วิธีกำจัดมัลแวร์ TrickBot

แฮกเกอร์มีความคิดสร้างสรรค์มากขึ้นในการออกแบบมัลแวร์เพื่อให้มีประสิทธิภาพ อันตรายมากขึ้น และมีประสิทธิภาพมากขึ้น มัลแวร์ที่ขโมยรหัสผ่านหรือบันทึกกิจกรรมคีย์บอร์ดของคุณตอนนี้ดูเหมือนเป็นเรื่องพื้นฐาน คุณต้องอยู่ในระดับ ransomware หรือ crypto-miner เพื่อให้สามารถโดดเด่นในอุตสาหกรรมที่มีการแข่งขันสูง

เนื่องจากแนวโน้มนี้ หน่วยงานมัลแวร์จึงมีความก้าวร้าวและซับซ้อนมากขึ้นเมื่อเวลาผ่านไป ตัวอย่างหนึ่งที่สมบูรณ์แบบคือมัลแวร์ TrickBot มัลแวร์นี้ออกแบบมาเพื่อประนีประนอมอีเมลและมีมาระยะหนึ่งแล้ว อันที่จริงแล้ว มัลแวร์ TrickBot ได้บุกรุกบัญชีอีเมลไปแล้ว 250 ล้านบัญชี

มัลแวร์ TrickBot มีมาตั้งแต่ปี 2559 แต่แทนที่จะลดน้อยลงหรือหายไป มัลแวร์ยังคงแข็งแกร่งและมีวิวัฒนาการตลอดหลายปีที่ผ่านมา ถือว่าเป็นหนึ่งในภัยคุกคามอันดับต้น ๆ ที่กำหนดเป้าหมายธุรกิจในปัจจุบัน ในช่วงไม่กี่ปีมานี้ มัลแวร์พัฒนาและเพิ่มฟังก์ชันการทำงานใหม่ที่ทำให้น่ากลัวกว่าเดิมมาก

มัลแวร์ TrickBot สามารถทำอะไรได้บ้าง

TrickBot เดิมเป็นโทรจันด้านการธนาคาร เช่นเดียวกับมัลแวร์ Emotet ออกแบบมาเพื่อขโมยข้อมูลทางการเงินและข้อมูลทางการเงินอื่นๆ จากคอมพิวเตอร์ที่ติดไวรัส โดยปกติแล้วจะแพร่กระจายผ่านอีเมลฟิชชิ่งสเปียร์ที่ส่งไปยังเจ้าหน้าที่ขององค์กรหรือบริษัทที่ไม่สงสัย ตัวอย่างเช่น อาจปลอมตัวเป็นเรซูเม่ปลอมที่ส่งโดยผู้สมัครไปยังเจ้าหน้าที่ฝ่ายทรัพยากรบุคคล หรือใบแจ้งหนี้ปลอมที่ส่งไปยังแผนกบัญชี มัลแวร์ TrickBot ซ่อนตัวอยู่ในไฟล์ Microsoft Word หรือ Excel ที่ติดไวรัสที่แนบมากับอีเมล

เมื่อมัลแวร์เข้ามา ก็สามารถแพร่กระจายได้อย่างง่ายดายทั่วทั้งองค์กรได้หลายวิธี วิธีที่ง่ายที่สุดคือการใช้ช่องโหว่ใน Server Message Block (SMB) ซึ่งเป็นโปรโตคอลการแชร์ไฟล์ที่บริษัทใช้ ช่วยให้ผู้ใช้ Windows ในเครือข่ายเดียวกันสามารถแชร์และเข้าถึงไฟล์ได้อย่างง่ายดาย

ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยที่ DeepInstinct TrickBot ได้พัฒนาเป็น “ภัยคุกคามที่แข็งแกร่ง ซับซ้อน และซับซ้อน อเนกประสงค์สำหรับกิจกรรมที่เป็นอันตรายประเภทต่างๆ” พวกเขาค้นพบตัวแปรของมัลแวร์ TrickBot ที่เรียกว่า TrickBooster ซึ่งเป็นโมดูลการแจกจ่ายอีเมลที่เป็นอันตรายซึ่งรวบรวมอีเมลและผู้ติดต่อจากสมุดที่อยู่และบัญชีอีเมลของคอมพิวเตอร์ที่ติดไวรัส จากนั้นมัลแวร์จะส่งอีเมลสแปมออกจากบัญชีอีเมลของผู้ใช้และลบข้อความที่ส่งเพื่อหลีกเลี่ยงการตรวจจับ นี่คือวิธีที่มัลแวร์แพร่กระจายอย่างรวดเร็วและรวบรวมบัญชีอีเมลเพื่อจุดประสงค์ในการสร้างรายได้

