Dacă aveți pe sistem programe fără licență pentru care ați apelat la așa numitele ”crack-uri” aveți șanse foarte mari ca sistemul să vă fie infectat cu Scranos. După cum ne anunță Bitdefender, Scranos este un nou tip de malware, foarte periculos, ce se răspândește rapid la nivel global, dar care în prezent cea mai imare intensitate în România.
Scranos infectează dispozitivul utilizatorului atât prin aplicații aparent legitime, precum e-readere, playere video, drivere sau chiar soluții de securitate, cât și prin programe instalate ilegal. Scranos este de fapt un rootkit care are rolul de a spiona orice face victima pe și la PC – malware-ul poate extrage datele de acces la diverse site-uri din browsere precum Google Chrome, Chromium, Mozilla Firefox, Opera, Microsoft Edge, Internet Explorer, Baidu Browser și Yandex, poate sustrage datele de plată de pe servicii precum Facebook, Amazon și Airbnb, dar și să trimită cereri de prietenie și mesaje cu linkuri infectate de pe contul de Facebook al victimei sau să o aboneze la diferite canale de YouTube. Ca fapt divers, dintre canalele de YouTube promovate de către atacatori și monitorizate de Bitdefender, unul a strâns peste 3.100 de abonați într-o singură zi.
În plus Scranos poate sustrage tot istoricul de navigare pe internet și poate descărca și executa fișiere după cum doresc atacatorii folosindu-se de un sistem de Command and Control. DIn datele Bitdefender, aproape două treimi dintre victime folosesc sistemul de operare Windows 10, iar un sfert sunt utilizatori de Windows 7.
Semnătura digitală a driverului care maschează amenințarea Scranos, emisă pentru Yun Yu Health Management Consulting (Shanghai) Co., Ltd, nu a fost revocată până la momentul publicării acestei cercetări pentru suspiciuni clare de activități frauduloase. Bitdefender a informat autoritatea emitentă a certificatului digital despre compromiterea și folosirea neadecvată a acestuia.
Pentru a evita infectarea cu Scranos, recomandările pentru utilizatori sunt să descarce și să instaleze numai aplicații licențiate, să folosească o soluție de securitate performantă și să actualizeze mereu sistemul de operare și programele folosite la cea mai recentă versiune.
Mai multe detalii despre Scranos și modalitatea de infecție găsiți aici.
Cum scăpați de Scranos?
1. Închideți browser-ul.
2. Opriți toate procesele ce rulează din căi temporare (folosiți Process Explorer pentru asta) Remove files that are detected as malicious.
3) Opriți rundll32.exe.
4. Găsiți numele folosit de rootkit:
• Luați indicatorul SID pentru user-ul curent.
• Generați valoarea MD5 pentru șirul extras mai sus.
• Luați acum primele 12 caractere din suma MD5 generată anterior.
5. Porniți o fereastră Command Line sau PowerShell cu drepturi de Administrator și scrieți: >sc stop, apoi sc delete .sys și la final ștergeți fișierul.
7. Ștergeți driver-ul DNS (mai jos aveți un exemplu cu numele MOIYZBWQSO, voi schimbați-l cu cel identificat la pasul 4:
• Verificați dacă driver-ul DNS este instalat: din %TEMP% găsiți un fișier al cărui nume are 10 caractere mari, alese aleator(ex: MOIYZBWQSO. sys). În Registry există o cheie corespunzătoare numelui (ex: HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\MOIYZBWQSO)
• Lansați o fereastră Command Prompt sau PowerShell cu drepturi de Administrator și scrieți:
• sc stop MOIYZBWQSO
• sc delete MOIYZBWQSO
• Ștergeți apoi %TEMP%\MOIYZBWQSO.sys
8. Reporniți PC-ul.
9. Scoateți din browser orice extensii pe care nu vi le amintiți să le fi instalat.
10. Și schimbați-vă rapid toate parolele!
