneeseen ja jäämään huomaamatta, joten tartunnan saaneessa tietokoneessa ei ole ilmeisiä merkkejä. Tartunnan saaneet sähköpostin liitteet, vilpillinen verkkomarkkinointi, sosiaalinen suunnittelu ja ohjelmistohakkerointi ovat laillisten Stockfolio-sovellusten haitallisia muunnelmia.
Infektion lähde
Uusimmissa hyökkäyksissään havaittiin, että GMERA-viruksen kehittäjät käyttivät haitallista versiota todellisesta bitcoin-kauppasovelluksesta Kattana.
- GMERA-haittaohjelman luojat muuttivat nykyisen Kattanan haittaohjelmiksi.
- He kehittivät myös verkkosivuja kryptovaluuttakaupan haittaohjelmille Apple Mac -käyttäjille.
- Todennäköisesti operaattorit ottivat henkilökohtaisesti yhteyttä uhreihinsa ja saivat heidät asentamaan haittaohjelmia.
- Selaimen evästeet, selaushistoria ja kryptovaluuttojen lompakon salasanat varastettiin käyttämällä käänteisiä kuoria.
Gmera Mac Trojan poistamisen vaiheet
1. Poista Gmera Mac -troijalaiseen liittyvät tiedostot ja kansiot
- Napsauta Finder-kuvaketta valikkopalkissa. Valitse ”Siirry” ja sitten ”Siirry kansioon…”.
- Etsi haittaohjelmien luomia epäilyttäviä ja epäluotettavia tiedostoja /Library/LaunchAgents-kansiosta.
- Etsi kaikki äskettäin ladatut tiedostot Launch Agent -kansiosta ja siirrä ne Roskakori-kansioon.
- ”myppes.download.plist”, ”mykotlerino.Itvbit.plist”, ”installmac.AppRemoval.plist”, ”kuklorest.update.plist” jne. ovat esimerkkejä selaimen kaappaajan tai mainosohjelman luomista tiedostoista.
- Tukikansiossa ”/Library/Application” olevien mainosohjelmien tunnistaminen ja poistaminen.
- Kirjoita ”/Library/Application Support” ”Go To Folder…” -paneeliin.
- Etsi sovellustukikansiosta epäilyttäviä äskettäin lisättyjä hakemistoja.
- Jos löydät niitä, kuten ”NicePlayer” tai ”MPlayerX”, siirrä ne Roskakori-kansioon.
- Etsi /Library/LaunchAgent-kansiosta haittaohjelmien luomia tiedostoja.
- Jos löydät epäilyttäviä tiedostoja, etsi ne ja siirrä ne Roskakori-kansioon.
- Etsi /Library/LaunchDaemons-kansiosta haittaohjelmien luomia tiedostoja.
- Kirjoita Selaa kansioon -kenttään /Library/LaunchDaemons.
- Etsi äskettäin avatusta ”LaunchDaemons”-kansiosta epäilyttäviä tiedostoja, jotka on äskettäin lisätty, ja siirrä ne ”Trash”-kansioon.
2. Poista Gmera Internet-selaimista
Poista epäilyttävät ja haitalliset laajennukset Safarista.
- Avaa ”Safari”-selain ”valikkopalkista”. Valitse avattavasta valikosta ”Safari” ja sitten ”Asetukset”.
- Valitse avautuvasta Asetukset-ikkunasta äskettäin asentamasi ”Laajennukset”.
- Kaikki nämä laajennukset pitäisi tunnistaa, ja poista ne napsauttamalla niiden vieressä olevaa Poista-painiketta. Jos olet edelleen epävarma, voit poistaa kaikki laajennukset Safari-selaimesta, koska mitään niistä ei tarvita, jotta selain toimii oikein.
- Voit nollata Safari-selainasetukset, jos saat edelleen ei-toivottuja verkkosivujen uudelleenohjauksia tai häiritseviä mainoksia.
Nollaa Safari
- Valitse Safari-valikosta Preferences .
- Aseta laajennuksen arvoksi ”Pois” Laajennus-välilehdellä. Safariin asennetut laajennukset poistetaan käytöstä tämän asetuksen seurauksena.
