6 Fixar för att ta bort Gmera Trojan Mac Virus från Mac
Forskare har upptäckt ”Gmera Trojan Mac”, en trojan som riktar sig till kryptohandlare som använder Apple Mac. Skadlig programvara infekterar användare genom att imitera auktoritativa webbplatser med liknande domän och användargränssnitt för att lura oförsiktiga användare att besöka dem.
Enligt ESET har forskare vid cybersäkerhetsföretaget ESET upptäckt skadlig programvara som kan stjäla data med hjälp av ”webbläsarcookies, kryptoplånböcker och skärmdumpar.”
Vad är Gmera Trojan för Mac och hur fungerar det?
GMERA är skadlig skadlig programvara som maskerar sig som Stockfolio, ett lagligt handelsverktyg för Apple Mac-användare. Enligt forskning finns det två varianter av denna skadliga programvara, varav en har identifierats som en trojan. Den förra är känd som MacOS.GMERA.A och den senare är känd som trojan. macOS.GMERA.B.
Cyberkriminella använder ofta GMERA för att stjäla data och ladda upp den till en webbplats de kontrollerar. Ta bort GMERA så snart som möjligt för att undvika skador orsakade av denna infektion.
Typer
Trojan.MacOS.MERA.A
Gmer Mac Trojan är en fiktiv karaktär. macOS.MERA. Användarinformation som användarnamn, IP-adresser, applikationer i mappen Applications och filer i katalogerna /Documents och /Desktop samlas i exemplet.
- Det fångar också OS installationsdatum, grafik och visar information, trådlös information och skärmdumpar.
- Den skickar information till en server som drivs av cyberbrottslingar.
- De stulna uppgifterna/detaljerna kan innehålla känslig information som används för att tjäna pengar på olika sätt.
- Att få personlig information kan leda till integritetsintrång, identitetsstöld, ekonomisk förlust och andra problem.
Trojan.MacOS.GMERA.B
Varianten Trojan.MacOS.GMERA.B (Gmera Trojan Mac) samlar in information som offrets användarnamn och IP-adress, samt ett antal andra filer.
- Den ena fungerar som en ”uthållighetsmekanism”, vilket gör att GMERA kan fortsätta köra även efter en omstart av systemet, omstart, utloggning, etc.
- När den väl har lanserats gömmer sig programvara som GMERA bakom den faktiska Stockfolio-handelsappen och körs i bakgrunden.
- Vidta omedelbara åtgärder för att bli av med infektionen.
Arbetssätt
Gmera Trojan Mac -operatörer imiterar legitima webbplatser för att distribuera skadlig programvara. Dessa webbplatser är slående identiska och verkar äkta för det otränade ögat.
Även om forskarna inte hade någon aning om var skadlig programvara spred sig, varnade Kattana användare om en skadlig identitetstjänst som lockade dem att ladda ner trojanen.
Forskarna kunde dock inte länka kampanjen till skadlig programvara GMERA. Enligt forskarna spreds smittan även via trojaner.
Symtom
Trojaner är utformade för att infiltrera offrets dator och förbli obemärkt obemärkt, så det finns inga uppenbara tecken på den infekterade datorn. Infekterade e-postbilagor, bedräglig webbmarknadsföring, social ingenjörskonst och mjukvaruhack är skadliga varianter av legitima Stockfolio-applikationer.
Smittkälla
I sina senaste attacker upptäcktes det att utvecklarna av GMERA-viruset använde en skadlig version av den riktiga bitcoin-handelsapplikationen Kattana.
- Skaparna av skadlig programvara GMERA förvandlade den nuvarande Kattana till skadlig programvara.
- De utvecklade också webbsidor för skadlig kod för handel med kryptovalutor för Apple Mac-användare.
- Troligtvis kontaktade operatörerna personligen sina avsedda offer och övertygade dem om att installera skadlig programvara.
- Webbläsarcookies, webbhistorik och lösenord för kryptovaluta plånbok stals med omvända skal.
Steg för att ta bort Gmera Mac Trojan
1. Ta bort filer och mappar som är associerade med Gmera Mac trojan
- Klicka på Finder-ikonen i menyraden. Välj ”Gå” och sedan ”Gå till mapp…”.
