Come rimuovere BoryptGrab dai dispositivi infetti
TrojanConosciuto anche come: BoryptGrab programma per il furto di dati
Ottieni una scansione gratuita e controlla se il tuo computer è infetto.
RIMUOVILO SUBITOPer utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Che tipo di malware è BoryptGrab?
BoryptGrab è un malware che sottrae informazioni dai dispositivi infetti in vari modi. Si diffonde tramite pagine GitHub fasulle che offrono software gratuito. È importante notare che, durante la catena di attacco che coinvolge BoryptGrab, può essere iniettato un altro malware, una backdoor nota come TunnesshClient. Se rilevato su un dispositivo, BoryptGrab (o la minaccia associata) deve essere rimosso immediatamente.
Maggiori informazioni su BoryptGrab
Quando BoryptGrab infetta un dispositivo, verifica innanzitutto se è in esecuzione all'interno di una macchina virtuale (VM) esaminando i file e le impostazioni di sistema. Questo gli consente di evitare di essere analizzato dai ricercatori. Controlla inoltre i programmi in esecuzione per verificare se qualcuno di essi corrisponde al suo elenco di strumenti di analisi. Inoltre, cerca di ottenere i privilegi di amministratore.
BoryptGrab è in grado di raccogliere informazioni sensibili da diversi browser, tra cui Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi e Yandex Browser. Le informazioni raccolte possono includere credenziali di accesso, dati di compilazione automatica, cronologia di navigazione e dati simili.
Vale la pena notare che BoryptGrab scarica uno strumento basato su Chromium che gli consente di sottrarre dati dal browser. Il malware è inoltre in grado di sottrarre dati dai portafogli di criptovalute presenti sul desktop e dalle estensioni del browser. Successivamente, acquisisce uno screenshot e raccoglie informazioni generali sul sistema. L'elenco dei portafogli di criptovalute presi di mira comprende i seguenti servizi:
Armory Wallet, Atomic, AtomicDEX, Binance, Bitcoin Core, BitPay, Blockstream Green, Chia Wallet, Coinomi, Copay, Daedalus Mainnet, Dash Core, Dogecoin, Electron Cash, Electrum, ElectrumLTC, Ethereum, Exodus, GreenAddress, Guarda, Jaxx Desktop, Komodo Wallet, Ledger Live, Ledger Wallet, Litecoin Core, MEW Desktop, MultiDoge, MyEtherWallet, NOW Wallet, Raven Core, StakeCube, Trezor Suite, Wasabi Wallet.
BoryptGrab è anche in grado di estrarre file da cartelle comuni in base a determinati tipi di file. Raccoglie file di Telegram, password dei browser e, nelle versioni più recenti, token di Discord. Dopo aver raccolto tutti questi dati, li comprime e li invia al server dell'autore dell'attacco.
Alcune versioni di BoryptGrab scaricano ed eseguono anche la backdoor TunnesshClient, ma non tutte le versioni lo fanno. TunnesshClient è un malware scritto in Python che consente agli hacker di inviare comandi al computer infetto e di reindirizzare il suo traffico Internet attraverso una connessione SSH inversa.
| Nome | BoryptGrab programma per il furto di dati |
| Tipo di minaccia | Ladro |
| Nomi dei rilevatori | Avast (Win64:ChromElevator-A [Hack]), Combo Cleaner (Gen:Variant. Application.Lazy.5789), ESET-NOD32 (Win64/PSW.Agent.EN Trojan), Kaspersky (Trojan-PSW.Win32.Stealer.dafv), Microsoft (Trojan:Win32/Vigorf.A), Elenco completo (VirusTotal) |
| Sintomi | I trojan sono progettati per infiltrarsi di nascosto nel computer della vittima e rimanere inattivi, pertanto su un computer infetto non si notano sintomi evidenti. |
| Metodi di distribuzione | Repository GitHub e GitHub Pages fasulli che promuovono strumenti software gratuiti |
| Danni | Perdite economiche, furto d'identità, appropriazione indebita di account, ulteriori infezioni e altri problemi. |
| Rimozione dei malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo CleanerLo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk. |
Conclusione
BoryptGrab è un malware che raccoglie informazioni sensibili dai browser, dai portafogli di criptovalute, dalle app di messaggistica e dai file presenti sul dispositivo infetto. Cerca inoltre di eludere il rilevamento verificando la presenza di macchine virtuali e strumenti di analisi e richiedendo privilegi di amministratore. Alcune versioni possono scaricare una backdoor, consentendo agli aggressori di ottenere il controllo remoto.
