Istruzioni per la rimozione del malware Screenshotter
Scitto da Tomas Meskauskas il (aggiornato)
Cos'è Screenshotter?
Screenshotter è un software dannoso. Esistono più varianti di questo malware, scritte in AutoIT, Python e versioni che combinano JavaScript e IrfanView. La sua funzionalità principale è acquisire screenshot.
Questo malware è parte integrante delle campagne soprannominate da Proofpoint "Screentime". Sebbene i componenti di questi attacchi siano stati utilizzati da vari autori di minacce con obiettivi diversi, le prove suggeriscono che un unico gruppo ben organizzato guida le campagne Screentime. Gli attacchi hanno preso di mira un’ampia varietà di aziende/organizzazioni negli Stati Uniti e in Germania, senza una particolare sfera di interesse.
Panoramica sul malware degli screenshot
Le campagne Screentime osservate hanno introdotto il primo payload – chiamato WasabiSeed – per garantire la persistenza. Successivamente, il sistema è stato infettato da Screenshotter.
Questo malware ha quindi iniziato a catturare screenshot del desktop in formato immagine JPG e a inviarli ai criminali informatici. Sembra che gli autori delle minacce abbiano esaminato manualmente gli screenshot e poi abbiano deciso la seguente linea d'azione.
Le campagne indagate si sono infiltrate nel Bot AHK che ha iniettato un caricatore (ovvero un malware progettato per scaricare/installare componenti dannosi aggiuntivi). Questo caricatore è progettato specificamente per infettare i dispositivi con programmi dannosi di tipo stealer.
Al momento della ricerca, questo bot ha iniettato nei sistemi il ladro Rhadamanthys. Tuttavia, potrebbe infettare le macchine con diversi malware che rubano informazioni.
In sintesi, la presenza di software come Screenshotter sui dispositivi può provocare molteplici infezioni del sistema, gravi problemi di privacy, perdite finanziarie e furti di identità.
Se ritieni che il tuo dispositivo sia infetto da Screenshotter (o altro malware), esegui una scansione completa del sistema con un antivirus e rimuovilo immediatamente.
| Nome | Screenshotter virus |
| Tipologia di minaccia | Trojan, spyware. |
| Nomi rilevati | Avast (Altro:Malware-gen [Trj]), Combo Cleaner (Trojan.GenericKD.65424673), ESET-NOD32 (JS/Spy.Agent.GH), Kaspersky (HEUR:Trojan.Script.Generic), TrendMicro (Trojan. Win32.FRS.VSNW09B23), elenco completo dei rilevamenti (VirusTotal) |
| Sintomi | I trojan sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenziosi, quindi nessun sintomo particolare è chiaramente visibile su una macchina infetta. |
| Metodi distributivi | Allegati email infetti, pubblicità online dannose, ingegneria sociale, "crack" del software. |
| Danni | Password e informazioni bancarie rubate, furto d'identità, computer della vittima aggiunto a una botnet. |
| Rimozione dei malware (Windows) | Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. |
I malware in generale
Abbiamo analizzato migliaia di campioni di malware; Graphiron, Ice Breaker, GoogleUpdate malware– sono solo alcuni dei nostri articoli più recenti su questo argomento.
Il software dannoso può avere un'ampia gamma di funzionalità e usi. Questi fattori determinano le minacce poste da un’infezione. Tuttavia, indipendentemente da come opera il malware, la sua presenza su un sistema mette a rischio l’integrità del dispositivo e la sicurezza dell’utente. Pertanto, consigliamo vivamente di eliminare le minacce immediatamente dopo il rilevamento.
In che modo Screenshotter si è infiltrato nel mio computer?
È stato notato che lo screenshot viene diffuso tramite campagne di spam via e-mail e annunci Google dannosi. La portata del primo è molto più significativa. Le campagne malspam sono state osservate per la prima volta nel 2022 e sono cresciute rapidamente di portata. L'ultima attività ha comportato decine di migliaia di e-mail di spam.
Come accennato nell'introduzione, le campagne, denominate Screentime, si sono concentrate su organizzazioni negli Stati Uniti e in Germania. Pertanto, le lettere di spam erano in inglese o tedesco.
La posta indesiderata diffonde malware distribuendo file virulenti. Queste campagne utilizzavano due modalità di consegna e tre formati di file. I file dannosi erano allegati o collegati all'interno delle email. I file erano documenti PUB con comandi macro dannosi, PDF contenenti URL di file JavaScript o semplicemente JavaScript senza intermediari.