- Leta efter misstänkta och opålitliga filer skapade av skadlig programvara i mappen /Library/LaunchAgents.
- Hitta alla nyligen nedladdade filer i mappen Launch Agent och flytta dem till papperskorgen.
- ”myppes.download.plist”, ”mykotlerino.Itvbit.plist”, ”installmac.AppRemoval.plist”, ”kuklorest.update.plist”, etc. är några exempel på filer som skapats av en webbläsarkapare eller adware.
- Detektering och borttagning av adware-filer i supportmappen ”/Library/Application”.
- Ange ”/Library/Application Support” i panelen ”Gå till mapp…”.
- Leta efter eventuella misstänkta nyligen tillagda kataloger i mappen Application Support.
- Om du hittar någon av dem, till exempel ”NicePlayer” eller ”MPlayerX”, flytta dem till papperskorgen.
- Titta i mappen /Library/LaunchAgent efter filer som skapats av skadlig programvara.
- Om du hittar några misstänkta filer bör du hitta dem och flytta dem till papperskorgen.
- Titta i mappen /Library/LaunchDaemons efter filer som skapats av skadlig programvara.
- I fältet Bläddra till mapp anger du /Library/LaunchDaemons.
- Sök i den nyligen öppnade mappen ”LaunchDaemons” efter alla misstänkta filer som nyligen har lagts till och flytta dem till mappen ”Trash”.
2. Ta bort Gmera från webbläsare
Ta bort tvivelaktiga och skadliga tillägg från Safari.
- Öppna webbläsaren ”Safari” från ”menyraden”. Välj ”Safari” och sedan ”Inställningar” från rullgardinsmenyn.
- Välj de ”tillägg” du nyligen installerade i fönstret Inställningar som öppnas.
- Alla dessa tillägg bör kännas igen och du bör klicka på knappen ”Avinstallera” bredvid dem för att ta bort dem. Om du fortfarande är osäker kan du ta bort alla tillägg från webbläsaren Safari eftersom ingen av dem krävs för att webbläsaren ska fungera korrekt.
- Du kan återställa webbläsarinställningarna för Safari om du fortsätter att ta emot oönskade omdirigeringar av webbsidor eller påträngande annonser.
Återställ Safari
- Välj ”Inställningar” från Safari-menyn.
- Ställ in tillägget på ”Av” på fliken Tillägg. Installerade tillägg i Safari är inaktiverade som ett resultat av den här inställningen.
- Välj fliken Allmänt från menyn Inställningar. Ersätt standardhemsidan med önskad URL.
- Undersök standardleverantörsinställningarna för sökmotorer. Välj fliken ”Sök” i fältet ”Inställningar” och önskad sökmotor, till exempel ”Google”.
Rensa cacheminnet i webbläsaren Safari
- Välj fliken ”Avancerat” och ”Visa utvecklingsmeny i menyraden” i rutan ”Inställningar”.
- Välj Rensa cacher från menyn Utveckla.
- Rensa din webbhistorik och webbplatsdata. Välj ”Rensa historik och webbplatsdata” från menyn ”Safari”.
- Välj sedan ”all historik” och sedan ”Rensa historik”.
Mozilla Firefox: Ta bort oönskade och skadliga plugins
- Gmera-tillägg måste tas bort från Mozilla Firefox.
- Starta webbläsaren Mozilla Firefox. Klicka på knappen ”Öppna menyn” i det övre högra hörnet av skärmen.
- Välj Tillägg från menyn som öppnas.
- Välj ”Extension” från rullgardinsmenyn för att se en lista över alla nyligen installerade tillägg.
- Välj alla tvivelaktiga tillägg och klicka på knappen ”Avinstallera” bredvid dem för att ta bort dem.
Återställ Mozilla Firefox-inställningar
Om du vill ”ladda om” Mozilla Firefox webbläsare, följ instruktionerna nedan.
- Öppna Firefox Mozilla webbläsare och gå till det övre vänstra hörnet av skärmen till ”Firefox”-knappen.
- Välj ”Felsökningsinformation” från undermenyn ”Hjälp” i den nya menyn.
