Como remover o CrySome de dispositivos infetados
TrojanTambém conhecido como: CrySome um trojan de administração remota
Faça uma verificação gratuita e verifique se o seu computador está infectado.
REMOVER AGORAPara usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Que tipo de malware é o CrySome?
O CrySome é um trojan de acesso remoto (RAT) que permite aos cibercriminosos assumir o controlo de um dispositivo infetado. Este RAT pode roubar ficheiros e palavras-passe, espiar a atividade do utilizador e executar comandos remotamente. O que torna o CrySome uma ameaça ainda mais grave é o facto de se conseguir ocultar, desativar o software antivírus e permanecer no sistema mesmo após reinicializações ou tentativas de remoção.
Mais informações sobre o CrySome
Assim que o CrySome se liga ao seu servidor, envia informações sobre o dispositivo infetado. Os dados transmitidos incluem o nome de utilizador do computador, a versão do sistema operativo, o tempo decorrido desde o arranque e o país/região. Também envia o título da janela que o utilizador está a utilizar nesse momento (sem ativar a sessão remota).
Em seguida, o RAT configura o sistema infetado para receber comandos. Algumas funcionalidades básicas estão sempre ativas, enquanto outras podem ser ativadas ou desativadas, dependendo das definições. O CrySome suporta uma vasta gama de comandos, permitindo aos cibercriminosos realizar várias atividades maliciosas.
Pode executar comandos do shell/PowerShell, descarregar e executar ficheiros, carregar e descarregar ficheiros, navegar, ler e eliminar ficheiros, capturar imagens do ecrã, forçar o reinício do sistema, listar ou encerrar programas em execução, tirar fotografias com a webcam e aceder (e utilizar) o microfone. O CrySome também permite o envio de mensagens diretas entre cibercriminosos e vítimas.
Além disso, o RAT pode criar túneis SOCKS/proxy reverso para acesso oculto à rede, visualizar ecrãs, controlar o rato e o teclado, gerir vários monitores, controlar secretamente uma sessão de utilizador oculta e executar aplicações de forma invisível, roubar palavras-passe e cookies guardados no navegador e registar tudo o que é digitado no teclado.
Persistência e evasão de defesas
O CrySome cria uma tarefa agendada para se reiniciar a cada poucos minutos e instala-se como um serviço do Windows que arranca com o sistema e reinicia caso falhe. Copia-se para pastas de cópia de segurança ocultas para poder recuperar-se caso seja eliminado e adiciona entradas no registo para que seja executado automaticamente quando o Windows arranca. O RAT pode modificar determinados ficheiros do sistema para permanecer mesmo após uma reposição de fábrica.
Além disso, o CrySome oculta os seus ficheiros e bloqueia-os para que não possam ser eliminados, e executa um processo de «vigilância» que o reinicia caso seja interrompido. Pode identificar-se como um processo crítico do sistema e impedir que as ferramentas de segurança acedam a ele ou o interrompam.
Além disso, o RAT localiza e elimina processos antivírus, bloqueia ficheiros de instalação de antivírus, interrompe serviços antivírus e impede que estes sejam reiniciados, e desativa funcionalidades do Microsoft Defender (tais como proteção em tempo real, proteção na nuvem, análises, etc.). Também pode impedir completamente o arranque de programas de segurança.
| Nome | CrySome um trojan de administração remota |
| Tipo de ameaça | Trojan de administração remota |
| Nomes de deteção | Avast (Win32:MalwareX-gen [Misc]), Combo Cleaner (Gen:Variant.Application. Barys.65422), ESET-NOD32 (MSIL/Agent.FTF Trojan), Kaspersky (HEUR:Trojan-Spy.MSIL.Bobik.gen), Microsoft (Trojan:MSIL/Crysome!AMTB), Lista completa (VirusTotal) |
| Sintomas | Os RATs são concebidos para se infiltrarem discretamente no computador da vítima e permanecerem inativos; por isso, não se observam sintomas específicos num computador infetado. |
| Possíveis métodos de distribuição | Anexos de e-mail infetados, anúncios online maliciosos, engenharia social, vulnerabilidades de software, «cracks» de software. |
| Danos | Senhas e dados bancários roubados, roubo de identidade, inclusão do computador da vítima numa rede de bots, infeções adicionais, prejuízo financeiro. |
| Remoção do Malware (Windows) |
Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. Descarregar Combo CleanerO verificador gratuito verifica se o seu computador está infectado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk. |
Conclusão
O CrySome dá aos atacantes controlo sobre um dispositivo infetado e permite-lhes roubar dados, espionar os utilizadores e realizar diversas ações maliciosas remotamente. Foi concebido para permanecer oculto e continuar em funcionamento através de métodos de persistência robustos que dificultam a sua remoção, mesmo após reinicializações ou reinícios do sistema. Estas capacidades tornam-no uma ameaça perigosa.
