Istruzioni per la rimozione dei programmi appartenenti alla famiglia di malware Eternity

Che cos'è il malware Eternity?

Scoperto da Cyble Research Labs, Eternity è il nome di una famiglia di malware che vengono venduti attivamente sul Web. Gli sviluppatori di Eternity utilizzano il servizio Telegram IM (Instant Messaging) per vendere i loro prodotti dannosi, oltre a fornire supporto e personalizzazione per gli acquirenti. Telegram può anche essere impiegato dagli aggressori che utilizzano i programmi Eternity come server C&C (Command and Control) e strumento di diffusionee.

Attualmente, questa famiglia di malware è composta da vari stealer, worm, miner, clipper, ransomware, e DDoS bot.

Panoramica del malware Eternity 

Al momento della ricerca, gli sviluppatori di Eternity sono attivi nell'aggiornamento e nel supporto del loro software. Pertanto, oltre alla personalizzazione di questi programmi, le infezioni possono variare da vittima a vittima. Ad esempio, i criminali informatici che acquistano il programma dannoso possono scegliere di includere le funzionalità AntiVM nella loro build, che consentono al malware di rilevare se viene lanciato in un ambiente virtuale.

È interessante notare che i programmi dannosi Eternity tendono a essere leggeri (di piccole dimensioni), il che mette meno a dura prova i sistemi e garantisce che il rilevamento a causa di prestazioni del sistema gravemente compromesse sia uno scenario improbabile.

Come accennato nell'introduzione, più programmi dannosi costituiscono la famiglia di malware Eternity. Gli stealer sono un tipo di software progettato per estrarre ed esfiltrare i dati dalla macchina infetta e dalle applicazioni installate. Eternity stealer può ottenere le seguenti informazioni dai sistemi: Credential Manager, Vault e password di rete.

Questo programma si rivolge anche a varie applicazioni: browser, gestori di password, client di posta elettronica, messenger, criptovalute offline (portafogli freddi), estensioni del browser di criptovaluta, VPN, FTP, e app relative ai giochi  (lista completa). Dai browser, può estrarre - Cookie Internet, token di accesso, cronologie di navigazione, segnalibri, riempimento automatico dei dati, password, numeri di carte di credito, ecc.

Il software dannoso classificato come worm opera diffondendosi attraverso i dispositivi infetti tramite file, reti e dispositivi di archiviazione rimovibili. Il worm Eternity funziona anche come dropper, ovvero infetta il contenuto con un payload dannoso. Questo worm può diffondersi attraverso file locali (elenco delle estensioni), condivisioni effettuate all'interno della rete locale, unità cloud, unità flash USB, progetti Python,e spam di messaggistica ai canali e ai contatti delle vittime.

I minatori di criptovaluta sono programmi che abusano delle risorse di sistema per generare criptovaluta. Secondo il materiale promozionale di Eternity miner, è leggero, non sovraccarica il sistema infetto, può essere invisibile su Task Manager di Windows e riavviarsi automaticamente se il suo processo viene terminato. Il minatore di Eternity è progettato per generare criptovaluta Monero, ma è possibile che ne estragga altre in futuro.

I clipper sostituiscono i dati copiati negli appunti del sistema (buffer copia-incolla). Eternity clipper rileva quando la vittima copia un indirizzo del portafoglio di criptovaluta Bitcoin, Bitcoin Cash, Litecoin o Zcash negli appunti e lo sostituisce con uno di proprietà degli aggressori. Quindi, quando una vittima effettua una transazione in uscita, la criptovaluta viene trasferita ai criminali informatici anziché al destinatario previsto. Proprio come il minatore di Eternity, questo clipper è leggero e può essere nascosto su Task Manager.

Il Ransomware è un tipo di malware che genera profitti attraverso riscatti ottenuti crittografando i file delle vittime e/o bloccando gli schermi dei loro dispositivi. Eternity ransomware è personalizzabile e leggero; maggiori informazioni su di esso possono essere trovate nel nostro articolo.

