6 исправлений для удаления вируса Gmera Trojan Mac с Mac

6 исправлений для удаления вируса Gmera Trojan Mac с Mac

Исследователи обнаружили «Gmera Trojan Mac», трояна, нацеленного на крипто-дилеров, использующих Apple Mac. Вредоносное ПО заражает пользователей, имитируя авторитетные веб-сайты с похожим доменом и пользовательским интерфейсом, чтобы обманом заставить неосторожных пользователей посетить их.

По данным ESET, исследователи из компании ESET, занимающейся кибербезопасностью, обнаружили вредоносное ПО, которое может красть данные с помощью «куки-файлов браузера, криптокошельков и скриншотов».

Что такое троян Gmera для Mac и как он работает?

GMERA — это вредоносное вредоносное ПО, маскирующееся под Stockfolio, легальный торговый инструмент для пользователей Apple Mac. Согласно исследованиям, существует две разновидности этой вредоносной программы, одна из которых идентифицирована как троян. Первый известен как MacOS.GMERA.A, а второй известен как Trojan. macOS.ГМЕРА.Б.

Киберпреступники часто используют GMERA для кражи данных и загрузки их на контролируемый ими веб-сайт. Удалите GMERA как можно скорее, чтобы избежать каких-либо повреждений, вызванных этой инфекцией.

Типы

Trojan.MacOS.MERA.A

Троянец Gmer Mac — вымышленный персонаж. macOS.МЕРА. В образце собирается информация о пользователе, такая как имена пользователей, IP-адреса, приложения в папке Applications и файлы в каталогах /Documents и /Desktop.

  • Он также фиксирует дату установки ОС, графику и отображает информацию, информацию о беспроводной сети и снимки экрана.
  • Он отправляет информацию на сервер, которым управляют киберпреступники.
  • Украденные данные/детали могут содержать конфиденциальную информацию, используемую для зарабатывания денег различными способами.
  • Получение личной информации может привести к нарушению конфиденциальности, краже личных данных, финансовым потерям и другим проблемам.

Trojan.MacOS.GMERA.B

Вариант Trojan.MacOS.GMERA.B (Gmera Trojan Mac) собирает такую ​​информацию, как имя пользователя и IP-адрес жертвы, а также ряд других файлов.

  • Один служит «механизмом сохранения», позволяя GMERA продолжать работу даже после перезапуска системы, перезагрузки, выхода из системы и т. д.
  • После запуска такое программное обеспечение, как GMERA, прячется за торговым приложением Stockfolio и работает в фоновом режиме.
  • Немедленно примите меры, чтобы избавиться от инфекции.

Работающий

Операторы Gmera Trojan Mac имитируют законные веб-сайты для распространения вредоносных программ. Эти веб-сайты поразительно идентичны и неопытному глазу кажутся подлинными.

Хотя исследователи понятия не имели, где распространяется вредоносное ПО, Kattana предупредил пользователей о вредоносной службе имитации, заманивающей их на загрузку троянца.

Однако исследователи не смогли связать кампанию с вредоносным ПО GMERA. По словам исследователей, заражение также распространялось через троянов.

Симптомы

Трояны предназначены для проникновения на компьютер жертвы и остаются незамеченными незамеченными, поэтому явных признаков на зараженном ПК нет. Зараженные вложения электронной почты, мошеннический веб-маркетинг, социальная инженерия и взлом программного обеспечения — это вредоносные варианты законных приложений Stockfolio.

Источник инфекции

В своих последних атаках было обнаружено, что разработчики вируса GMERA использовали вредоносную версию реального приложения для торговли биткойнами Kattana.

  • Создатели вредоносной программы GMERA превратили нынешнюю Kattana во вредоносное ПО.
  • Они также разработали веб-страницы для вредоносных программ для торговли криптовалютой для пользователей Apple Mac.
  • Скорее всего, операторы лично связывались с предполагаемыми жертвами и убеждали их установить вредоносное ПО.
  • Файлы cookie браузера, история посещенных страниц и пароли криптовалютного кошелька были украдены с помощью обратных оболочек.

Шаги по удалению трояна Gmera Mac

1. Удалите файлы и папки, связанные с трояном Gmera Mac.