Outros exemplos de RATs são GHOSTFORM, KarstoRAT e Moonrise.
Como é que o CrySome se infiltrou no meu computador?
O software malicioso, como o CrySome, é normalmente disseminado através de ficheiros infetados, incluindo ficheiros executáveis, ficheiros comprimidos, scripts e documentos como PDFs e ficheiros do Office. Basta abrir esses ficheiros ou realizar ações adicionais para provocar uma infeção.
Os cibercriminosos utilizam vários métodos de distribuição para propagar malware, incluindo anexos ou links de e-mail, downloads falsos de software, vulnerabilidades de segurança, mensagens fraudulentas de suporte técnico, sites maliciosos ou pirateados, software pirateado ou crackeado, anúncios enganosos, unidades removíveis infetadas, plataformas de partilha peer-to-peer e programas de download de terceiros.
Como evitar a instalação de malware?
Abra apenas links ou anexos provenientes de fontes fiáveis e tenha cuidado com e-mails ou mensagens inesperadas, especialmente se forem de remetentes desconhecidos. Certifique-se de que descarrega aplicações e software apenas a partir de sites oficiais ou lojas de aplicações verificadas e evite utilizar programas crackeados, software pirata ou geradores de chaves.
Mantenha o seu sistema operativo e todas as aplicações atualizados e evite interagir com anúncios, janelas pop-up ou outros conteúdos em sites não confiáveis. Além disso, evite aceitar receber notificações de páginas suspeitas.
Se acha que o seu computador já está infetado, recomendamos que execute uma verificação com Combo Cleaner Antivirus para Windows para eliminar automaticamente o malware infiltrado.
Site que promove o CrySome (fonte: cyfirma.com):
Painel de administração do Crysome (fonte: cyfirma.com):
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
DESCARREGAR Combo CleanerAo descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por RCS LT, a empresa-mãe de PCRisk.
Menu rápido:
- O que é o CrySome?
- PASSO 1. Remoção manual do malware CrySome.
- PASSO 2. Verifique se o seu computador está livre de vírus.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada — normalmente, é melhor deixar que os programas antivírus ou antimalware o façam automaticamente. Para remover este malware, recomendamos a utilização de Combo Cleaner Antivirus para Windows.
Se pretender remover malware manualmente, o primeiro passo é identificar o nome do malware que pretende remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, através do Gerenciador de Tarefas, e identificou um programa que parece suspeito, deve seguir estes passos:
Descarregue um programa chamado Autoruns. Este programa mostra as aplicações de arranque automático, o Registo e as localizações no sistema de ficheiros:
Reinicie o computador no Modo de Segurança:
Utilizadores do Windows XP e do Windows 7: Inicie o computador no Modo de Segurança. Clique em «Iniciar», clique em «Desligar», clique em «Reiniciar» e clique em «OK». Durante o processo de arranque do computador, prima a tecla F8 do teclado várias vezes até ver o menu «Opções avançadas do Windows» e, em seguida, selecione «Modo de Segurança com Rede» na lista.
Vídeo que mostra como iniciar o Windows 7 no «Modo de Segurança com Rede»:
Utilizadores do Windows 8: Inicie o Windows 8 no Modo de Segurança com Rede - Aceda ao Ecrã Inicial do Windows 8, escreva «Avançado» e, nos resultados da pesquisa, selecione «Definições». Clique em «Opções de arranque avançadas» e, na janela «Definições gerais do PC» que se abre, selecione «Arranque avançado».
Clique no botão «Reiniciar agora». O seu computador irá agora reiniciar e aceder ao «Menu de opções avançadas de arranque». Clique no botão «Resolução de problemas» e, em seguida, clique no botão «Opções avançadas». No ecrã de opções avançadas, clique em «Definições de arranque».
Clique no botão «Reiniciar». O seu computador irá reiniciar e apresentar o ecrã de Configurações de Arranque. Prima F5 para arrancar em Modo de Segurança com Rede.
Vídeo que mostra como iniciar o Windows 8 no «Modo de Segurança com Rede»:
Utilizadores do Windows 10: Clique no logótipo do Windows e selecione o ícone de energia. No menu que se abre, clique em «Reiniciar» enquanto mantém premida a tecla «Shift» no teclado. Na janela «Escolher uma opção», clique em «Resolução de problemas» e, em seguida, selecione «Opções avançadas».
