Come rimuovere CrySome dai dispositivi infetti
TrojanConosciuto anche come: CrySome trojan di amministrazione remota
Ottieni una scansione gratuita e controlla se il tuo computer è infetto.
RIMUOVILO SUBITOPer utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Che tipo di malware è CrySome?
CrySome è un trojan ad accesso remoto (RAT) che consente ai criminali informatici di prendere il controllo di un dispositivo infetto. Questo RAT può rubare file e password, spiare l'attività e eseguire comandi da remoto. Ciò che rende CrySome una minaccia ancora più seria è la sua capacità di nascondersi, disabilitare il software antivirus e rimanere nel sistema anche dopo ripristini o tentativi di rimozione.
Ulteriori informazioni su CrySome
Una volta che CrySome si connette al proprio server, invia informazioni sul dispositivo infetto. I dettagli trasmessi includono il nome utente del computer, la versione del sistema operativo, il tempo trascorso dall'avvio e il paese/regione. Invia inoltre il titolo della finestra che l'utente sta attualmente utilizzando (senza abilitare una sessione remota).
Successivamente, il RAT configura il sistema infetto per ricevere comandi. Alcune funzionalità di base sono sempre attive, mentre altre possono essere attivate o disattivate a seconda delle impostazioni. CrySome supporta un'ampia gamma di comandi, consentendo ai criminali informatici di svolgere varie attività dannose.
Può eseguire comandi shell/PowerShell, scaricare ed eseguire file, caricare e scaricare file, sfogliare, leggere ed eliminare file, acquisire screenshot, forzare il riavvio del sistema, elencare o terminare i programmi in esecuzione, scattare foto con la webcam e accedere (e utilizzare) il microfono. CrySome può anche abilitare la messaggistica diretta tra i criminali informatici e le vittime.
Inoltre, il RAT può creare tunnel SOCKS/reverse proxy per l'accesso nascosto alla rete, visualizzare schermi, controllare mouse e tastiera, gestire più monitor, controllare segretamente una sessione utente nascosta ed eseguire applicazioni in modo invisibile, rubare password e cookie salvati nel browser e registrare tutto ciò che viene digitato con la tastiera.
Persistenza ed evasione delle difese
CrySome crea un'attività pianificata per riavviarsi ogni pochi minuti e si installa come servizio Windows che si avvia al boot e si riavvia in caso di arresto anomalo. Si copia in cartelle di backup nascoste in modo da poter ripristinarsi se eliminato e aggiunge voci di registro per essere eseguito automaticamente all'avvio di Windows. Il RAT può modificare determinati file di sistema per rimanere presente anche dopo i ripristini di fabbrica.
Inoltre, CrySome nasconde i propri file e li blocca in modo che non possano essere eliminati, ed esegue un processo «watcher» che lo riavvia se viene interrotto. Può contrassegnare se stesso come processo di sistema critico e impedire agli strumenti di sicurezza di accedervi o bloccarlo.
In aggiunta, il RAT trova e termina i processi antivirus, blocca i file di installazione degli antivirus, interrompe i servizi antivirus e ne impedisce il riavvio, e disabilita le funzionalità di Microsoft Defender (come la protezione in tempo reale, la protezione cloud, la scansione, ecc.). Può anche impedire completamente l'avvio dei programmi di sicurezza.
| Nome | CrySome trojan di amministrazione remota |
| Tipo Di Minaccia | Trojan ad accesso remoto |
| Nomi Di Rilevamento | Avast (Win32:MalwareX-gen [Misc]), Combo Cleaner (Gen:Variant.Application.Barys.65422), ESET-NOD32 (MSIL/Agent.FTF Trojan), Kaspersky (HEUR:Trojan-Spy.MSIL.Bobik.gen), Microsoft (Trojan:MSIL/Crysome!AMTB), Lista completa dei rilevamenti (VirusTotal) |
| Sintomi | I RAT sono progettati per infiltrarsi furtivamente nel computer della vittima e rimanere silenti, pertanto nessun sintomo particolare è chiaramente visibile su un computer infetto. |
| Metodi Di Distribuzione | Allegati email infetti, pubblicità online dannose, ingegneria sociale, vulnerabilità software, «crack» software. |
| Danni | Password e informazioni bancarie rubate, furto d'identità, computer della vittima aggiunto a una botnet, infezioni aggiuntive, perdite economiche. |
| Rimozione dei malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo CleanerLo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk. |
Conclusione
CrySome fornisce agli aggressori il controllo di un dispositivo infetto e consente loro di rubare dati, spiare gli utenti ed eseguire numerose azioni dannose da remoto. È progettato per rimanere nascosto e continuare a funzionare utilizzando potenti metodi di persistenza che ne rendono difficile la rimozione, anche dopo riavvii o ripristini del sistema. Queste capacità lo rendono una minaccia pericolosa.