- Valitse Asetukset-valikosta Yleiset-välilehti. Korvaa oletuskotisivu haluamallasi URL-osoitteella.
- Tarkista hakukoneiden oletuspalveluntarjoajan asetukset. Valitse ”Asetukset”-kentästä ”Haku”-välilehti ja haluamasi hakukone, kuten ”Google”.
Tyhjennä välimuisti Safari-selaimessa
- Valitse ”Lisäasetukset”-välilehti ja ”Näytä kehitysvalikko valikkopalkissa” ”Asetukset”-ruudussa.
- Valitse Kehitä-valikosta Tyhjennä välimuistit.
- Tyhjennä selaushistoriasi ja verkkosivustosi tiedot. Valitse ”Safari”-valikosta ”Poista historia ja verkkosivustotiedot”.
- Valitse sen jälkeen ”kaikki historia” ja sitten ”Tyhjennä historia”.
Mozilla Firefox: Ei-toivottujen ja haitallisten laajennusten poistaminen
- Gmera-lisäosat on poistettava Mozilla Firefoxista.
- Käynnistä Mozilla Firefox -selain. Napsauta näytön oikeassa yläkulmassa ”Avaa valikko” -painiketta.
- Valitse avautuvasta valikosta Lisäosat.
- Valitse ”Laajennus” avattavasta valikosta nähdäksesi luettelon kaikista äskettäin asennetuista lisäosista.
- Valitse kaikki kyseenalaiset lisäosat ja napsauta niiden vieressä olevaa Poista-painiketta poistaaksesi ne.
Palauta Mozilla Firefox -asetukset
Jos haluat ”ladata” Mozilla Firefox -selaimen, seuraa alla olevia ohjeita.
- Avaa Firefox Mozilla -selain ja siirry näytön vasempaan yläkulmaan ”Firefox”-painikkeeseen.
- Valitse ”Vianetsintätiedot” uuden valikon ”Ohje”-alivalikosta.
- Napsauta Vianmääritystiedot-näytön Reset Firefox -painiketta.
- Valitsemalla ”Palauta Firefox” -vaihtoehdon vahvistat, että haluat palauttaa Mozilla Firefoxin asetukset tehdasasetuksiin. Selain käynnistyy uudelleen ja asetukset palautetaan tehdasasetuksiin.
Google Chrome: Ei-toivottujen ja haitallisten laajennusten poistaminen
- Avaa Chrome -selain ja valitse avattavasta valikosta ”Chrome-valikko”. Valitse valikosta ”Lisää työkaluja” ja sitten ”Laajennukset”.
- Etsi kaikki äskettäin asennetut lisäosat ja laajennukset Laajennukset-välilehdeltä.
- Valitse avattavasta valikosta ”Ostoskori”. Mikään kolmannen osapuolen laajennus ei ole välttämätön selaimen sujuvan toiminnan kannalta.
Palauta Google Chrome
- Avaa selain, siirry ikkunan oikeaan yläkulmaan ja napsauta kolmen rivin palkkia.
- Valitse ”Näytä lisäasetukset” avautuvan ikkunan alareunasta.
- Vieritä juuri luomasi ikkunan alaosaan ja valitse Palauta selaimen asetukset.
- Napsauta Reset-painiketta avautuvassa Nollaa selaimen asetukset -ikkunassa.
3. Poista tai poista tartunnan saanut tiedosto
Troijalainen tuli lataamasi tiedoston tai epäluotettavasta lähteestä asentamasi sovelluksen tai laajennuksen kautta. On täysin mahdollista, että yksinkertainen poistaminen voisi korjata ongelman, mutta se ei ole kaukana siitä, koska haittaohjelmien tappaminen on vaikeaa.
Käytä LaunchPadia Macissa
- Launchpad voidaan avata napsauttamalla sitä Dockissa tai avaamalla se Sovellukset-kansiosta.
- Voit myös puristaa ohjauslevyä peukalolla ja kolmella sormella.
