Come rimuovere CrystalX RAT dai dispositivi infetti

Che tipo di malware è CrystalX?

CrystalX è un trojan ad accesso remoto (RAT) offerto come MaaS (malware‑as‑a‑service) e promosso tramite Telegram. Viene utilizzato principalmente per rubare informazioni dai dispositivi infetti e per controllare i dispositivi da remoto, e dispone anche di funzionalità prankware. Se rilevato su un dispositivo, CrystalX dovrebbe essere rimosso il prima possibile.

Ulteriori informazioni su CrystalX

CrystalX è una versione rinominata di un malware precedente (originariamente promosso come Webcrystal RAT). Il suo design e il pannello di controllo sembrano essere copiati o fortemente basati su un RAT più vecchio (WebRAT/Salat Stealer). In sostanza, CrystalX è uno strumento di accesso remoto commerciale e attivamente promosso.

CrystalX dispone di uno strumento integrato che consente ai criminali informatici di creare versioni personalizzate. Possono scegliere impostazioni come il blocco di determinati paesi, l'occultamento dagli strumenti di analisi, la modifica dell'icona del file e altro ancora. Include anche funzionalità anti-analisi progettate per impedire il rilevamento o l'esame.

Quando il RAT viene eseguito, si connette a un server remoto e invia informazioni di base sul dispositivo infetto. Quindi tenta di rubare dati sensibili, come le credenziali di accesso da applicazioni come Steam, Discord e Telegram, nonché le informazioni memorizzate nei browser web basati su Chromium. Dopo aver raccolto le informazioni, invia tutto al server dell'aggressore.

Inoltre, CrystalX è in grado di registrare le sequenze di tasti. La funzione keylogger registra ciò che la vittima digita, incluse password e dettagli delle carte di credito. Il malware può anche iniettare segretamente un'estensione browser falsa in Chrome o Edge. Questa estensione monitora il testo copiato alla ricerca di indirizzi di portafogli di criptovalute.

Se ne trova uno, lo sostituisce con l'indirizzo del portafoglio dell'aggressore. Questo può essere utilizzato per reindirizzare i trasferimenti di criptovalute verso i criminali informatici anziché verso il destinatario previsto. Il dirottamento degli appunti può anche essere utilizzato per altri scopi dannosi, come il furto di credenziali di accesso o altre informazioni personali.

Inoltre, CrystalX consente agli attori delle minacce di eseguire comandi, caricare file ed esplorare tutte le cartelle e le unità sui dispositivi infetti. Include anche uno strumento integrato che consente di vedere e controllare lo schermo della vittima come un desktop remoto (VNC). In aggiunta, può accedere segretamente al microfono e alla fotocamera.

Il malware include anche funzionalità di «scherzo» che i criminali informatici possono utilizzare per cambiare lo sfondo del desktop, ruotare lo schermo, invertire i pulsanti del mouse o far muovere il cursore in modo casuale. Può anche disabilitare gli strumenti di sistema, nascondere le icone o visualizzare messaggi pop-up falsi. Inoltre, CrystalX può abilitare una chat tra la vittima e l'aggressore.

Conclusione

CrystalX è un RAT che fornisce agli aggressori un'ampia gamma di funzionalità, tra cui furto di dati, keylogging, dirottamento degli appunti e controllo remoto dei sistemi infetti. Include anche funzionalità anti-analisi e di evasione. Nel complesso, CrystalX è uno strumento pericoloso che può portare a perdite finanziarie, furto di identità, dirottamento di account e altri problemi.

Altri esempi di RAT sono GHOSTFORM, KarstoRAT e Moonrise.

Come ha fatto CrystalX a infiltrarsi nel mio computer?

Malware come CrystalX viene spesso distribuito tramite file infetti come eseguibili (.exe), archivi (ad es., ZIP o RAR), script o documenti (ad es., MS Office o PDF). L'interazione con questi file può causare un'infezione del sistema.

Gli aggressori diffondono il malware tramite allegati o link email, vulnerabilità del software, truffe di falso supporto tecnico, siti web non sicuri (o compromessi), software piratato, strumenti craccati, pubblicità dannose, unità USB infette, reti peer-to-peer, downloader di terze parti e canali simili.

Come evitare l'installazione di malware?

Mantenete aggiornati il sistema operativo e le applicazioni. Scaricate il software da fonti affidabili come siti web ufficiali o app store verificati, e evitate programmi craccati, software piratato o generatori di chiavi. Non fate clic su annunci, link o pulsanti provenienti da siti web non affidabili e rifiutate di ricevere notifiche da pagine sospette.

Fate attenzione alle email o ai messaggi inaspettati, specialmente da mittenti sconosciuti, e evitate di aprire link o allegati che sembrano sospetti o non necessari. Se ritenete che il vostro computer sia già infetto, vi consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.

Pannello di amministrazione di CrystalX (fonte: securelist.com):

Rimozione automatica istantanea dei malware:

La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:

Scaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.

Menu rapido:

• Cos'è CrystalX?
• PASSO 1. Rimozione manuale del malware CrystalX.
• PASSO 2. Verificare se il computer è pulito.

Come rimuovere il malware manualmente?

La rimozione manuale del malware è un compito complicato: di solito è meglio consentire ai programmi antivirus o anti-malware di farlo automaticamente. Per rimuovere questo malware consigliamo di utilizzare Combo Cleaner Antivirus per Windows.