No menu de opções avançadas, selecione «Definições de arranque» e clique no botão «Reiniciar». Na janela seguinte, deve clicar na tecla «F5» do teclado. Isto irá reiniciar o sistema operativo no modo de segurança com rede.
Vídeo que mostra como iniciar o Windows 10 no «Modo de segurança com rede»:
Descompacte o ficheiro comprimido descarregado e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em «Opções» na parte superior e desmarque as opções «Ocultar localizações vazias» e «Ocultar entradas do Windows». Após este procedimento, clique no ícone «Atualizar».
Consulte a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.
Deve anotar o caminho completo e o nome do programa. Tenha em atenção que alguns programas maliciosos ocultam os nomes dos processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que pretende remover, clique com o botão direito do rato sobre o nome do mesmo e selecione «Eliminar».
Depois de remover o malware através da aplicação Autoruns (isto garante que o malware não será executado automaticamente na próxima inicialização do sistema), deve procurar o nome do malware no seu computador. Certifique-se de que ativa os ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de que o remove.
Reinicie o computador no modo normal. Seguir estes passos deverá eliminar qualquer malware do seu computador. Tenha em atenção que a remoção manual de ameaças requer conhecimentos avançados de informática. Se não tiver esses conhecimentos, deixe a remoção de malware a cargo de programas antivírus e antimalware.
Estes passos podem não funcionar em casos de infeções por malware avançado. Como sempre, é melhor prevenir a infeção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, instale as atualizações mais recentes do sistema operativo e utilize um software antivírus. Para ter a certeza de que o seu computador está livre de infeções por malware, recomendamos que o analise com Combo Cleaner Antivirus para Windows.
Perguntas frequentes (FAQ)
O meu computador está infetado com o malware CrySome. Devo formatar o meu dispositivo de armazenamento para me livrar dele?
Embora uma reposição total possa remover o CrySome, isso apagará todos os ficheiros do sistema. Na maioria dos casos, deve-se tentar primeiro utilizar um programa de segurança de confiança, como o Combo Cleaner.
Quais são os maiores problemas que o malware pode causar?
O malware pode corromper ou eliminar ficheiros, introduzir mais malware, espiar as vítimas e muito mais. Isto pode levar a consequências graves, tais como prejuízos financeiros, roubo de dados e de identidade, acesso não autorizado a contas, perda de dados e outros problemas graves.
Qual é o objetivo do CrySome RAT?
O CrySome RAT foi concebido para espiar secretamente os utilizadores, acedendo ao ecrã, à câmara web, ao microfone e à atividade do sistema. Também pode roubar dados confidenciais, como palavras-passe, ficheiros, cookies e informações do sistema. Ao mesmo tempo, concede aos atacantes controlo remoto total sobre o dispositivo, mantendo-se oculto e desativando as ferramentas de segurança.
Como é que um malware se infiltrou no meu computador?
O malware é normalmente disseminado através de ficheiros executáveis, arquivos, scripts e documentos maliciosos, que podem infetar um dispositivo quando abertos ou executados. Os cibercriminosos utilizam sites maliciosos, e-mails de phishing com anexos ou links, esquemas fraudulentos de falso suporte técnico, falhas de software, programas pirateados, anúncios online prejudiciais, pen drives infetados, redes de partilha ponto a ponto e fontes de download de terceiros não confiáveis para disseminar malware.
O Combo Cleaner protege-me contra malware?
Sim, o Combo Cleaner é capaz de detetar e remover a maioria das infeções por malware conhecidas. No entanto, algumas ameaças avançadas podem estar profundamente ocultas no sistema, pelo que é importante executar uma verificação completa do sistema para garantir uma deteção total.
Partilhar:
Facebook
X.com
LinkedIn
Copiar link
Tomas Meskauskas
Pesquisador especialista em segurança, analista profissional de malware
Sou um apaixonado por segurança e tecnologia de computadores. Tenho experiência de mais de 10 anos a trabalhar em diversas empresas relacionadas à resolução de problemas técnicas e segurança na Internet. Tenho trabalhado como autor e editor para PCrisk desde 2010. Siga-me no Twitter e no LinkedIn para manter-se informado sobre as mais recentes ameaças à segurança on-line.
O portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
DoarO portal de segurança PCrisk é fornecido pela empresa RCS LT.
Pesquisadores de segurança uniram forças para ajudar a educar os utilizadores de computadores sobre as mais recentes ameaças à segurança online. Mais informações sobre a empresa RCS LT.
Os nossos guias de remoção de malware são gratuitos. Contudo, se quiser continuar a ajudar-nos, pode-nos enviar uma ajuda, sob a forma de doação.
Doar
▼ Mostrar comentários