Va però sottolineato che Screenshotter può essere diffuso utilizzando altre tecniche oltre al malspam e al malvertising. Il malware viene solitamente distribuito utilizzando tattiche di phishing e ingegneria sociale. Questo software è in genere mascherato o fornito in bundle con programmi/supporti ordinari.
Oltre ai metodi di distribuzione descritti in precedenza, il software dannoso viene ampiamente diffuso tramite download drive-by (furtivi/ingannevoli), truffe online, fonti di download dubbie (ad esempio, reti di condivisione peer-to-peer, siti Web di hosting di file gratuiti e gratuiti), ecc.), strumenti di attivazione illegale di programmi ("cracking") e aggiornamenti falsi.
Come evitare l'installazione di malware?
È fondamentale affrontare con cautela le email in arrivo, i messaggi PM/DM e altri messaggi. Sconsigliamo di aprire allegati o collegamenti presenti in messaggi sospetti/irrilevanti, poiché possono essere contagiosi.
Ti consigliamo di utilizzare le versioni di Microsoft Office successive al 2010, poiché dispongono della modalità "Visualizzazione protetta" che impedisce l'esecuzione automatica dei comandi macro.
Inoltre, tutti i download devono essere eseguiti da canali ufficiali e verificati. È altrettanto importante attivare e aggiornare il software utilizzando funzioni/strumenti legittimi, poiché strumenti di attivazione illegali ("crack") e programmi di aggiornamento di terze parti possono contenere malware.
Dobbiamo sottolineare che avere un antivirus affidabile installato e mantenuto aggiornato è fondamentale per la sicurezza del dispositivo e dell'utente. È necessario utilizzare programmi di sicurezza per eseguire scansioni regolari del sistema e rimuovere minacce/problemi rilevati. Se ritieni che il tuo computer sia già infetto, ti consigliamo di eseguire una scansione con Combo Cleaner per eliminare automaticamente il malware infiltrato.
Screenshot di un'email spam che distribuisce il malware Screenshotter:
Testo presentato in questa lettera email:
Hi there,
Please judge my business presentation, your opinion is important to me.
Get Demo
I will be pleased to get your responses as quickly as possible.
Best wishes
Screenshot di un'altra email di spam che distribuisce malware Screenshotter:
Testo presentato in questa lettera email:
Guten Abend,
Schau dir meine Arbeit an
Datei ansehen [black-socks.org]
Was denkst du?
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
▼ SCARICA Combo Cleaner
Lo scanner gratuito controlla se il computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da Rcs Lt, società madre di PCRisk. Per saperne di più. Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo.
Menu rapido:
- Cos'è Screenshotter?
- STEP 1. Rimozione manuale del malware Screenshotter.
- STEP 2. Controlla se il tuo computer è pulito.
Come rimuovere un malware manualmente?
La rimozione manuale del malware è un compito complicato, in genere è meglio lasciare che i programmi antivirus o antimalware lo facciano automaticamente. Per rimuovere questo malware, ti consigliamo di utilizzare Combo Cleaner.
Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che si sta tentando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer dell'utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando task manager e identificato un programma che sembra sospetto, devi continuare con questi passaggi:
Download un programma chiamato Autoruns. Questo programma mostra le applicazioni che si avviano in automatico, i percorsi del Registro di sistema e del file system:
Riavvia il tuo computer in modalità provvisoria:
Windows XP e Windows 7: Avvia il tuo computer in modalità provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante la procedura di avvio del computer, premere più volte il tasto F8 sulla tastiera finché non viene visualizzato il menu Opzione avanzata di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":
Windows 8:
Avvia Windows 8 è in modalità provvisoria con rete: vai alla schermata iniziale di Windows 8, digita Avanzate, nei risultati della ricerca seleziona Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra "Impostazioni generali del PC" aperta, selezionare Avvio avanzato.
Fare clic sul pulsante "Riavvia ora". Il computer si riavvierà ora nel "menu Opzioni di avvio avanzate". Fare clic sul pulsante "Risoluzione dei problemi", quindi fare clic sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".
Fare clic sul pulsante "Riavvia". Il tuo PC si riavvierà nella schermata Impostazioni di avvio. Premi F5 per avviare in modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "modalità provvisoria con rete":
Windows 10: Fare clic sul logo di Windows e selezionare l'icona di alimentazione. Nel menu aperto cliccare "Riavvia il sistema" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "scegliere un'opzione", fare clic sul "Risoluzione dei problemi", successivamente selezionare "Opzioni avanzate".