โดยสรุป มัลแวร์ TrickBot ทำงานในสี่ขั้นตอน:

คอมพิวเตอร์ของเหยื่อติด TrickBot และได้รับคำแนะนำจากเซิร์ฟเวอร์ควบคุม TrickBot ให้ดาวน์โหลด TrickBooster
TrickBooster ที่ดาวน์โหลดมาจะรายงานกลับไปยังเซิร์ฟเวอร์ควบคุม และส่งรายชื่อที่อยู่อีเมลที่รวบรวมและข้อมูลรับรองการเข้าสู่ระบบจากคอมพิวเตอร์ที่ติดไวรัส
เซิร์ฟเวอร์ควบคุม TrickBooster จะสั่งให้บอทมัลแวร์ส่งอีเมลที่เป็นอันตรายจากบัญชีอีเมลของเหยื่อ
บอท TrickBooster ส่งอีเมลสแปมเพื่อกระจายมัลแวร์ต่อไป

จากการสืบสวนของ DeepInstinct ฐานข้อมูลของมัลแวร์ TrickBot มีที่อยู่อีเมลประมาณ 250 ล้านที่อยู่ที่เพิ่งถูกเก็บเกี่ยว จาก 250 ล้านที่อยู่อีเมล 25 ล้านมาจาก Gmail, 21 ล้านจาก Yahoo!, 11 ล้านจาก Hotmail และ 10 ล้านจาก AOL และ MSN รายการที่เหลือมาจากโดเมนอีเมลของบริษัทและหน่วยงานรัฐบาล มีแม้กระทั่งที่อยู่อีเมลที่รวบรวมมาจากกระทรวงยุติธรรมสหรัฐฯ, Homeland Security, IRS, NASA และ ATF

วิธีป้องกันคอมพิวเตอร์ของคุณจาก TrickBot

การป้องกันดีกว่าการรักษา และแนวคิดนี้ใช้ได้กับมัลแวร์ TrickBot อย่างสมบูรณ์แบบ คุณเห็นไหมว่ามัลแวร์นี้แอบแฝงและตรวจจับได้ยาก เนื่องจากจะลบข้อความที่ส่งทั้งหมด คุณจะไม่สามารถสังเกตเห็นสิ่งใดได้เว้นแต่จะมีผู้ส่งอีเมลขยะเพื่อแจ้งให้คุณทราบ ในกรณีนี้ การระแวดระวังเป็นรูปแบบที่ดีที่สุดในการป้องกันมัลแวร์ที่ยุ่งยากนี้

ต่อไปนี้คือเคล็ดลับบางประการในการป้องกัน TrickBot ไม่ให้ติดคอมพิวเตอร์ของคุณและปกป้องข้อมูลของคุณ:

ติดตั้งการอัปเดต Windows ที่มีอยู่ทั้งหมด Microsoft เผยแพร่แพตช์ความปลอดภัยล่าสุดผ่าน Windows Update ดังนั้นโปรดติดตั้งเมื่อพร้อมใช้งาน คุณยังสามารถตรวจสอบ Windows Update ด้วยตนเองได้โดยไปที่การตั้งค่า> การอัปเดตและความปลอดภัย> Windows Update คลิกปุ่มตรวจหาการอัปเดตเพื่อดูว่ามีการอัปเดตใหม่ที่ต้องติดตั้งหรือไม่
อัปเดตซอฟต์แวร์ป้องกันไวรัสของคุณ รวมทั้งซอฟต์แวร์จากคอมพิวเตอร์ที่เชื่อมต่อกับเครือข่ายเดียวกัน
โปรดใช้ความระมัดระวังเมื่อเปิดอีเมล โดยเฉพาะกับไฟล์แนบ อีเมลฟิชชิ่งเป็นโหมดอันดับหนึ่งในการกระจายมัลแวร์ TrickBot ดังนั้นให้ใส่ใจกับอีเมลที่ผิดปกติที่คุณได้รับอย่างใกล้ชิด หากคุณได้รับอีเมลจากโดเมนภายนอกเครือข่ายบริษัทของคุณและหัวข้อของอีเมลนั้นเกี่ยวข้องกับงาน ให้ศึกษาโดเมนก่อนเพื่อตรวจสอบว่าอีเมลนั้นถูกต้องหรือไม่ การระบุความถูกต้องของอีเมลอาจเป็นเรื่องยากมาก เนื่องจากมัลแวร์มักจะเลียนแบบธุรกิจจริงเพื่อหลอกให้ผู้ใช้เปิดอีเมล
อย่าให้ข้อมูลรับรองการเข้าสู่ระบบของคุณ ผู้โจมตี TrickBot บางคนกำหนดเป้าหมายผู้ใช้ PayPal และหลอกล่อให้เปิดเผยข้อมูลการเข้าสู่ระบบ หากคุณคลิกลิงก์และระบบขอให้คุณลงชื่อเข้าใช้ ไม่ว่าจะเป็น PayPal อีเมล หรือบัญชีอื่นๆ ให้ปิดเบราว์เซอร์ทันที