Se desiderate rimuovere il malware manualmente, il primo passo è identificare il nome del malware che state cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:

Se avete controllato l'elenco dei programmi in esecuzione sul computer, ad esempio utilizzando il task manager, e avete identificato un programma che sembra sospetto, dovreste continuare con questi passaggi:

Scaricate un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro di sistema e le posizioni del file system:

Riavviate il computer in Modalità provvisoria:

Utenti Windows XP e Windows 7: Avviate il computer in Modalità provvisoria. Fate clic su Start, fate clic su Arresta, fate clic su Riavvia, fate clic su OK. Durante il processo di avvio del computer, premete il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionate Modalità provvisoria con rete dall'elenco.

Video che mostra come avviare Windows 7 in «Modalità provvisoria con rete»:

Utenti Windows 8: Avviate Windows 8 in Modalità provvisoria con rete - Andate alla Schermata Start di Windows 8, digitate Avanzate, nei risultati di ricerca selezionate Impostazioni. Fate clic su Opzioni di avvio avanzate, nella finestra «Impostazioni generali del PC» aperta, selezionate Avvio avanzato.

Fate clic sul pulsante «Riavvia ora». Il computer si riavvierà nel «Menu delle opzioni di avvio avanzate». Fate clic sul pulsante «Risoluzione dei problemi», quindi fate clic sul pulsante «Opzioni avanzate». Nella schermata delle opzioni avanzate, fate clic su «Impostazioni di avvio».

Fate clic sul pulsante «Riavvia». Il PC si riavvierà nella schermata Impostazioni di avvio. Premete F5 per avviare in Modalità provvisoria con rete.

Video che mostra come avviare Windows 8 in «Modalità provvisoria con rete»:

Utenti Windows 10: Fate clic sul logo di Windows e selezionate l'icona di Alimentazione. Nel menu aperto fate clic su «Riavvia» tenendo premuto il tasto «Maiusc» sulla tastiera. Nella finestra «Scegli un'opzione» fate clic su «Risoluzione dei problemi», quindi selezionate «Opzioni avanzate».

Nel menu delle opzioni avanzate selezionate «Impostazioni di avvio» e fate clic sul pulsante «Riavvia». Nella finestra successiva dovrete fare clic sul tasto «F5» sulla tastiera. Questo riavvierà il sistema operativo in modalità provvisoria con rete.

Video che mostra come avviare Windows 10 in «Modalità provvisoria con rete»:

Estraete l'archivio scaricato ed eseguite il file Autoruns.exe.

Nell'applicazione Autoruns, fate clic su «Options» in alto e deselezionate le opzioni «Hide Empty Locations» e «Hide Windows Entries». Dopo questa procedura, fate clic sull'icona «Refresh».

Controllate l'elenco fornito dall'applicazione Autoruns e individuate il file malware che desiderate eliminare.

Dovreste annotare il suo percorso completo e il nome. Tenete presente che alcuni malware nascondono i nomi dei processi sotto nomi di processi legittimi di Windows. In questa fase, è molto importante evitare di rimuovere file di sistema. Dopo aver individuato il programma sospetto che desiderate rimuovere, fate clic con il tasto destro del mouse sul suo nome e scegliete «Delete».

Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo assicura che il malware non verrà eseguito automaticamente al prossimo avvio del sistema), dovreste cercare il nome del malware sul computer. Assicuratevi di abilitare i file e le cartelle nascosti prima di procedere. Se trovate il nome del file del malware, assicuratevi di rimuoverlo.

Riavviate il computer in modalità normale. Seguendo questi passaggi dovreste rimuovere qualsiasi malware dal computer. Tenete presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non disponete di queste competenze, lasciate la rimozione del malware ai programmi antivirus e anti-malware.

Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre, è meglio prevenire l'infezione piuttosto che cercare di rimuovere il malware in seguito. Per mantenere il computer al sicuro, installate gli ultimi aggiornamenti del sistema operativo e utilizzate un software antivirus. Per essere sicuri che il computer sia libero da infezioni malware, vi consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows.

Domande frequenti (FAQ)

Il mio computer è infetto dal malware CrystalX, devo formattare il dispositivo di archiviazione per liberarmene?

Una formattazione completa del dispositivo rimuoverà CrystalX, ma cancellerà anche tutti i dati presenti nel sistema. Prima di farlo, è generalmente meglio tentare prima la rimozione del malware utilizzando uno strumento di sicurezza affidabile come Combo Cleaner.

Quali sono i maggiori problemi che il malware può causare?

Il malware può rubare o danneggiare file, eseguire ulteriore software dannoso, raccogliere dati privati e altro ancora. Questo può comportare conseguenze gravi come la perdita di dati, account compromessi, perdite finanziarie, furto di identità e altri problemi.

Qual è lo scopo del RAT CrystalX?

Lo scopo del RAT CrystalX è fornire agli aggressori il controllo remoto sui computer infetti al fine di rubare dati, monitorare l'attività ed eseguire azioni dannose come lo spionaggio, la manipolazione del sistema e il furto finanziario.

Come ha fatto il malware a infiltrarsi nel mio computer?

Il malware viene spesso diffuso tramite file infetti come eseguibili, archivi, script o documenti, che possono infettare un sistema quando si interagisce con essi. Viene distribuito tramite allegati email, link dannosi, vulnerabilità del software, truffe di falso supporto tecnico, siti web non sicuri, software piratato o craccato, pubblicità dannose, unità USB infette, reti peer-to-peer, downloader di terze parti, ecc.

Combo Cleaner mi proteggerà dal malware?

Sì, Combo Cleaner è in grado di rilevare e rimuovere la maggior parte delle infezioni malware conosciute. Tuttavia, le minacce avanzate possono nascondersi in profondità nel sistema, quindi è essenziale eseguire una scansione completa del sistema.