I bot DDoS sono programmi dannosi in grado di lanciare attacchi Distributed Denial-of-Service (attacchi DDoS) - in cui le risposte di una macchina, di una rete, di un sito Web o di un servizio sono interessate o sovraccaricate fino al punto di arresto anomalo, rendendole così non disponibili per gli utenti autentici. Al momento in cui scrivo, il bot Eternity DDoS è ancora in fase di sviluppo.

Per riassumere, queste infezioni possono portare a una perdita permanente di dati, gravi problemi di privacy, perdite finanziarie e furto di identità. Se sospetti che il tuo sistema sia già infetto dal malware Eternity, ti consigliamo vivamente di utilizzare un antivirus per rimuoverlo senza indugio.

Sommario:

Nome	Eternity virus
Tipo di minaccia	Malware, Trojan, Stealer, Worm, Clipper, Cryptocurrency Miner, Ransomware, DDoS Bot.
Nomi rilevati (Stealer)	Avast (Win32:Trojan-gen), Combo Cleaner (Gen:Variant.Razy.979644), ESET-NOD32 (una variante di Win32/Packed.VMProtect.ACR), Kaspersky (HEUR:Trojan-PSW.MSIL.Growtopia.gen ), Microsoft (Trojan:Win32/Skeeyah.A!rfn), Elenco completo dei rilevamenti (VirusTotal)
Nomi rilevati (Clipper)	Avast (Win32:PWSX-gen [Trj]), Combo Cleaner (Trojan.GenericKD.48969991), ESET-NOD32 (Una variante di MSIL/ClipBanker.AAJ), Kaspersky (HEUR:Trojan-Banker.MSIL.ClipBanker.gen) , Microsoft (Trojan:MSIL/ClipBanker.DI!MTB), Elenco completo dei rilevamenti (VirusTotal)
Nomi rilevati (Ransomware)	Avast (Win32:Trojan-gen), Combo Cleaner (Gen:Variant.Bulz.171562), ESET-NOD32 (una variante di MSIL/Filecoder.ADX), Kaspersky (HEUR:Trojan-Ransom.MSIL.Crypmod.gen), Microsoft (Ransom:MSIL/CryptoLocker.DF!MTB), Elenco completo dei rilevamenti (VirusTotal)
Nomi rilevati (Worm)	Avast (Win32:DropperX-gen [Drp]), Combo Cleaner (Gen:Variant.Lazy.165364), ESET-NOD32 (una variante di MSIL/TrojanDropper.Agent.F), Kaspersky (HEUR:Trojan.MSIL.Miner. gen), Microsoft (Trojan:MSIL/AgentTesla.DA!MTB), Elenco completo dei rilevamenti (VirusTotal)
Metodi distributivi	Allegati e-mail infetti, pubblicità online dannose, ingegneria sociale, "crack" del software.
Danni	Password e informazioni bancarie rubate, furto di identità, perdita permanente di dati, computer della vittima aggiunto a una botnet.
Rimozione dei malware (Windows)	Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. ▼ Scarica Combo Cleaner Lo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più.

Esempi simili di malware

Abbiamo analizzato migliaia di campioni di malware; Burmilla, Stealerium, e 000 Stealer sono solo alcuni esempi di stealer, Phorpiex (Trik), Forbix, Stalk - worm, Sapphire, Kratos Silent Miner, Muse - minatori di criptovalute, Allcome, Extended Clipper, Frost Clipper - clipper, Kekpop, LockData, Errz - ransomware, e NetDooka, Little Thief, Spectre - programmi in grado di implementare attacchi DDoS.

Va sottolineato che, indipendentemente dal modo in cui opera il malware, la sua presenza su un sistema mette in pericolo l'integrità del dispositivo e la sicurezza dell'utente. Pertanto, è fondamentale eliminare tutte le minacce immediatamente dopo il rilevamento.

In che modo Eternity si è infiltrata nel mio computer?

Poiché il malware Eternity è offerto in vendita sia sul sito Web della rete Tor che su Telegram, il modo esatto in cui viene distribuito dipende dai criminali informatici che lo utilizzano in quel momento.

Il worm Eternity è in grado di diffondersi automaticamente tramite reti locali, file locali, unità flash USB, progetti Python compilati, unità di archiviazione cloud, nonché spam di Telegram e Discord. Questo worm può anche rilasciare payload dannosi.