Le vittime dell'attacco BoryptGrab potrebbero subire perdite economiche, furti di identità, dirottamento degli account, ulteriori infezioni e altri problemi. Pertanto, è necessario rimuovere BoryptGrab dai dispositivi compromessi il prima possibile.
Come ha fatto BoryptGrab a infiltrarsi nel mio computer?
I criminali informatici utilizzano repository GitHub pubblici che ospitano strumenti software apparentemente legittimi o utili. Ricorrono inoltre all'ottimizzazione per i motori di ricerca (SEO) per far sì che i loro repository fasulli e le loro GitHub Pages compaiano tra i primi risultati di ricerca. Quando gli utenti cercano online strumenti, trucchi o software crackato, potrebbero imbattersi in queste pagine.
Quando gli utenti aprono il repository, vengono reindirizzati a un sito web in stile GitHub che sembra una vera e propria pagina di download di software. Queste pagine pubblicizzano strumenti quali cheat per videogiochi, software crackato o programmi di utilità, come gli optimizzatori di FPS, e software come Filmora o Voicemod, che promettono di scaricare o modificare altre app.
La pagina mette a disposizione un archivio ZIP che finge di essere il programma di installazione del software. Quando l'utente scarica ed esegue i file contenuti nell'archivio, ha inizio l'infezione.
Come evitare l'installazione di malware?
Scarica sempre i programmi da fonti affidabili, come i siti web ufficiali o gli app store riconosciuti, e assicurati che il tuo sistema operativo e le tue app siano aggiornati regolarmente. Fai attenzione alle e-mail o ai messaggi che non ti aspettavi, soprattutto se contengono allegati o link, ed evita di aprirli.
Utilizza programmi di sicurezza affidabili per eseguire scansioni regolari in grado di individuare ed eliminare potenziali minacce. Inoltre, evita di cliccare su annunci, finestre pop-up o link sospetti mentre navighi su siti non verificati e rifiuta le richieste di notifica provenienti da siti web di cui non ti fidi.
Se ritieni che il tuo computer sia già stato infettato, ti consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware presente nel sistema.
Pagina di download falsa su GitHub che distribuisce BoryptGrab (fonte: trendmicro.com):
Il file "README" di un repository GitHub dannoso (fonte: trendmicro.com):
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
SCARICA Combo CleanerScaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Menu rapido:
- Che cos'è BoryptGrab?
- FASE 1. Rimozione manuale del malware BoryptGrab.
- FASE 2. Verifica che il tuo computer sia privo di virus.
Come rimuovere manualmente il malware?
La rimozione manuale dei malware è un'operazione complessa: in genere è preferibile lasciare che siano i programmi antivirus o anti-malware a occuparsene automaticamente. Per rimuovere questo malware, consigliamo di utilizzare Combo Cleaner Antivirus per Windows.
Se desideri rimuovere manualmente il malware, il primo passo è identificare il nome del malware che stai cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:
Se hai controllato l'elenco dei programmi in esecuzione sul tuo computer, ad esempio utilizzando Task Manager, e hai individuato un programma che sembra sospetto, procedi come segue:
Scarica un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro di sistema e i percorsi nel file system:
Riavvia il computer in modalità provvisoria:
Utenti di Windows XP e Windows 7: Avviate il computer in modalità provvisoria. Fate clic su Start, poi su Spegni, quindi su Riavvia e infine su OK. Durante l'avvio del computer, premete più volte il tasto F8 sulla tastiera fino a quando non viene visualizzato il menu delle opzioni avanzate di Windows, quindi selezionate Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in "Modalità provvisoria con rete":
Utenti di Windows 8: Avviare Windows 8 in modalità provvisoria con rete - Accedere alla schermata Start di Windows 8, digitare "Avanzate" e, nei risultati della ricerca, selezionare "Impostazioni". Fare clic su "Opzioni di avvio avanzate"; nella finestra "Impostazioni generali del PC" che si apre, selezionare "Avvio avanzato".
Fai clic sul pulsante "Riavvia ora". Il computer si riavvierà e visualizzerà il "Menu delle opzioni di avvio avanzate". Fai clic sul pulsante "Risoluzione dei problemi", quindi sul pulsante "Opzioni avanzate". Nella schermata delle opzioni avanzate, fai clic su "Impostazioni di avvio".