- Jos sovellusta ei ole dokumentoitu Launchpadissa, kirjoita sen nimi hakupalkkiin. Avaa seuraava tai edellinen sivu pyyhkäisemällä ohjauslevyä oikealle tai vasemmalle kahdella sormella.
- Pidä mitä tahansa sovellusta painettuna, kunnes se alkaa heilua samalla, kun pidät Optio-näppäintä painettuna.
- Napsauta poistettavan sovelluksen vieressä olevaa Poista-painiketta ja vahvista napsauttamalla Poista asennus.
- Ohjelmisto poistetaan välittömästi. Sovelluksia, joita ei näytetä, ei ole ladattu App Storesta tai Macisi vaatii niitä.
- Jos haluat poistaa sovelluksen, jota ei ole hankittu App Storesta, käytä Finderia App Storen sijaan.
Voit poistaa sovelluksen käyttämällä Finderia.
- Etsi sovellus Finderista. Suurin osa sovelluksista on Sovellukset-kansiossa, johon pääsee valitsemalla Sovellukset minkä tahansa Finder-ikkunan sivupalkista.
- Voit myös etsiä ohjelmistoja Spotlightilla. Pidä Komento () -näppäintä painettuna ja kaksoisnapsauta sitä Spotlightissa.
- Valitse sovellus ja vedä se roskakoriin valitsemalla Tiedosto > Siirrä roskakoriin.
- Roskakori näkyy macOS Dockissa.
- Käytä järjestelmänvalvojan tilin nimeä ja salasanaa Macissa, jos käyttäjätunnus ja salasana vaaditaan. Tämä on todennäköisesti käyttäjätunnus ja salasana, joita käytät kirjautuessasi sisään Maciin.
- Pääset eroon ohjelmistosta valitsemalla Finder > Tyhjennä roskakori.
4. Lataa Time Machine -varmuuskopio
Yrittää selvittää, onko Macissasi troijalainen, ja sen poistaminen manuaalisesti on todennäköisesti pelottava tehtävä. Voi olla helpompaa yksinkertaisesti palauttaa Time Machine -varmuuskopio ennen tartunnan saaneen tiedoston asentamista.
- Palauta Mac Time Machine -varmuuskopiosta seuraavasti:
- Valitse valikkopalkista Time Machine -kuvake.
- Kirjoita ”Time Machine” -vaihtoehto.
- Näkyviin tulee pino Finder-ikkunoita, joista jokainen edustaa erilaista varmuuskopiota.
- Napsauta ”Palauta”-painiketta, kun olet valinnut palautettavan kohteen.
5. Käytä virustorjuntaohjelmistoa
Sinun tulee suorittaa virustarkistus aina, kun epäilet, että Macisi on saastunut haittaohjelmista. Tämä koskee myös sitä, jos epäilet saavasi troijalaisen. Virustorjuntaohjelmisto tarkistaa tiedostot vaarallisen koodin varalta.
Etsi selaimen lisäosia.
Tarkista tietokoneesi selaimen kaappaajien ja mainoslaajennusten varalta:
- Valitse valikkoriviltä Safari > Asetukset. Tarkista nykyisen kotisivun URL-osoite ja tee tarvittavat muutokset.
- Siirry sitten ”Laajennukset”-välilehteen ja poista kaikki sinulle tuntemattomat asiat, koska ne voivat vakoilla sinua, tallentaa henkilötietosi ja ohjata sinut haitallisille verkkosivustoille.
Poista kaikki kyseenalaiset sovellukset laitteestasi.
- Tarkista, onko asennettuna tuntematonta ohjelmistoa:
- Siirry Finderin Sovellukset-kansioon valitsemalla Go > Applications tai painamalla Shift + Command + A.
- Poista kaikki tunnistamattomat sovellukset luettelosta selaamalla sitä.
- Tyhjennä sitten roskakori.
Poista kaikki kyseenalaiset kirjautumiskohdat järjestelmästäsi.
- Poista kaikki kirjautumiskohteet, jotka toimivat oudosti osana ”Mac-haittaohjelmien poisto” -tavoitetta.