Eternity stealer prende di mira email, client di messaggistica e altri account social, che possono essere utilizzati anche per diffondere ulteriormente il malware.

In generale, i metodi di proliferazione del malware più comuni includono: download drive-by (invisibili e ingannevoli), allegati e collegamenti dannosi in e-mail/messaggi di spam, fonti di download dubbie (ad esempio, siti Web gratuiti e di terze parti, condivisione peer-to-peer reti, ecc.), strumenti illegali di attivazione di programmi ("crack"), aggiornamenti falsi e truffe online.

Come evitare l'installazione di malware?

Si consiglia vivamente di prestare attenzione alla posta in arrivo. Gli allegati e i collegamenti presenti nelle e-mail e nei messaggi sospetti/irrilevanti non devono essere aperti, poiché ciò potrebbe causare un'infezione del sistema.

Inoltre, tutti i download devono essere eseguiti da canali ufficiali e verificati. Un'altra raccomandazione è quella di attivare e aggiornare sempre il software con strumenti forniti da sviluppatori legittimi, poiché gli strumenti di attivazione illegale ("crack") e gli aggiornamenti falsi possono contenere malware.

Dobbiamo sottolineare l'importanza di avere un antivirus affidabile installato e aggiornato. I programmi di sicurezza devono essere utilizzati per eseguire scansioni regolari del sistema e per rimuovere le minacce e i problemi rilevati. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.

Screenshot del file crittografato da Eternity ransomware (nessuna estensione aggiuntiva):

Aspetto della richiesta di riscatto creata da Eternity ransomware (GIF):

Testo presentato in questo messaggio:

Eternity 2.0

All your files belong to us!
- files have been encrypted

The harddisks of your computer have been encrypted with an Military grade encryption algorithm.

1. Send us your ID and sendme.eternityraas at getyourfilesback_s@protonmail.com or at telegram @RecoverdataU
2. You will recieve a personal Monero for payment, payment rate is 800$
3. Once payment has been completed, send another email to us stating by `PAID`we will check to see if payment has been paid.
4. You will receive a text file with your KEY
 WARNING:
*Do not interrupt the decryption process it only depend on the amount of file to decrypt.
*Do not attempt to decrypt your files with any software as it is obselete and will not work, and may cost you more to unlock your files.
*Do not change file names, mess with the files, or run decryption software as it will cost you more to unlock your files and there is a high chance you will lose your files forever.
*Do not send `PAID` to us without paying, price will rise for disobedience.The payment rate will increase by 500$ so be carefull

by Eternity group

Price: 800$ in Monero
Email: getyourfilesback_s@protonmail.com
Telegram: @RecoverdataU
Info: monero.org

ID: -
by Eternity group

Enter password
[Please decrypt them!]

Screenshot del sito Web Tor utilizzato per promuovere il malware Eternity:

Elenco delle applicazioni prese di mira da Eternity stealer;

• Browser (selezionati, +20 in più): Chrome, Firefox, Edge, Chromium, Opera, Internet Explorer, Vivaldi, etc.
• Gestori di password (selezionati, +10in più ): 1Password, BitWarden, KeePass, LastPass, NordPass, RoboForm, etc.
• Client di posta elettronica: FoxMail, Thunderbird, Outlook, MailBird, PostBox.
• Client di messaggistica: Telegram, Discord, Pidgin, WhatsApp, Signal, RamBox.
• Portafogli di criptovaluta offline (cold wallet): Atomic, Binance, BitcoinCore, Coinomi, DashCore, DogeCore, Electrum, Exodus, Guarda, Jaxx, LiteCore, MoneroCore, Wasabi, Zcash.
• Estensioni del browser a tema criptovaluta  (selezionati, +30 in più): BinanceChain, Coinbase Wallet, MetaMask.
• Client VPN (Virtual Private Network).: AzireVPN, EarthVPN, NordVPN, OpenVPN, ProtonVPN, WindscribeVPN.
• Client FTP (File Transfer Protocol).: FileZilla, CoreFTP, CyberDuck, Snowflake, WinSCP.
• Software relativo al gioco: OBS (broadcasting keys), Steam (sessions), Twitch (sessions).