Nel menu delle opzioni avanzate selezionare "Impostazioni di avvio" e fare clic sul pulsante "Riavvia". Nella finestra successiva è necessario fare clic sul pulsante "F5" sulla tastiera. Ciò riavvia il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrai l'archivio scaricato ed esegui il file Autoruns.exe.
Nell'applicazione Autoruns fai clic su "Opzioni" nella parte superiore e deseleziona le opzioni "Nascondi posizioni vuote" e "Nascondi voci di Windows". Dopo questa procedura, fare clic sull'icona "Aggiorna".
Controlla l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Dovresti scrivere per intero percorso e nome. Nota che alcuni malware nascondono i loro nomi di processo sotto nomi di processo legittimi di Windows. In questa fase è molto importante evitare di rimuovere i file di sistema.
Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere "Elimina"
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo garantisce che il malware non verrà eseguito automaticamente all'avvio successivo del sistema), dovresti cercare ogni file appartenente al malware sul tuo computer. Assicurati di abilitare i file e le cartelle nascoste prima di procedere. Se trovi dei file del malware assicurati di rimuoverli.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti essere in grado di rimuovere eventuali malware dal tuo computer. Nota che la rimozione manuale delle minacce richiede competenze informatiche avanzate, si consiglia di lasciare la rimozione del malware a programmi antivirus e antimalware.
Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre è meglio evitare di essere infettati che cercare di rimuovere il malware in seguito. Per proteggere il computer, assicurati di installare gli aggiornamenti del sistema operativo più recenti e utilizzare un software antivirus.
Per essere sicuro che il tuo computer sia privo di infezioni da malware, ti consigliamo di scannerizzarlo con Combo Cleaner.
Domande Frequenti (FAQ)
Il mio computer è infetto dal malware Screenshotter, devo formattare il mio dispositivo di archiviazione per sbarazzarmene?
No, la rimozione della maggior parte dei programmi dannosi non richiede formattazione.
Quali sono i maggiori problemi che il malware Screenshotter può causare?
La minaccia rappresentata da un'infezione dipende dalle capacità del programma e dal modus operandi dei criminali informatici. Screenshotter è progettato per acquisire schermate di nascosto. È stato osservato come parte integrante delle campagne malware, che introducevano nei sistemi numerosi componenti dannosi, inclusi sofisticati ladri di informazioni. Pertanto, tali infezioni possono comportare gravi problemi di privacy, perdite finanziarie significative e persino furti di identità.
Qual è lo scopo del malware Screenshotter?
Nella maggior parte dei casi, il malware viene utilizzato per generare entrate. Le campagne che coinvolgono Screenshotter sono state sfruttate contro varie aziende/organizzazioni; c'era una chiara motivazione finanziaria dietro gli attacchi. È tuttavia opportuno ricordare che il malware viene utilizzato anche per divertire gli aggressori, compiere vendette personali, interrompere processi (ad es. siti Web, servizi, ecc.), eseguire spionaggio aziendale e persino lanciare attacchi con motivazioni politiche/geopolitiche.
In che modo il malware Screenshotter si è infiltrato nel mio computer?
È stato notato che Screenshotter si diffonde tramite Google Ads dannosi e in modo abbastanza significativo tramite e-mail di spam. Tuttavia, non sono improbabili altri metodi di distribuzione.
Il malware viene diffuso principalmente tramite email/messaggi di spam, malvertising, download drive-by, truffe online, canali di download dubbi (ad esempio siti freeware e di terze parti, reti di condivisione P2P, ecc.), falsi aggiornamenti e strumenti di attivazione di software illegali ( "crepe"). Inoltre, alcuni programmi dannosi possono diffondersi autonomamente tramite reti locali e dispositivi di archiviazione rimovibili (ad esempio dischi rigidi esterni, unità flash USB, ecc.).
Combo Cleaner mi proteggerà dai malware?
Sì, Combo Cleaner è in grado di rilevare ed eliminare tutte le infezioni malware conosciute. Va detto che eseguire una scansione completa del sistema è essenziale, poiché il software dannoso sofisticato tende a nascondersi in profondità nei sistemi.
Eccezionale!
▼ Mostra Discussione