Fai clic sul pulsante "Riavvia". Il PC si riavvierà visualizzando la schermata delle Impostazioni di avvio. Premi F5 per avviare il sistema in Modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in "Modalità provvisoria con rete":
Utenti di Windows 10: cliccate sul logo di Windows e selezionate l'icona dell'alimentazione. Nel menu che si apre, cliccate su "Riavvia" tenendo premuto il tasto "Shift" sulla tastiera. Nella finestra "Scegli un'opzione", cliccate su "Risoluzione dei problemi", quindi selezionate "Opzioni avanzate".
Nel menu delle opzioni avanzate, seleziona "Impostazioni di avvio" e fai clic sul pulsante "Riavvia". Nella finestra che si aprirà, premi il tasto "F5" sulla tastiera. In questo modo il sistema operativo verrà riavviato in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in "Modalità provvisoria con rete":
Estrai l'archivio scaricato ed esegui il file Autoruns.exe.
Nell'applicazione Autoruns, fare clic su "Opzioni" nella parte superiore e deselezionare le opzioni "Nascondi percorsi vuoti" e "Nascondi voci di Windows". Al termine di questa operazione, fare clic sull'icona "Aggiorna".
Controlla l'elenco fornito dall'applicazione Autoruns e individua il file dannoso che desideri eliminare.
È necessario annotarne il percorso completo e il nome. Si noti che alcuni malware nascondono i nomi dei propri processi sotto quelli di processi legittimi di Windows. In questa fase, è molto importante evitare di eliminare i file di sistema. Una volta individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e selezionare "Elimina".
Dopo aver rimosso il malware tramite l'applicazione Autoruns (in questo modo si garantisce che il malware non venga eseguito automaticamente al prossimo avvio del sistema), è necessario cercare il nome del malware sul computer. Assicurati di abilitare la visualizzazione di file e cartelle nascosti prima di procedere. Se trovi il nome del file del malware, assicurati di eliminarlo.
Riavvia il computer in modalità normale. Seguendo questi passaggi dovresti riuscire a rimuovere qualsiasi malware dal tuo computer. Tieni presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non possiedi tali competenze, affida la rimozione del malware ai programmi antivirus e anti-malware.
Questi passaggi potrebbero non funzionare in caso di infezioni da malware avanzato. Come sempre, è meglio prevenire l'infezione piuttosto che cercare di rimuovere il malware in un secondo momento. Per proteggere il tuo computer, installa gli ultimi aggiornamenti del sistema operativo e utilizza un software antivirus. Per assicurarti che il tuo computer sia privo di malware, ti consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.
Domande frequenti (FAQ)
Il mio dispositivo è stato infettato dal malware BoryptGrab: devo formattare il dispositivo di archiviazione per eliminarlo?
La formattazione del dispositivo eliminerà BoryptGrab, ma cancellerà tutti i dati; pertanto, questa soluzione dovrebbe essere considerata solo come ultima risorsa. È preferibile eseguire prima una scansione completa utilizzando un software di sicurezza affidabile come Combo Cleaner.
Quali sono i problemi più gravi che il malware può causare?
Il malware può rubare informazioni personali, consentire agli hacker di controllare il tuo dispositivo da remoto, cancellare o danneggiare file, installare altri programmi dannosi, rallentare le prestazioni del sistema, causare arresti anomali ed eseguire altre azioni dannose.
Qual è lo scopo di BoryptGrab?
Lo scopo di BoryptGrab è quello di sottrarre dati del browser, dati relativi ai portafogli di criptovalute (da applicazioni desktop ed estensioni), informazioni provenienti da app di messaggistica (Telegram e Discord), informazioni di sistema e screenshot. Inoltre, è in grado di fornire accesso remoto tramite TunnesshClient (in alcune versioni).
Come ha fatto BoryptGrab a infiltrarsi nel mio dispositivo?
Probabilmente BoryptGrab si è introdotto nel tuo dispositivo tramite una pagina o un repository GitHub fasullo che fingeva di offrire software o strumenti gratuiti. Quando hai scaricato e aperto il file ZIP fornito, il malware si è installato nel tuo dispositivo.
Combo Cleaner mi proteggerà dal malware?
Sì, Combo Cleaner è in grado di rilevare e rimuovere la maggior parte dei malware conosciuti. Poiché alcune minacce particolarmente sofisticate possono nascondersi in profondità nel sistema, si consiglia di eseguire una scansione completa del sistema per garantire che ogni componente dannoso venga individuato ed eliminato.
Condividi:
Facebook
X.com
LinkedIn
Copia link
Tomas Meskauskas
Esperto ricercatore nel campo della sicurezza, analista professionista di malware
Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.
Il portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
DonazioneIl portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
Donazione
▼ Mostra Discussione