วิธีการลบมัลแวร์ TrickBot

ดังที่ได้กล่าวไว้ก่อนหน้านี้ TrickBot นั้นจัดการได้ยากมาก เป็นหนึ่งในภัยคุกคามทางไซเบอร์ที่ใหญ่ที่สุดในปัจจุบัน และการกำจัดมันต้องใช้ความพยายามและความสนใจเป็นอย่างมาก โทรจันประเภทนี้รู้วิธีซ่อนอย่างดี ดังนั้นคุณต้องระมัดระวังในการกำจัดมัลแวร์นี้ โดยปกติแล้วจะซ่อนไฟล์ที่เป็นอันตรายในส่วนลึกของระบบ ทำให้ยากต่อการตรวจจับและนำออก

หากคุณสงสัยว่าคอมพิวเตอร์ของคุณติดมัลแวร์ TrickBot ให้ทำตามคำแนะนำด้านล่างเกี่ยวกับวิธีลบด้วยตนเองและตรวจดูให้แน่ใจว่าจะไม่กลับมาอีก

ขั้นตอนที่ 1:บูตเข้าสู่เซฟโหมด

การเริ่มระบบในเซฟโหมดจะปิดใช้งานกระบวนการของบุคคลที่สามที่ไม่จำเป็นทั้งหมด เพื่อให้คุณสามารถแยกแยะกระบวนการที่น่าสงสัยที่ทำงานบนคอมพิวเตอร์ของคุณได้อย่างง่ายดาย ในการบูตเข้าสู่ Safe Mode ให้ทำตามขั้นตอนด้านล่าง:

คลิก เริ่ม จากนั้นคลิกไอคอนปุ่มเปิด/ปิดที่มุมล่างซ้ายของเมนู นี่จะเป็นการเปิดเผยเมนูตัวเลือกพลังงาน
กดปุ่ม Shift . ค้างไว้ บนแป้นพิมพ์ของคุณ จากนั้นคลิก รีสตาร์ท .
คอมพิวเตอร์ของคุณจะรีสตาร์ทและเข้าสู่ Safe Mode

ขั้นตอนที่ 2:ถอนการติดตั้งโปรแกรมที่น่าสงสัย

มัลแวร์ส่วนใหญ่ติดตั้งซอฟต์แวร์ที่เป็นอันตรายอื่นๆ บนคอมพิวเตอร์ของคุณ ในกรณีของ TrickBot จะดาวน์โหลดและติดตั้ง TrickBooster เพื่อรวบรวมที่อยู่อีเมลและข้อมูลติดต่อบนคอมพิวเตอร์ที่ติดไวรัส คุณต้องตรวจสอบว่าโปรแกรมใดที่ติดตั้งบนคอมพิวเตอร์ของคุณถูกต้องและโปรแกรมใดน่าสงสัย

หากต้องการถอนการติดตั้งแอปที่น่าสงสัยออกจากคอมพิวเตอร์ ให้ทำดังนี้:

เปิด เรียกใช้ โดยกด Windows + R ปุ่มต่างๆ เข้าด้วยกัน
พิมพ์ appwiz.cpl ลงในกล่องโต้ตอบ จากนั้นคลิก ตกลง . ซึ่งจะเป็นการเปิด แผงควบคุม
ค้นหาโปรแกรมที่คุณไม่ได้ติดตั้ง จากนั้นถอนการติดตั้ง

ขั้นตอนที่ 3:ปิดใช้งานรายการเริ่มต้นที่น่าสงสัย

TrickBot เช่นเดียวกับมัลแวร์อื่นๆ ได้รับการออกแบบมาให้ทำงานเมื่อระบบโหลด คุณต้องตรวจสอบรายการเริ่มต้นเพื่อดูว่ามีการโหลดกระบวนการที่ไม่คุ้นเคยในระหว่างการเริ่มต้นหรือไม่

ในการดำเนินการนี้:

เปิด เรียกใช้ โดยกดปุ่ม Windows + R ปุ่มต่างๆ เข้าด้วยกัน
พิมพ์ msconfig ลงในกล่องโต้ตอบ จากนั้นกด Enter . สิ่งนี้ควรเปิด บริการ หน้าต่าง
คลิกที่ เริ่มต้น แท็บ
ค้นหารายการที่มี ไม่รู้จัก ภายใต้ ผู้ผลิต หมวดหมู่และยกเลิกการเลือก

ขั้นตอนที่ 4:กำจัดกระบวนการที่น่าสงสัย

นอกเหนือจากการปิดใช้งานรายการเริ่มต้นที่น่าสงสัยและถอนการติดตั้งโปรแกรมปลอม การตรวจสอบกระบวนการที่ทำงานบนคอมพิวเตอร์ของคุณเป็นมัลแวร์เป็นสิ่งสำคัญเช่นกัน คุณต้องฆ่ากระบวนการเหล่านี้ทันทีและลบไดเร็กทอรีที่ไฟล์ถูกซ่อนไว้ ในการดำเนินการนี้:

กด Ctrl + Shift + Esc เพื่อเปิด ตัวจัดการงาน
คลิกที่ กระบวนการ แท็บ
กำหนดว่ากระบวนการใดเป็นมัลแวร์โดย Googling
คลิกขวาที่กระบวนการที่น่าสงสัย จากนั้นเลือกเปิดตำแหน่งไฟล์ . นี่ควรเปิดไดเร็กทอรีที่มีไฟล์ของกระบวนการ
กลับไปที่ Task Manager คลิกขวาที่กระบวนการที่น่าสงสัยอีกครั้งแล้วคลิก สิ้นสุดกระบวนการ
กลับไปที่โฟลเดอร์ที่เปิดอยู่และลบไฟล์ทั้งหมด

ขั้นตอนที่ 5:สแกนคอมพิวเตอร์ของคุณโดยใช้โปรแกรมป้องกันมัลแวร์

ในการกำจัด TrickBot ขอแนะนำให้สแกนคอมพิวเตอร์และไดเรกทอรีโดยใช้ซอฟต์แวร์ป้องกันมัลแวร์ที่อัปเดต . เมื่อตรวจพบแล้ว ให้ทำตามคำแนะนำเพื่อกำจัดมัลแวร์ TrickBot อย่างสมบูรณ์

ขั้นตอนที่ 6:ลบไฟล์ที่เหลือ

สาเหตุหนึ่งที่ทำให้ TrickBot ลบออกได้ยากก็เพราะว่ามันซ่อนไฟล์ได้ดีมาก คุณต้องตรวจสอบให้แน่ใจว่าไฟล์ทั้งหมดที่เกี่ยวข้องกับมัลแวร์ถูกลบเพื่อป้องกันไม่ให้กลับมา ไฟล์เหล่านี้มักจะซ่อนอยู่ในไดเร็กทอรีที่มีชื่อสุ่ม คุณสามารถค้นหาโฟลเดอร์เหล่านี้เพื่อดูว่ามีไฟล์ TrickBot เหลืออยู่หรือไม่:

C:\
C:\Windows
C:\Windows\System32
C:\Windows\Syswow64
C:\Windows\ProgramData
โฟลเดอร์%AppData% โดยเฉพาะโฟลเดอร์โรมมิ่ง

สรุป

มัลแวร์ TrickBot แสดงให้เราเห็นว่ามัลแวร์ธรรมดาสามารถปรับให้เข้ากับเทคโนโลยีใหม่และยกระดับเกมได้อย่างไร ความระแวดระวังและการรับรู้คือการป้องกันอันดับหนึ่งจากมัลแวร์ที่ตรวจพบอย่างต่อเนื่องและยากต่อการตรวจพบ เช่น TrickBot หากคุณคิดว่าระบบของคุณติดไวรัส ให้ทำตามคำแนะนำด้านบนเพื่อลบมัลแวร์ TrickBot ออกจากคอมพิวเตอร์ของคุณโดยสมบูรณ์