Computer >> 컴퓨터 >  >> 문제 해결 >> 컴퓨터 유지 보수

TrickBot 멀웨어를 제거하는 방법

해커는 악성코드를 더욱 강력하고 위험하며 효과적으로 만들기 위해 점점 더 창의적으로 악성코드를 설계하고 있습니다. 암호를 훔치거나 키보드 활동을 기록하는 멀웨어는 이제 기본적으로 보입니다. 경쟁이 치열한 이 업계에서 두각을 나타내려면 랜섬웨어나 크립토 마이너 수준에 있어야 합니다.

이러한 추세로 인해 멀웨어 개체는 시간이 지남에 따라 계속 공격적이고 복잡해집니다. 한 가지 완벽한 예는 TrickBot 악성코드입니다. 이 맬웨어는 이메일을 손상시키도록 설계되었으며 꽤 오랫동안 존재해 왔습니다. 실제로 TrickBot 악성코드는 지금까지 2억 5천만 개의 이메일 계정을 손상시켰습니다.

TrickBot 멀웨어는 2016년부터 존재해 왔습니다. 하지만 줄어들거나 사라지는 대신 멀웨어는 강력하게 남아 수년에 걸쳐 진화했습니다. 오늘날 기업을 표적으로 삼는 가장 큰 위협 중 하나로 간주되기도 합니다. 최근 몇 년 동안 맬웨어가 진화하고 이전보다 훨씬 더 무서운 새로운 기능이 추가되는 것을 목격했습니다.

TrickBot 악성 코드는 무엇을 할 수 있습니까?

TrickBot은 원래 Emotet 악성코드와 마찬가지로 뱅킹 트로이목마입니다. 감염된 컴퓨터에서 은행 및 기타 금융 정보를 훔치도록 설계되었습니다. 일반적으로 조직이나 회사의 순진한 직원에게 보내는 스피어 피싱 이메일을 통해 확산됩니다. 예를 들어 지원자가 인사부 직원에게 보낸 가짜 이력서나 회계 부서로 보낸 가짜 송장으로 위장할 수 있습니다. TrickBot 악성코드는 이메일에 첨부된 감염된 Microsoft Word 또는 Excel 파일에 숨어 있습니다.

일단 악성코드가 침투하면 여러 가지 방법으로 조직 전체에 쉽게 퍼질 수 있습니다. 가장 쉬운 방법은 기업에서 사용하는 파일 공유 프로토콜인 SMB(서버 메시지 블록)의 취약점을 악용하는 것입니다. 동일한 네트워크에 있는 Windows 사용자가 파일을 쉽게 공유하고 액세스할 수 있습니다.

DeepInstinct의 보안 전문가에 따르면 TrickBot은 "다양한 유형의 악성 활동에 다목적으로 사용되는 강력하고 정교하며 정교한 위협"으로 진화했습니다. 그들은 감염된 컴퓨터의 주소록과 이메일 계정에서 이메일과 연락처를 수집하는 악성 이메일 기반 배포 모듈인 TrickBooster라는 TrickBot 멀웨어의 변종을 발견했습니다. 그런 다음 멀웨어는 사용자의 이메일 계정에서 스팸 이메일을 보내고 탐지를 피하기 위해 보낸 메시지를 삭제합니다. 이것이 악성코드가 빠르게 전파되고 수익 창출을 위해 이메일 계정을 수집하는 방법입니다.

요약하면 TrickBot 악성코드는 4단계로 작동합니다.

  • 피해자의 컴퓨터가 TrickBot에 감염되고 TrickBot 제어 서버로부터 TrickBooster를 다운로드하라는 지시를 받습니다.
  • 다운로드한 TrickBooster는 제어 서버에 다시 보고하고 감염된 컴퓨터에서 수집된 이메일 주소 및 로그인 자격 증명 목록을 보냅니다.
  • TrickBooster 제어 서버는 악성코드 봇이 피해자의 이메일 계정에서 악성 이메일을 보내도록 지시합니다.
  • TrickBooster 봇은 스팸 이메일을 발송하여 멀웨어를 더욱 확산시킵니다.