Altri esempi di RAT sono GHOSTFORM, KarstoRAT e Moonrise.
Come ha fatto CrySome a infiltrarsi nel mio computer?
Software dannoso come CrySome viene comunemente distribuito tramite file infetti, inclusi eseguibili, file compressi, script e documenti come PDF e file Office. La semplice apertura di questi file o l'esecuzione di ulteriori passaggi può innescare un'infezione.
I criminali informatici utilizzano vari metodi di distribuzione per diffondere il malware, tra cui allegati o link email, download di software falsi, vulnerabilità di sicurezza, messaggi fraudolenti di supporto tecnico, siti web dannosi o compromessi, software piratato o craccato, annunci ingannevoli, unità rimovibili infette, piattaforme di condivisione peer-to-peer e downloader di terze parti.
Come evitare l'installazione di malware?
Aprire solo link o allegati da fonti affidabili e prestare attenzione a email o messaggi inattesi, soprattutto se provengono da mittenti sconosciuti. Assicurarsi di scaricare app e software solo da siti web ufficiali o store verificati, e evitare di utilizzare programmi craccati, software piratato o generatori di chiavi.
Mantenere aggiornati il sistema operativo e tutte le applicazioni, e evitare di interagire con annunci, pop-up o altri contenuti su siti web non affidabili. Inoltre, evitare di accettare di ricevere notifiche da pagine sospette.
Se ritenete che il vostro computer sia già infetto, vi consigliamo di eseguire una scansione con Combo Cleaner Antivirus per Windows per eliminare automaticamente il malware infiltrato.
Sito web che promuove CrySome (fonte: cyfirma.com):
Pannello di amministrazione di CrySome (fonte: cyfirma.com):
Rimozione automatica istantanea dei malware:
La rimozione manuale delle minacce potrebbe essere un processo lungo e complicato che richiede competenze informatiche avanzate. Combo Cleaner è uno strumento professionale per la rimozione automatica del malware consigliato per eliminare il malware. Scaricalo cliccando il pulsante qui sotto:
SCARICA Combo CleanerScaricando qualsiasi software elencato in questo sito, accetti le nostre Condizioni di Privacy e le Condizioni di utilizzo. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Menu rapido:
- Cos'è CrySome?
- PASSO 1. Rimozione manuale del malware CrySome.
- PASSO 2. Verificare se il computer è pulito.
Come rimuovere il malware manualmente?
La rimozione manuale del malware è un'operazione complicata: di solito è meglio consentire ai programmi antivirus o anti-malware di farlo automaticamente. Per rimuovere questo malware consigliamo di utilizzare Combo Cleaner Antivirus per Windows.
Se desiderate rimuovere il malware manualmente, il primo passo è identificare il nome del malware che state cercando di rimuovere. Ecco un esempio di un programma sospetto in esecuzione sul computer di un utente:
Se avete controllato l'elenco dei programmi in esecuzione sul vostro computer, ad esempio utilizzando il task manager, e avete identificato un programma che sembra sospetto, dovreste continuare con questi passaggi:
Scaricare un programma chiamato Autoruns. Questo programma mostra le applicazioni ad avvio automatico, il Registro di sistema e le posizioni nel file system:
Riavviare il computer in Modalità Provvisoria:
Utenti Windows XP e Windows 7: Avviare il computer in Modalità Provvisoria. Fare clic su Start, fare clic su Arresta, fare clic su Riavvia, fare clic su OK. Durante il processo di avvio del computer, premere il tasto F8 sulla tastiera più volte fino a visualizzare il menu Opzioni avanzate di Windows, quindi selezionare Modalità provvisoria con rete dall'elenco.
Video che mostra come avviare Windows 7 in «Modalità provvisoria con rete»:
Utenti Windows 8: Avviare Windows 8 in Modalità provvisoria con rete - Andare alla schermata Start di Windows 8, digitare Avanzate, nei risultati di ricerca selezionare Impostazioni. Fare clic su Opzioni di avvio avanzate, nella finestra «Impostazioni generali del PC» aperta, selezionare Avvio avanzato.
Fare clic sul pulsante «Riavvia ora». Il computer si riavvierà nel «Menu opzioni di avvio avanzate». Fare clic sul pulsante «Risoluzione dei problemi», quindi fare clic sul pulsante «Opzioni avanzate». Nella schermata delle opzioni avanzate, fare clic su «Impostazioni di avvio».
Fare clic sul pulsante «Riavvia». Il PC si riavvierà nella schermata Impostazioni di avvio. Premere F5 per avviare in Modalità provvisoria con rete.