- Jotkut niistä saattavat olla sinulle tuntemattomia, tai et ehkä muista ottaneen niitä käyttöön.
- Voit estää tiettyjen kohteiden suorittamisen käynnistyksen yhteydessä seuraavasti: Poista valinnat kohdasta Omenavalikko > Järjestelmäasetukset > Käyttäjät ja ryhmät > Kirjautumiskohteet.
Luo uusi profiili Apple macOS:ssä.
Voit korjata tilanteen luomalla uuden profiilin macOS:ssä, jos Mac-virus kohdistuu käyttäjään, ei laitteeseen. Luo uusi käyttäjäprofiili seuraavasti:
- Valitse Omenavalikosta Järjestelmäasetukset > Käyttäjät ja ryhmät.
- Jos haluat tehdä muutoksia, avaa sivun lukitus.
- Valitse lisättävän henkilön tyyppi napsauttamalla + -painiketta (järjestelmänvalvoja tai vakio).
- Luo uusi käyttäjä syöttämällä uusi käyttäjätunnus ja salasana ja napsauttamalla ”Luo käyttäjä”.
6. Palauta Macin tehdasasetukset
Tämä on viimeinen keino, mutta jos mikään muu ei auta poistamaan troijalaista Macista, voit myös palauttaa tehdasasetukset. Tämä palauttaa Macin tehdasasetukset ja poistaa siitä kaiken, mukaan lukien kaikki tietosi, joten tee varmuuskopio etukäteen. Sinun on siirryttävä palautustilaan aloittaaksesi.
Näin pääset palautustilaan M1 Macissa:
- Sammuta Mac.
- Paina nyt virtapainiketta muutaman sekunnin ajan.
- Pidä painiketta painettuna, kunnes näet Ladataan käynnistysasetuksia.
- Jatka painamalla Enter-näppäintä.
- Anna järjestelmänvalvojan salasana pyydettäessä.
- Siirry nyt Levytyökaluun ja etsi ”Poista” -vaihtoehto poistaaksesi kaikki tiedostot Macista.
Johtopäätös
Gmera tunnetaan myös nimellä Kassi Troijalainen, vaarallinen tietokoneinfektio, joka naamioituu Stockfolioksi, aidoksi ja hyödylliseksi kaupankäyntityökaluksi Mac-käyttäjille. Poista ”Gmera Trojan Mac” ja puhdista tietokoneesi haittaohjelmista käyttämällä kaikkia yllä olevia toimenpiteitä.
FAQ
Voivatko troijalaiset vaikuttaa Maciin?
Jos Macisi on saanut Troijan hevosen tartunnan, ohjelma voi tehdä kaiken muiden virusten tai vakoiluohjelmien asentamisesta aina järjestelmän täydellisen kauko-ohjauksen antamiseen hakkereille. Troijan hevonen on kauhea uutinen sekä sinulle että koneellesi.
Kuinka tietää, onko Macissasi troijalainen virus?
Macisi alkaa käyttäytyä oudosti ja tehdä asioita, joita et odottanut. Macisi alkaa toimia hitaasti, ikään kuin jokin käyttäisi kaikkia suorittimen resursseja. Mainokset alkavat näkyä tietokoneellasi.
Miten haittaohjelmat voidaan piilottaa?
Haittaohjelmat voivat pysyä Advanced Persistent Threat (APT) -uhkana käyttämällä polymorfismia, salausta ja prosessin sisäistä suoritusta. Joka kerta kun polymorfista koodia toistetaan, se muuttuu. Kun salaus/salauksenpurkuavaimia vaihdetaan jokaisessa uudessa laitteessa, salaus piilottaa nämä toiminnot ja pitää ne näkyvissä.
Mikä on troijalainen? Onko se virus vai haittaohjelma?
Troijan hevonen on eräänlainen haittaohjelma, joka naamioituu oikeaksi ohjelmaksi ja ladataan tietokoneelle. Hyökkääjä käyttää usein sosiaalista manipulointia syöttääkseen haitallista koodia aitoihin sovelluksiin päästäkseen järjestelmään ohjelman avulla.
Vastaa