DeepInstinct의 조사에 따르면 TrickBot 악성코드의 데이터베이스에는 최근에 수집된 약 2억 5천만 개의 이메일 주소가 포함되어 있습니다. 2억 5천만 개의 이메일 주소 중 2,500만 개는 Gmail에서, 2,100만 개는 Yahoo!에서, 1,100만 개는 Hotmail에서, 1,000만 개는 AOL 및 MSN에서 왔습니다. 나머지 항목은 회사 및 정부 기관이 소유한 이메일 도메인에서 가져왔습니다. 미국 법무부, 국토안보부, IRS, NASA 및 ATF에서 수집한 이메일 주소도 있었습니다.

TrickBot으로부터 컴퓨터를 보호하는 방법

예방이 치료보다 낫고 이 개념은 TrickBot 악성코드에 완벽하게 적용됩니다. 이 악성코드는 매우 교활하고 탐지하기가 매우 어려울 수 있습니다. 보낸 모든 메시지를 삭제하기 때문에 스팸 이메일을 받은 사람이 알림을 보내지 않는 한 아무 것도 알 수 없습니다. 이 경우 경계하는 것이 이 까다로운 맬웨어로부터 보호하는 가장 좋은 방법입니다.

다음은 TrickBot이 컴퓨터를 감염시키고 데이터를 보호하는 것을 방지하기 위한 몇 가지 팁입니다.

  • 사용 가능한 모든 Windows 업데이트를 설치합니다. Microsoft는 Windows Update를 통해 최신 보안 패치를 릴리스하므로 사용 가능한 경우 설치해야 합니다. 설정> 업데이트 및 보안> Windows 업데이트로 이동하여 Windows 업데이트를 수동으로 확인할 수도 있습니다. 업데이트 확인 버튼을 클릭하여 설치해야 하는 새 업데이트가 있는지 확인하십시오.
  • 같은 네트워크에 연결된 컴퓨터의 소프트웨어를 포함하여 바이러스 백신 소프트웨어를 업데이트합니다.
  • 이메일, 특히 첨부파일이 있는 이메일을 열 때 주의하십시오. 피싱 이메일은 TrickBot 맬웨어의 첫 번째 배포 모드이므로 수신하는 비정상적인 이메일에 세심한 주의를 기울이십시오. 회사 네트워크 외부의 도메인에서 이메일을 받았고 이메일의 주제가 업무와 관련된 경우 먼저 도메인을 조사하여 이메일이 합법적인지 확인하십시오. 맬웨어는 일반적으로 실제 비즈니스를 모방하여 사용자를 속여 이메일을 열도록 하기 때문에 이메일의 진위를 판별하기가 매우 어려울 수 있습니다.
  • 로그인 자격 증명을 제공하지 마십시오. 일부 TrickBot 공격자는 PayPal 사용자를 대상으로 하여 로그인 정보를 제공하도록 속입니다. 링크를 클릭하고 PayPal, 이메일 또는 기타 계정에 로그인하라는 메시지가 표시되면 즉시 브라우저를 닫으십시오.

TrickBot 악성 코드를 제거하는 방법

앞서 언급했듯이 TrickBot은 다루기가 매우 까다롭습니다. 오늘날 가장 큰 사이버 위협 중 하나이며 이를 제거하려면 많은 노력과 주의가 필요합니다. 이러한 유형의 트로이 목마는 잘 숨기는 방법을 알고 있으므로 이 멀웨어를 제거할 때 철저해야 합니다. 일반적으로 시스템 깊숙이 악성 파일을 숨기므로 탐지 및 제거가 어렵습니다.

컴퓨터가 TrickBot 악성코드에 감염되었다고 의심되는 경우 아래 가이드에 따라 수동으로 삭제하고 다시 돌아오지 않도록 하세요.

1단계:안전 모드로 부팅합니다.

안전 모드로 부팅하면 불필요한 타사 프로세스가 모두 비활성화되므로 컴퓨터에서 실행 중인 의심스러운 프로세스를 쉽게 구별할 수 있습니다. 안전 모드로 부팅하려면 다음 단계를 따르세요.

  1. 시작을 클릭합니다. 을 클릭한 다음 메뉴의 왼쪽 하단 모서리에 있는 전원 버튼 아이콘을 클릭합니다. 그러면 전원 옵션 메뉴가 나타납니다.
  2. Shift 키를 누른 상태에서 버튼을 누른 다음 다시 시작을 클릭합니다. .
  3. 그러면 컴퓨터가 다시 시작되고 안전 모드로 들어갑니다.