  • Щелкните значок Finder в строке меню. Выберите «Перейти», а затем «Перейти к папке…».
  • Ищите подозрительные и ненадежные файлы, созданные вредоносными программами, в папке /Library/LaunchAgents.
  • Найдите все недавно загруженные файлы в папке Launch Agent и переместите их в папку «Корзина».
  • «myppes.download.plist», «mykotlerino.Itvbit.plist», «installmac.AppRemoval.plist», «kuklorest.update.plist» и т. д. — вот некоторые примеры файлов, созданных угонщиком браузера или рекламным ПО.
  • Обнаружение и удаление файлов рекламного ПО в папке поддержки «/Library/Application».
  • Введите «/Library/Application Support» на панели «Перейти к папке…».
  • Ищите любые подозрительные недавно добавленные каталоги в папке поддержки приложений.
  • Если вы найдете какой-либо из них, например «NicePlayer» или «MPlayerX», переместите их в папку «Корзина».
  • Найдите в папке /Library/LaunchAgent файлы, созданные вредоносными программами.
  • Если вы обнаружите какие-либо подозрительные файлы, вы должны найти их и переместить в папку «Корзина».
  • Найдите в папке /Library/LaunchDaemons файлы, созданные вредоносными программами.
  • В поле «Перейти к папке» введите /Library/LaunchDaemons.
  • Найдите недавно открывшуюся папку «LaunchDaemons» на наличие недавно добавленных подозрительных файлов и переместите их в папку «Корзина».

2. Удалите Gmera из интернет-браузеров.

Удалите сомнительные и вредоносные расширения из Safari.

  • Откройте браузер «Safari» из «Панель меню». Выберите «Safari», а затем «Настройки» в раскрывающемся меню.
  • Выберите «Расширения», которые вы недавно установили, в открывшемся окне «Настройки».
  • Все эти расширения должны быть распознаны, и вы должны нажать кнопку «Удалить» рядом с ними, чтобы удалить их. Если вы все еще не уверены, вы можете удалить все расширения из браузера Safari, потому что ни одно из них не требуется для правильной работы браузера.
  • Вы можете сбросить настройки браузера Safari, если вы продолжаете получать нежелательные перенаправления веб-страниц или навязчивую рекламу.

Сбросить Сафари

  • Выберите «Настройки» в меню Safari.
  • Установите для расширения значение «Выкл.» на вкладке «Расширение». Установленные расширения в Safari отключены в результате этой настройки.
  • Выберите вкладку «Общие» в меню «Настройки». Замените домашнюю страницу по умолчанию желаемым URL-адресом.
  • Изучите настройки провайдера по умолчанию для поисковых систем. Выберите вкладку «Поиск» в поле «Настройки» и нужную поисковую систему, например «Google».

Очистите кеш в браузере Safari

  • Выберите вкладку «Дополнительно» и «Показать меню разработки в строке меню» в поле «Настройки».
  • Выберите «Очистить кэши» в меню «Разработка».
  • Очистите историю просмотров и данные веб-сайта. Выберите «Очистить историю и данные веб-сайта» в меню «Safari».
  • После этого выберите «вся история», а затем «Очистить историю».

Mozilla Firefox: удаление нежелательных и вредоносных плагинов

  • Надстройки Gmera должны быть удалены из Mozilla Firefox.
  • Запустите веб-браузер Mozilla Firefox. В правом верхнем углу экрана нажмите кнопку «Открыть меню».
  • Выберите «Дополнения» в открывшемся меню.
  • Выберите «Расширение» в раскрывающемся меню, чтобы увидеть список всех недавно установленных надстроек.
  • Выберите все сомнительные надстройки и нажмите кнопку «Удалить» рядом с ними, чтобы удалить их.

Сбросить настройки Mozilla Firefox

Если вы хотите «перезагрузить» браузер Mozilla Firefox , следуйте приведенным ниже инструкциям.

  • Откройте браузер Firefox Mozilla и перейдите в левый верхний угол экрана к кнопке «Firefox».
  • Выберите «Информация для устранения неполадок» в подменю «Справка» в новом меню.
  • Нажмите кнопку «Сбросить Firefox» на экране «Информация для устранения неполадок».
  • Выбрав опцию «Сбросить Firefox», вы подтверждаете, что хотите сбросить настройки Mozilla Firefox до заводских значений по умолчанию. Браузер перезапустится и настройки сбросятся до заводских.