Video che mostra come avviare Windows 8 in «Modalità provvisoria con rete»:
Utenti Windows 10: Fare clic sul logo di Windows e selezionare l'icona di Alimentazione. Nel menu aperto fare clic su «Riavvia» tenendo premuto il tasto «Maiusc» sulla tastiera. Nella finestra «Scegli un'opzione» fare clic su «Risoluzione dei problemi», quindi selezionare «Opzioni avanzate».
Nel menu delle opzioni avanzate selezionare «Impostazioni di avvio» e fare clic sul pulsante «Riavvia». Nella finestra successiva premere il tasto «F5» sulla tastiera. Questo riavvierà il sistema operativo in modalità provvisoria con rete.
Video che mostra come avviare Windows 10 in «Modalità provvisoria con rete»:
Estrarre l'archivio scaricato ed eseguire il file Autoruns.exe.
Nell'applicazione Autoruns, fare clic su «Options» in alto e deselezionare le opzioni «Hide Empty Locations» e «Hide Windows Entries». Dopo questa procedura, fare clic sull'icona «Refresh».
Controllare l'elenco fornito dall'applicazione Autoruns e individuare il file malware che si desidera eliminare.
Annotare il percorso completo e il nome. Tenere presente che alcuni malware nascondono i nomi dei processi sotto nomi di processi Windows legittimi. In questa fase, è molto importante evitare di rimuovere file di sistema. Dopo aver individuato il programma sospetto che si desidera rimuovere, fare clic con il tasto destro del mouse sul suo nome e scegliere «Delete».
Dopo aver rimosso il malware tramite l'applicazione Autoruns (questo assicura che il malware non verrà eseguito automaticamente al prossimo avvio del sistema), è necessario cercare il nome del malware sul computer. Assicurarsi di abilitare file e cartelle nascosti prima di procedere. Se si trova il nome del file del malware, assicurarsi di rimuoverlo.
Riavviare il computer in modalità normale. Seguendo questi passaggi si dovrebbe rimuovere qualsiasi malware dal computer. Tenere presente che la rimozione manuale delle minacce richiede competenze informatiche avanzate. Se non si possiedono tali competenze, affidare la rimozione del malware ai programmi antivirus e anti-malware.
Questi passaggi potrebbero non funzionare con infezioni malware avanzate. Come sempre, è meglio prevenire l'infezione piuttosto che cercare di rimuovere il malware in seguito. Per mantenere il computer sicuro, installare gli ultimi aggiornamenti del sistema operativo e utilizzare un software antivirus. Per essere sicuri che il computer sia libero da infezioni malware, consigliamo di scansionarlo con Combo Cleaner Antivirus per Windows.
Domande Frequenti (FAQ)
Il mio computer è infetto dal malware CrySome, devo formattare il mio dispositivo di archiviazione per liberarmene?
Sebbene un ripristino completo possa rimuovere CrySome, cancellerà tutti i file dal sistema. Nella maggior parte dei casi, si dovrebbe prima provare a utilizzare un programma di sicurezza affidabile come Combo Cleaner.
Quali sono i problemi più gravi che il malware può causare?
Il malware può corrompere o eliminare file, iniettare malware aggiuntivo, spiare le vittime e altro ancora. Ciò può portare a conseguenze gravi come danni finanziari, furto di dati e identità, accesso non autorizzato agli account, perdita di dati e altri problemi seri.
Qual è lo scopo del RAT CrySome?
Il RAT CrySome è progettato per spiare segretamente gli utenti accedendo allo schermo, alla webcam, al microfono e all'attività del sistema. Può anche rubare dati sensibili come password, file, cookie e informazioni di sistema. Allo stesso tempo, offre agli aggressori il pieno controllo remoto del dispositivo rimanendo nascosto e disabilitando gli strumenti di sicurezza.
Come ha fatto il malware a infiltrarsi nel mio computer?
Il malware viene comunemente distribuito tramite eseguibili, archivi, script e documenti dannosi, che possono infettare un dispositivo quando vengono aperti o eseguiti. I criminali informatici utilizzano siti web dannosi, email di phishing con allegati o link, truffe di falso supporto tecnico, falle nel software, programmi craccati, annunci online dannosi, unità USB infette, reti di condivisione peer-to-peer e fonti di download di terze parti non affidabili per distribuire il malware.
Combo Cleaner mi proteggerà dal malware?
Sì, Combo Cleaner è in grado di rilevare e rimuovere la maggior parte delle infezioni malware conosciute. Tuttavia, alcune minacce avanzate possono essere profondamente nascoste nel sistema, quindi eseguire una scansione completa del sistema è importante per garantire il rilevamento totale.
Condividi:
Facebook
X.com
LinkedIn
Copia link
Tomas Meskauskas
Esperto ricercatore nel campo della sicurezza, analista professionista di malware
Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.
Il portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
DonazioneIl portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
Donazione
▼ Mostra Discussione