- Klicka på knappen Återställ Firefox på skärmen Felsökningsinformation.
- Genom att välja alternativet ”Återställ Firefox” bekräftar du att du vill återställa Mozilla Firefox-inställningarna till fabriksinställningarna. Webbläsaren startas om och inställningarna återställs till fabriksinställningarna.
Google Chrome: Ta bort oönskade och skadliga tillägg
- Öppna Chrome- webbläsaren och välj ”Chrome-menyn” från rullgardinsmenyn. Välj ”Fler verktyg” och sedan ”Extensions” från menyn.
- Hitta alla nyligen installerade tillägg och tillägg under fliken Tillägg.
- Välj ”Korg” från rullgardinsmenyn. Alla plugin från tredje part är inte nödvändiga för att webbläsaren ska fungera smidigt.
Återställ Google Chrome
- Öppna din webbläsare, gå till det övre högra hörnet av fönstret och klicka på raden med tre rader.
- Välj ”Visa avancerade inställningar” längst ned i fönstret som öppnas.
- Bläddra till botten av fönstret du just skapade och välj Återställ webbläsarinställningar.
- I fönstret Återställ webbläsarinställningar som öppnas klickar du på knappen Återställ.
3. Ta bort eller ta bort den infekterade filen
Trojanen kom via en fil som du laddade ner eller ett program eller tillägg som du installerade från en opålitlig källa. Det är fullt möjligt att en enkel borttagning skulle kunna lösa problemet, men det är långt ifrån fallet med tanke på hur svårt det är att döda skadlig programvara.
Använd LaunchPad på Mac
- Launchpad kan öppnas genom att klicka på den i Dock eller genom att öppna den från mappen Applications.
- Du kan också nypa styrplattan med tummen och tre fingrar.
- Om applikationen inte är dokumenterad i Launchpad anger du dess namn i sökfältet. Svep åt höger eller vänster på styrplattan med två fingrar för att öppna nästa eller föregående sida.
- Tryck och håll ned valfri app tills den börjar vicka medan du håller ned Alternativ-tangenten.
- Bredvid appen du vill avinstallera klickar du på knappen Avinstallera och bekräftar sedan genom att klicka på Avinstallera.
- Programvaran tas omedelbart bort. Appar som inte visades laddades inte ner från App Store eller krävs av din Mac.
- För att ta bort en app som inte har hämtats från App Store, använd Finder istället för App Store.
Använd Finder för att ta bort ett program.
- Hitta appen i Finder. Huvuddelen av programmen finns i mappen Applications, som kan nås genom att välja Applications från sidofältet i ett Finder-fönster.
- Du kan också använda Spotlight för att söka efter programvara. Håll ner kommandotangenten () och dubbelklicka på den i Spotlight.
- Välj en app och dra den till papperskorgen med Arkiv > Flytta till papperskorgen.
- Papperskorgen visas i macOS Dock.
- Använd administratörskontots namn och lösenord på Mac om ett användarnamn och lösenord krävs. Detta är troligen användarnamnet och lösenordet du använder för att logga in på din Mac.
- För att bli av med programvaran, gå till Finder > Töm papperskorgen.
4. Ladda ner en Time Machine-säkerhetskopia
Att försöka ta reda på om din Mac har en trojan och sedan manuellt ta bort den kommer sannolikt att vara en skrämmande uppgift. Det kan vara lättare att helt enkelt återställa en Time Machine-säkerhetskopia innan du installerar den infekterade filen.
- För att återställa din Mac från en Time Machine-säkerhetskopia, följ dessa steg:
- Välj Time Machine-ikonen från menyraden.
- Ange alternativet ”Time Machine”.
- En bunt Finder-fönster kommer att dyka upp, som var och en representerar en egen säkerhetskopia.
- Klicka på ”Återställ”-knappen efter att ha valt vad du vill återställa.
5. Använd antivirusprogram
Du bör köra en virussökning när du misstänker att din Mac är infekterad med skadlig programvara. Detta inkluderar om du misstänker att du är infekterad med en trojan. Antivirusprogram kontrollerar filer för farlig kod.
Leta efter webbläsartillägg.
Skanna din dator efter webbläsarkapare och annonstillägg:
- Välj Safari > Inställningar från menyraden. Kontrollera webbadressen till den befintliga hemsidan och gör nödvändiga ändringar.
- Gå sedan till fliken ”Extensions” och ta bort allt som är obekant för dig, eftersom de kan spionera på dig, spara din personliga information och omdirigera dig till skadliga webbplatser.
Ta bort alla tvivelaktiga appar från din enhet.
- Kontrollera om du har obekant programvara installerad:
- Navigera till mappen Program i Finder genom att välja Gå > Program eller genom att trycka på Skift + Kommando + A.
- Ta bort alla okända appar från listan genom att bläddra igenom den.
- Töm sedan papperskorgen.
Ta bort alla tvivelaktiga inloggningsobjekt från ditt system.
- Ta bort alla inloggningsobjekt som fungerar konstigt som en del av ditt mål för borttagning av skadlig programvara för Mac.
- Vissa av dem kanske är obekanta för dig, eller så kommer du kanske inte ihåg att du slog på dem.
- Följ dessa steg för att förhindra att vissa objekt körs vid start: Avmarkera alternativen i Apple-menyn > Systeminställningar > Användare och grupper > Inloggningsobjekt.
På Apple macOS skapar du en ny profil.
Du kan åtgärda situationen genom att skapa en ny profil i macOS om Mac-viruset riktar sig mot användaren och inte enheten. För att skapa en ny användarprofil, följ dessa steg:
- Gå till Systeminställningar > Användare och grupper från Apple-menyn.
- För att göra ändringar, lås upp sidan.
- Välj vilken typ av person du vill lägga till genom att klicka på +-knappen (Administratör eller Standard).
- Skapa en ny användare genom att ange ett nytt användarnamn och lösenord och klicka på ”Skapa användare”.
6. Fabriksåterställ din Mac
Detta är den sista utvägen, men om inget annat hjälper till att ta bort trojanen från din Mac kan du också göra en fabriksåterställning. Detta kommer att återställa din Mac till fabriksinställningarna, ta bort allt från den, inklusive alla dina data, så gör en säkerhetskopia i förväg. Du måste gå in i återställningsläge för att komma igång.
Så här går du till återställningsläge på M1 Mac:
- Stäng av din Mac.
- Tryck och håll ner strömknappen i några sekunder.
- Håll ned knappen tills du ser Laddar startalternativ.
- Fortsätt genom att trycka på Enter.
- Ange administratörslösenordet när du uppmanas.
- Gå nu till Diskverktyg och leta efter alternativet ”Radera” för att ta bort alla filer från Mac.
Slutsats
Gmera är också känd som Kassi-trojanen, en farlig datorinfektion som maskerar sig som Stockfolio, ett äkta och användbart handelsverktyg för Mac-användare. För att ta bort ”Gmera Trojan Mac” och rensa din dator från skadlig programvara, använd alla ovanstående procedurer.
FAQ
Kan trojaner påverka en Mac?
Om din Mac är infekterad med en trojansk häst kan programmet göra allt från att installera andra virus eller spionprogram till att ge en hackare fullständig fjärrkontroll över ditt system. En trojansk häst är fruktansvärda nyheter för både dig och din maskin.
Hur vet man om din Mac har ett trojanskt virus?
Din Mac börjar bete sig konstigt och göra saker du inte förväntar dig. Din Mac börjar köra långsamt, som om något använder alla CPU-resurser. Annonser börjar visas på din dator.
Hur kan skadlig programvara döljas?
Skadlig programvara kan förbli en Advanced Persistent Threat (APT) genom att använda polymorfism, kryptering och körning under process. Varje gång en polymorf kod spelas upp ändras den. Genom att ändra krypterings-/dekrypteringsnycklarna på varje ny enhet döljer kryptering dessa aktiviteter och håller dem synliga.
Vad är en trojan? Är det ett virus eller skadlig kod?
En trojansk häst är en sorts skadlig kod som klär ut sig som ett riktigt program och laddas ner till en dator. En angripare använder ofta social ingenjörskonst för att injicera skadlig kod i äkta applikationer för att få tillgång till systemet med hjälp av deras program.
Lämna ett svar