Google Chrome: удаление нежелательных и вредоносных расширений

  • Откройте браузер Chrome и выберите «Меню Chrome» в раскрывающемся меню. Выберите «Дополнительные инструменты», а затем «Расширения» в меню.
  • Найдите все недавно установленные надстройки и расширения на вкладке «Расширения».
  • Выберите «Корзина» из выпадающего меню. Любой сторонний плагин не является существенным для бесперебойной работы браузера.

Сбросить настройки Google Chrome

  • Откройте браузер, перейдите в правый верхний угол окна и нажмите на трехстрочную полосу.
  • Выберите «Показать дополнительные настройки» в нижней части открывшегося окна.
  • Прокрутите до нижней части только что созданного окна и выберите «Сбросить настройки браузера».
  • В открывшемся окне «Сбросить настройки браузера» нажмите кнопку «Сбросить».

3. Удалить или удалить зараженный файл

Троянец пришел через файл, который вы скачали, или приложение или расширение, которое вы установили из ненадежного источника. Вполне возможно, что простое удаление может решить проблему, но это далеко не так, учитывая, насколько сложно уничтожить вредоносное ПО.

Используйте LaunchPad на Mac

  • Панель запуска можно открыть, щелкнув ее в доке или открыв ее из папки «Приложения».
  • Вы также можете зажать трекпад большим и тремя пальцами.
  • Если приложение не задокументировано в Launchpad, введите его имя в строку поиска. Проведите двумя пальцами вправо или влево по трекпаду, чтобы открыть следующую или предыдущую страницу.
  • Нажмите и удерживайте любое приложение, пока оно не начнет покачиваться, удерживая нажатой клавишу Option.
  • Рядом с приложением, которое вы хотите удалить, нажмите кнопку «Удалить», затем подтвердите действие, нажав «Удалить».
  • Программное обеспечение немедленно удаляется. Не показанные приложения не были загружены из App Store или не требуются для вашего Mac.
  • Чтобы удалить приложение, которое не было получено из App Store, используйте Finder вместо App Store.

Чтобы удалить приложение, используйте Finder.

  • Найдите приложение в Finder. Основная часть приложений находится в папке «Приложения», доступ к которой можно получить, выбрав «Приложения» на боковой панели любого окна Finder.
  • Вы также можете использовать Spotlight для поиска программного обеспечения. Удерживая нажатой клавишу Command (), дважды щелкните ее в Spotlight.
  • Выберите приложение и перетащите его в корзину, используя «Файл» > «Переместить в корзину».
  • Корзина появится в доке macOS.
  • Используйте имя и пароль учетной записи администратора на Mac, если требуется имя пользователя и пароль. Скорее всего, это имя пользователя и пароль, которые вы используете для входа на свой Mac.
  • Чтобы избавиться от программного обеспечения, перейдите в Finder > Очистить корзину.

4. Загрузите резервную копию Time Machine

Попытка выяснить, есть ли на вашем Mac троян, а затем удалить его вручную, вероятно, будет сложной задачей. Может быть проще просто восстановить резервную копию Time Machine перед установкой зараженного файла.

  • Чтобы восстановить Mac из резервной копии Time Machine, выполните следующие действия:
  • Выберите значок Time Machine в строке меню.
  • Введите опцию «Машина времени».
  • Появится стопка окон Finder, каждое из которых представляет отдельную резервную копию.
  • Нажмите кнопку «Восстановить» после выбора того, что вы хотите восстановить.

5. Используйте антивирусное программное обеспечение

Вам следует запускать сканирование на вирусы всякий раз, когда вы подозреваете, что ваш Mac заражен вредоносным ПО. Это включает в себя, если вы подозреваете, что заражены трояном. Антивирусное программное обеспечение проверяет файлы на наличие опасного кода.

Ищите надстройки для браузера.