2단계:의심스러운 프로그램 제거

대부분의 맬웨어는 컴퓨터에 다른 악성 소프트웨어를 설치합니다. TrickBot의 경우 TrickBooster를 다운로드하여 설치하여 감염된 컴퓨터의 이메일 주소와 연락처 정보를 수집합니다. 컴퓨터에 설치된 프로그램이 합법적이고 의심스러운 프로그램을 확인해야 합니다.

컴퓨터에서 의심스러운 앱을 제거하려면 다음을 수행하십시오.

  1. 열기 실행 Windows + R 을 눌러 버튼을 함께 누르세요.
  2. appwiz.cpl을 입력합니다. 대화 상자로 이동한 다음 확인을 클릭합니다. . 그러면 제어판이 열립니다.
  3. 설치하지 않은 프로그램을 찾아 제거합니다.

3단계:의심스러운 시작 항목 비활성화

TrickBot은 다른 맬웨어와 마찬가지로 시스템이 로드될 때 실행되도록 설계되었습니다. 시작하는 동안 로드되는 익숙하지 않은 프로세스가 있는지 알아보려면 시작 항목을 확인해야 합니다.

이렇게 하려면:

  1. 열기 실행 Windows + R 을 눌러 버튼을 함께 누르세요.
  2. msconfig 입력 대화 상자로 이동한 다음 Enter 키를 누릅니다. . 그러면 서비스 가 열립니다. 창.
  3. 시작 을 클릭합니다. 탭.
  4. 알 수 없음 항목을 찾습니다. 제조업체 아래 범주를 선택하고 선택을 취소합니다.

4단계:의심스러운 프로세스를 종료합니다.

의심스러운 시작 항목을 비활성화하고 가짜 프로그램을 제거하는 것 외에도 컴퓨터에서 실행 중인 프로세스가 맬웨어인지 확인하는 것도 중요합니다. 이러한 프로세스를 즉시 종료하고 파일이 숨겨져 있는 디렉토리를 삭제해야 합니다. 이렇게 하려면:

  1. Ctrl + Shift + Esc 누르기 작업 관리자를 엽니다.
  2. 프로세스 를 클릭하십시오. 탭.
  3. 어떤 프로세스가 Google 검색을 통해 맬웨어 개체인지 확인합니다.
  4. 의심스러운 프로세스를 마우스 오른쪽 버튼으로 클릭한 다음 파일 위치 열기를 선택합니다. . 그러면 프로세스 파일이 있는 디렉토리가 열립니다.
  5. 작업 관리자로 돌아가서 의심스러운 프로세스를 다시 마우스 오른쪽 버튼으로 클릭하고 프로세스 종료를 클릭합니다.
  6. 열린 폴더로 돌아가서 모든 파일을 삭제합니다.

5단계:맬웨어 방지 프로그램을 사용하여 컴퓨터를 검사합니다.

TrickBot을 제거하려면 업데이트된 맬웨어 방지 소프트웨어를 사용하여 컴퓨터와 디렉터리를 검사하는 것이 좋습니다. . 탐지되면 지침에 따라 TrickBot 악성코드를 완전히 제거하십시오.

6단계:남은 파일 삭제

TrickBot이 제거하기 어려운 이유 중 하나는 파일을 정말 잘 숨기기 때문입니다. 악성코드가 다시 돌아오지 않도록 하려면 악성코드와 관련된 모든 파일이 삭제되었는지 확인해야 합니다. 이러한 파일은 일반적으로 임의의 이름을 가진 디렉토리에 숨겨져 있습니다. 이 폴더를 검색하여 뒤에 숨어 있는 TrickBot의 남은 파일이 있는지 확인할 수 있습니다.

  • C:\
  • C:\Windows
  • C:\Windows\System32
  • C:\Windows\Syswow64
  • C:\Windows\ProgramData
  • %AppData% 폴더, 특히 Roaming 폴더

요약

TrickBot 맬웨어는 간단한 맬웨어가 어떻게 새로운 기술에 적응하고 게임 수준을 높일 수 있는지 보여줍니다. 경계 및 인식은 TrickBot과 같은 지속적이고 탐지하기 어려운 악성코드에 대한 최고의 보호입니다. 시스템이 감염되었다고 생각되면 위의 가이드에 따라 컴퓨터에서 TrickBot 멀웨어를 완전히 제거하십시오.