Caratteristiche utilizzate da Eternity worm per autodistribuirsi:

• File locali - .EXE, .ZIP, .BAT, .JAR, .PY, .DOCX, .XLSX, .PPTX, .PDF, .PNG, .MP3, .MP4;
• Condivisioni di rete locale;
• chiavette USB;
• Unità cloud - GoogleDrive, DropBox, OneDrive;
• Progetti Python compilati;
• Messaggistica spam - Telegram, Discord.

Rimozione automatica istantanea dei malware: La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.

Menu:

• Cos'è Eternity?
• STEP 1. Rimozione manuale del malware Eternity.
• STEP 2. Controlla se il tuo computer è pulito.

Come rimuovere un malware manualmente?

La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner.

Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:

Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando task manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:

 Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:

Riavvia il tuo computer in modalità provvisoria:

Windows XP e Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.

Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":

Windows 8:

Avvia Windows 8 è in modalità provvisoria con rete: vai alla schermata iniziale di Windows 8, digita Avanzate, nei risultati della ricerca seleziona Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" aperta, selezionare Avvio avanzato.

Fare clic sul pulsante "Riavvia ora". Il computer si riavvierà ora nel "menu Opzioni di avvio avanzate". Fare clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".

Fare clic sul pulsante "Riavvia". Il tuo PC si riavvierà nella schermata Impostazioni di avvio. Premi F5 per avviare in modalità provvisoria con rete.

Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":

Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate".

Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.

ideo che mostra come avviare Windows 10 in "Modalità provvisoria con rete":

Estrai l'archivio scaricato ed esegui il file Autoruns.exe.

Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".

Controlla l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.

Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema.

Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare ogni file appartenente al malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascoste prima di procedere. Se trovi dei file del malware assicurati di rimuoverli.

Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti essere in grado di rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware.

Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware in seguito. Per proteggere il computer, assicurati di installare gli aggiornamenti del sistema operativo più recenti e utilizzare un software antivirus.

Per essere sicuro che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.

Domande Frequenti (FAQ)

Il mio computer è stato infettato dal malware Eternity, devo formattare il mio dispositivo di archiviazione per sbarazzarmene?

No, misure così drastiche non sono necessarie per la rimozione del malware Eternity.

Quali sono i maggiori problemi che il malware Eternity può causare?

Eternity è il nome di una famiglia di malware, che comprende programmi dannosi con diverse funzionalità. Le capacità di un programma maligno e gli obiettivi dei criminali informatici determinano le minacce che l'infezione pone. In sintesi, l'insieme dei programmi dannosi di Eternity può causare una riduzione delle prestazioni del sistema, la perdita permanente dei dati, gravi problemi di privacy, perdite finanziarie e furto di identità.

Qual è lo scopo del malware Eternity?

In genere, il malware viene utilizzato come strumento per generare entrate. Tuttavia, questi programmi possono essere utilizzati anche per divertire i criminali informatici, interrompere processi (ad es. siti Web, servizi, aziende, ecc.), realizzare vendette personali o persino lanciare un attacco motivato politicamente/geopoliticamente.

In che modo il malware Eternity si è infiltrato nel mio computer?

Il malware si diffonde principalmente attraverso download drive-by, e-mail e messaggi di spam, siti non ufficiali e freeware, reti di condivisione P2P, truffe online, strumenti di attivazione illegale di programmi ("cracking") e falsi aggiornamenti. In particolare, il worm Eternity (che può iniettare programmi dannosi aggiuntivi) è in grado di autoproliferarsi tramite file locali, reti locali, dispositivi di archiviazione rimovibili (unità flash USB), unità cloud, progetti Python compilati e client di messaggistica.

Combo Cleaner mi proteggerà dai malware?

Sì, Combo Cleaner è in grado di rilevare ed eliminare quasi tutte le infezioni malware conosciute. Va sottolineato che eseguire una scansione completa del sistema è fondamentale, poiché il software dannoso sofisticato di solito si nasconde in profondità nei sistemi.

▼ Mostra Discussione