TrickBot マルウェアを駆除する方法

ハッカーは、より強力で、より危険で、より効果的なマルウェアを設計するために、より創造的になっています。パスワードを盗んだり、キーボード アクティビティをログに記録したりするマルウェアは、今や初歩的なものに見えます。この競争の激しい業界で抜きん出るためには、ランサムウェアまたはクリプトマイナーのレベルにいる必要があります。

この傾向により、マルウェア エンティティは時間の経過とともにますます攻撃的で複雑になり続けています。 1 つの完璧な例は、TrickBot マルウェアです。このマルウェアは電子メールを侵害するように設計されており、かなり前から存在しています。実際、TrickBot マルウェアはこれまでに 2 億 5,000 万のメール アカウントを侵害しています。

TrickBot マルウェアは 2016 年から存在しています。しかし、減少したり姿を消したりするのではなく、マルウェアは強力なままであり、何年にもわたって進化してきました。これは、今日の企業を標的とする最大の脅威の 1 つとさえ考えられています。近年、マルウェアが進化し、新しい機能が追加されたため、以前よりもはるかに恐ろしいものになっています。

TrickBot マルウェアでできること

TrickBot は、Emotet マルウェアと同様に、もともとバンキング型のトロイの木馬です。感染したコンピュータから銀行やその他の金融情報を盗むように設計されています。これは通常、疑いを持たない組織や企業のスタッフに送信されるスピア フィッシング メールを通じて拡散されます。たとえば、応募者から人事部に送られた偽の履歴書や経理部門に送られた偽の請求書に偽装する可能性があります。 TrickBot マルウェアは、電子メールに添付された感染した Microsoft Word または Excel ファイルに隠れています。

マルウェアが侵入すると、さまざまな方法で組織内に簡単に拡散する可能性があります。最も簡単な方法は、企業が使用するファイル共有プロトコルであるサーバー メッセージ ブロック (SMB) の脆弱性を悪用することです。これにより、同じネットワーク内の Windows ユーザーがファイルを簡単に共有およびアクセスできるようになります。

DeepInstinct のセキュリティ専門家によると、TrickBot は「さまざまな種類の悪意のある活動に多目的に使用される、堅牢で精巧で洗練された脅威」に進化しました。彼らは、感染したコンピュータのアドレス帳と電子メール アカウントから電子メールと連絡先を収集する悪意のある電子メール ベースの配布モジュールである、TrickBooster と呼ばれる TrickBot マルウェアの亜種を発見しました。その後、マルウェアはユーザーのメール アカウントからスパム メールを送信し、送信されたメッセージを削除して検出を回避します。このようにしてマルウェアは急速に増殖し、収益化のために電子メール アカウントを収集します。

要約すると、TrickBot マルウェアは次の 4 つの段階で動作します。

• 被害者のコンピュータが TrickBot に感染し、TrickBot コントロール サーバーから TrickBooster をダウンロードするよう指示を受け取ります。
• ダウンロードされた TrickBooster は、コントロール サーバーにレポートを返し、感染したコンピュータから収集したメール アドレスとログイン資格情報のリストを送信します。
• 次に、TrickBooster コントロール サーバーはマルウェア ボットに、被害者のメール アカウントから悪意のあるメールを送信するように指示します。
• TrickBooster ボットはスパム メールを送信して、マルウェアをさらに拡散させます。

DeepInstinct の調査によると、TrickBot マルウェアのデータベースには、最近収集された約 2 億 5000 万の電子メール アドレスが含まれていました。 2 億 5000 万の電子メール アドレスのうち、2500 万は Gmail から、2100 万は Yahoo! から、1100 万は Hotmail から、1000 万は AOL と MSN からのものでした。残りのエントリは、企業や政府機関が所有する電子メール ドメインからのものでした。米国司法省、国土安全保障省、IRS、NASA、ATF から収集された電子メール アドレスもありました。

TrickBot からコンピュータを保護する方法

予防は治療よりも優れており、この概念は TrickBot マルウェアに完全に当てはまります。ご覧のとおり、このマルウェアは非常に巧妙で、検出が非常に困難です。送信されたすべてのメッセージが削除されるため、スパムメールが送信された誰かがあなたに通知しない限り、何も気付くことができません.この場合、警戒することが、この巧妙なマルウェアに対する最善の防御策です。

TrickBot によるコンピューターの感染を防ぎ、データを保護するためのヒントを次に示します。

• 利用可能なすべての Windows アップデートをインストールします。 Microsoft は Windows Update を通じて最新のセキュリティ パッチをリリースしているため、入手可能になったら必ずインストールしてください。 [設定]> [更新とセキュリティ]> [Windows Update] に移動して、Windows Update を手動で確認することもできます。 [更新の確認] ボタンをクリックして、インストールが必要な新しい更新があるかどうかを確認します。
• 同じネットワークに接続されたコンピュータのウイルス対策ソフトウェアを含め、ウイルス対策ソフトウェアを更新します。
• メール、特に添付ファイルのあるメールを開くときは注意してください。フィッシング メールは、TrickBot マルウェアの最大の配布モードであるため、受信する通常とは異なるメールには細心の注意を払ってください。会社のネットワーク外のドメインから電子メールを受信し、電子メールのトピックが仕事に関連している場合は、まずドメインを調査して、電子メールが正当かどうかを確認します。マルウェアは通常、実際のビジネスを模倣してユーザーをだましてメールを開かせるため、メールの信憑性を判断することは非常に困難です。
• ログイン資格情報を教えないでください。一部の TrickBot 攻撃者は、PayPal ユーザーを標的にして、ログイン情報を提供するように騙します。リンクをクリックしてログインを求められた場合は、PayPal、メール、その他のアカウントのいずれであっても、すぐにブラウザを閉じてください。

TrickBot マルウェアを削除する方法

前述したように、TrickBot は非常に扱いにくいものです。これは今日の最大のサイバー脅威の 1 つであり、それを取り除くには多くの努力と注意が必要です。このタイプのトロイの木馬は隠れる方法を知っているため、このマルウェアを完全に排除する必要があります。通常、悪意のあるファイルをシステムの奥深くに隠し、検出と削除を困難にします。

お使いのコンピューターが TrickBot マルウェアに感染している疑いがある場合は、以下のガイドに従って手動で削除し、再発しないようにしてください。

ステップ 1:セーフ モードで起動します。

セーフ モードで起動すると、不要なサードパーティ プロセスがすべて無効になるため、コンピューターで実行されている疑わしいプロセスを簡単に区別できます。セーフ モードで起動するには、次の手順に従います。

<オール>

[開始] をクリックします をクリックし、メニューの左下隅にある電源ボタン アイコンをクリックします。これにより、電源オプション メニューが表示されます。

Shift キーを押したままにします ボタンをクリックし、[再起動] をクリックします。 .

コンピュータが再起動し、セーフ モードになります。

ステップ 2:不審なプログラムをアンインストールします。

ほとんどのマルウェアは、コンピューターに他の悪意のあるソフトウェアをインストールします。 TrickBot の場合、TrickBooster をダウンロードしてインストールし、感染したコンピュータの電子メール アドレスと連絡先情報を収集します。コンピューターにインストールされているプログラムはどれが正当でどれが疑わしいかを確認する必要があります.

コンピューターから疑わしいアプリをアンインストールするには、次の手順を実行します。

<オール>

開く 実行 Windows + R を押して ボタンを一緒に。

appwiz.cpl と入力します ダイアログ ボックスに移動し、[OK] をクリックします。 . コントロール パネルが開きます。

インストールしていないプログラムを探してアンインストールします。

ステップ 3:疑わしいスタートアップ エントリを無効にする

TrickBot は、他のマルウェアと同様に、システムのロード時に実行されるように設計されています。起動時に見慣れないプロセスが読み込まれているかどうかを確認するには、起動項目を確認する必要があります。

これを行うには:

<オール>

開く 実行 Windows + R を押して ボタンを一緒に。

msconfig と入力します ダイアログ ボックスに移動し、Enter を押します . サービス が開きます。 ウィンドウ。

[スタートアップ] をクリックします。 タブ

不明のエントリを探す メーカ​​ーの下に

ステップ 4:疑わしいプロセスを強制終了します。

疑わしいスタートアップ エントリを無効にし、偽のプログラムをアンインストールするだけでなく、コンピューターで実行されているプロセスがマルウェアであるかを確認することも重要です。これらのプロセスをすぐに強制終了し、それらのファイルが隠されているディレクトリを削除する必要があります。これを行うには:

<オール>

Ctrl + Shift + Esc を押します タスク マネージャーを開きます。

[プロセス] をクリックします。 タブ

Google で調べて、マルウェア エンティティであるプロセスを特定する

疑わしいプロセスを右クリックし、[ファイルの場所を開く] を選択します。 .これにより、プロセスのファイルが配置されているディレクトリが開きます。

タスク マネージャーに戻り、疑わしいプロセスをもう一度右クリックして、[プロセスの終了] をクリックします。

開いているフォルダに戻り、すべてのファイルを削除します。

ステップ 5:マルウェア対策を使用してコンピュータをスキャンする

TrickBot を駆除するには、最新のマルウェア対策ソフトウェアを使用してコンピュータとそのディレクトリをスキャンすることをお勧めします .検出されたら、指示に従って TrickBot マルウェアを完全に駆除してください。

ステップ 6:残ったファイルを削除します。

TrickBot を削除するのが難しい理由の 1 つは、ファイルを非常にうまく隠しているためです。マルウェアに関連するすべてのファイルが削除されていることを確認して、マルウェアが戻ってこないようにする必要があります。これらのファイルは通常、ランダムな名前のディレクトリに隠されています。これらのフォルダーを検索して、背後に隠れている TrickBot の残りのファイルがあるかどうかを確認できます。

• C:\
• C:\Windows
• C:\Windows\System32
• C:\Windows\Syswow64
• C:\Windows\ProgramData
• %AppData% フォルダー、特に Roaming フォルダー

まとめ

TrickBot マルウェアは、単純なマルウェアがどのように新しいテクノロジーに適応し、ゲームをレベルアップできるかを示しています。警戒と認識は、TrickBot などの持続的で検出が困難なマルウェアに対する最大の保護です。システムが感染していると思われる場合は、上記のガイドに従って、コンピューターから TrickBot マルウェアを完全に削除してください。