Просканируйте свой компьютер на наличие угонщиков браузера и рекламных расширений:

  • Выберите «Safari» > «Настройки» в строке меню. Проверьте существующий URL-адрес домашней страницы и внесите необходимые изменения.
  • Затем перейдите на вкладку «Расширения» и удалите все, что вам незнакомо, так как они могут шпионить за вами, сохранять вашу личную информацию и перенаправлять вас на вредоносные веб-сайты.

Удалите все сомнительные приложения с вашего устройства.

  • Проверьте, не установлено ли у вас незнакомое программное обеспечение:
  • Перейдите в папку «Приложения» в Finder, выбрав «Переход» > «Приложения» или нажав Shift + Command + A.
  • Удалите все нераспознанные приложения из списка, прокрутив его.
  • Затем очистите корзину.

Удалите все сомнительные элементы входа из вашей системы.

  • Удалите все элементы входа в систему, которые ведут себя странно, как часть вашей цели «Удаление вредоносного ПО для Mac».
  • Некоторые из них могут быть вам незнакомы, или вы можете не помнить, что включали их.
  • Чтобы запретить запуск определенных элементов при запуске, выполните следующие действия. Снимите флажки с параметров в меню Apple > «Системные настройки» > «Пользователи и группы» > «Элементы входа».

В Apple macOS создайте новый профиль.

Вы можете исправить ситуацию, создав новый профиль в macOS, если вирус Mac нацелен на пользователя, а не на устройство. Чтобы создать новый профиль пользователя, выполните следующие действия:

  • Перейдите в «Системные настройки» > «Пользователи и группы» в меню Apple.
  • Чтобы внести изменения, разблокируйте страницу.
  • Выберите тип человека, которого вы хотите добавить, нажав кнопку + (Администратор или Стандартный).
  • Создайте нового пользователя, введя новое имя пользователя и пароль и нажав «Создать пользователя».

6. Восстановите заводские настройки вашего Mac

Это крайняя мера, но если ничто другое не помогает удалить троянца с вашего Mac, вы также можете выполнить сброс до заводских настроек. Это вернет ваш Mac к заводским настройкам, удалив с него все, включая все ваши данные, поэтому заранее сделайте резервную копию. Вам нужно будет войти в режим восстановления, чтобы начать.

Вот как войти в режим восстановления на M1 Mac:

  • Выключите свой Mac.
  • Теперь нажмите и удерживайте кнопку питания в течение нескольких секунд.
  • Удерживайте кнопку, пока не увидите Загрузка параметров запуска.
  • Продолжите, нажав клавишу Enter.
  • Введите пароль администратора при появлении запроса.
  • Теперь перейдите в Дисковую утилиту и найдите параметр «Стереть», чтобы удалить все файлы с Mac.

Заключение

Gmera также известен как троян Kassi, опасная компьютерная инфекция, которая маскируется под Stockfolio, подлинный и полезный торговый инструмент для пользователей Mac. Чтобы удалить «Gmera Trojan Mac» и очистить компьютер от вредоносных программ, используйте все вышеперечисленные процедуры.

Часто задаваемые вопросы

Могут ли трояны повлиять на Mac?

Если ваш Mac заражен троянским конем, программа может делать все, от установки других вирусов или шпионских программ до предоставления хакеру полного удаленного контроля над вашей системой. Троянский конь — это ужасная новость как для вас, так и для вашей машины.

Как узнать, есть ли на вашем Mac троянский вирус?

Ваш Mac начинает вести себя странно и делать вещи, которых вы не ожидаете. Ваш Mac начинает работать медленно, как будто что-то использует все ресурсы процессора. Объявления начинают появляться на вашем компьютере.

Как можно скрыть вредоносное ПО?

Вредоносное ПО может оставаться постоянной угрозой повышенной сложности (APT), используя полиморфизм, шифрование и выполнение в процессе. Каждый раз, когда воспроизводится полиморфный код, он меняется. Изменяя ключи шифрования/дешифрования на каждом новом устройстве, шифрование скрывает эти действия и сохраняет их в поле зрения.

Что такое троян? Это вирус или вредоносное ПО?

Троянский конь — это своего рода вредоносное ПО, которое маскируется под настоящую программу и загружается на компьютер. Злоумышленник часто использует социальную инженерию для внедрения вредоносного кода в подлинные приложения, чтобы получить доступ к системе с помощью своей программы.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *