Comment supprimer la porte dérobée BazarLoader du système d'exploitation ?
Écrit par Tomas Meskauskas le (mis à jour)
Guide de suppression du virus BazarLoader
Qu'est-ce que la porte dérobée BazarLoader ?
Développé par les mêmes auteurs de la menace TrickBot, BazarLoader est un programme malveillant, classé comme cheval de Troie backdoor/chargeur. Ce type de maliciel est conçu pour ouvrir une « porte dérobée » à d'autres logiciels malveillants. En d'autres termes, ces chevaux de Troie fonctionnent en téléchargeant / installant des logiciels malveillants supplémentaires. Au moment de la recherche, BazarLoader était utilisé pour infecter les systèmes compromis avec le rançongiciel RYUK. Le logiciel malveillant BazarLoader a été observé en train de proliférer via des campagnes de spam par courrier électronique, censées contenir des informations privilégiées sur l'état de santé du président Donald Trump. Le diagnostic d'infection COVID-19 du président américain a été largement utilisé par les cybercriminels à des fins de distribution de logiciels malveillants et d'arnaques d'hameçonnage.
Comme mentionné dans l'introduction, le but de BazarLoader est d'infecter les périphériques avec d'autres programmes malveillants. Les systèmes malveillants pouvant être infectés dépendent du mode de fonctionnement des cybercriminels et de la porte dérobée / du chargeur lui-même. Ce logiciel peut injecter des systèmes avec différents types de chevaux de Troie, de rançongiciels, de cryptomineurs et d'autres maliciels. BazarLoader a infecté les appareils affectés avec le rançongiciel RYUK. Les programmes malveillants au sein de cette classification fonctionnent en cryptant les fichiers et / ou en verrouillant l'écran - afin d'exiger un paiement (rançons) pour le décryptage / la récupération d'accès. En règle générale, le rançongiciel renomme les fichiers cryptés, mais le changement de titre des données affectées par RYUK dépend de la variante du maliciel. Ce programme malveillant utilise les algorithmes cryptographiques RSA-4096 et AES-256 pour crypter des fichiers. Il crée des notes de rançon, contenant des instructions de décryptage. Cependant, les détails spécifiques (coordonnées des cybercriminels, montant de la rançon, devise préférée et mode de paiement, etc.) varient d'une version à l'autre. Il est fortement déconseillé de répondre aux demandes des criminels, car il n'y a aucune garantie qu'ils tiendront leur part du marché (par exemple, envoyer les clés / outils de décryptage promis, etc.). La suppression du rançongiciel d'un système d'exploitation l'empêchera de continuer à chiffrer ; cependant, la suppression ne restaure pas les données déjà chiffrées. RYUK ou un autre rançongiciel n'est pas nécessairement la charge utile que BazarLoader fournira dans tous les cas d'infection. Un autre détail remarquable concernant le cheval de Troie BazarLoader est son processus d'infection sans fichiers, par lequel il exploite des applications déjà existantes pour infecter des systèmes - ce qui complique sa détection. S'il est soupçonné ou connu que le cheval de Troie BazarLoader (ou un autre maliciel) a déjà infecté le système, un antivirus doit être utilisé pour l'éliminer immédiatement.
Nom | Maliciel BazarLoader |
Type de menace | Cheval de Troie, virus de vol de mot de passe, maliciel bancaire, logiciel espion. |
Noms de détection | Avast (Win64: CrypterX-gen [Trj]), BitDefender (Trojan.GenericKD.43838874), ESET-NOD32 (Une variante de Win64 / Kryptik.CAK), Kaspersky (Backdoor.Win32.Bazdor.r), Liste complète ( VirusTotal ) |
Charge utile | Rançongiciel RYUK |
Symptômes | Les chevaux de Troie sont conçus pour infiltrer furtivement l'ordinateur de la victime et rester silencieux, et donc aucun symptôme particulier n'est clairement visible sur une machine infectée. |
Méthodes de distribution | Pièces jointes infectées, publicités en ligne malveillantes, ingénierie sociale, logiciels de « crack ». |
Dommages | Mots de passe et informations bancaires volés, vol d'identité, ordinateur de la victime ajouté à un botnet. |
Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
BLADABINDI, Groooboor, Buer Loader et Upatre sont quelques exemples d'autres programmes malveillants capables de provoquer des infections en chaîne (c'est-à-dire le téléchargement / l'installation de logiciels malveillants supplémentaires). Ce logiciel peut également avoir d'autres capacités malhonnêtes, y compris (mais sans s'y limiter) : l'exfiltration de fichiers, l'extraction de données à partir de navigateurs et d'autres applications, l'enregistrement de frappe (enregistrement de frappes de touches), l'enregistrement vidéo / audio ou le streaming via la webcam / microphone de la machine compromise , etc. Quel que soit le mode de fonctionnement des logiciels malveillants, l'objectif final est toujours le même: générer des bénéfices pour les acteurs de la menace. Toutes les infections de logiciels malveillants doivent être traitées comme hautement dangereuses et supprimées sans délai.
Comment BazarLoader a-t-il infiltré mon ordinateur ?
Le cheval de Troie BazarLoader s'est répandu par le biais de campagnes de spam par courrier électronique, centrées sur la santé du président Trump. Le terme « campagne de spam » est utilisé pour définir une opération à grande échelle, au cours de laquelle des milliers d'e-mails frauduleux sont envoyés. Les lettres trompeuses qui proliféraient dans BazarLoader avaient ces sujets / titres : "Newest information about the president’s condition" et "Newest info pertaining to President’s illness" ; cependant, des variantes et des alternatives sont probables. Les courriels eux-mêmes suggèrent que les destinataires peuvent accéder à des informations privilégiées sur l'état de Trump en téléchargeant un document via un lien intégré. Une fois le lien cliqué, les utilisateurs sont redirigés vers Google Docs, indiquant que le fichier est sûr. Cependant, au lieu de télécharger un document, un exécutable malveillant est téléchargé - ce qui initie le processus / la chaîne d'infection de BazarLoader. Pour expliquer en général comment les campagnes de spam infectent les systèmes - cela se fait via des liens de téléchargement dans des courriels frauduleux et / ou des fichiers infectieux joints aux lettres. Les fichiers virulents peuvent être de différents formats, tels que des exécutables (.exe, .run, etc.), des archives (ZIP, RAR, etc.), des documents Microsoft Office et PDF, JavaScript, etc. D'autres techniques populaires de distribution de logiciels malveillants sont les canaux de téléchargement non fiables, les outils d'activation illégaux («crack») et les programmes de mise à jour illégitimes. Des sources de téléchargement douteuses, telles que : des sites Web d'hébergement de fichiers non officiels et gratuits, des réseaux de partage Peer-to-Peer et d'autres téléchargeurs tiers - peuvent proposer des logiciels malveillants à télécharger, déguisé ou associé à un contenu ordinaire. Les outils d'activation illégale («cracking») peuvent télécharger / installer des logiciels malveillants au lieu d'activer des programmes sous licence. Les faux programmes de mise à jour provoquent des infections en exploitant les faiblesses de programmes obsolètes et / ou en installant simplement des logiciels malveillants, plutôt que les mises à jour promises.
Comment éviter l'installation de logiciels malveillants ?
Les courriels suspects et/ou non pertinents ne doivent pas être ouverts, en particulier les pièces jointes ou les liens qu'ils contiennent, car cela peut entraîner une infection du système à haut risque. Tous les téléchargements doivent être effectués à partir de sources officielles et vérifiées. Il est tout aussi important d'activer et de mettre à jour les programmes en utilisant des fonctions / outils fournis par de véritables développeurs. Les outils d'activation illégaux (« crack ») et les programmes de mise à jour tiers sont déconseillés, car ils sont couramment utilisés pour distribuer des maliciels. Pour protéger l'intégrité de l'appareil et la confidentialité des utilisateurs, il est essentiel de disposer d'une suite antivirus / anti-logiciel espion fiable. En outre, ce logiciel doit être mis à jour, utilisé pour exécuter des analyses régulières du système et pour supprimer les menaces détectées / potentielles. Si vous pensez que votre ordinateur est déjà infecté,
Capture d'écran d'un courriel frauduleux, distribuant le cheval de Troie BazarLoader :
Texte présenté dans cette lettre :
Subject: Recent material about the president's situation
What we really know and even what we don't about Trump's COVID health problems.
Insider information about Trump's] [health condition, please remember to use the code because the record is encrypted: 123
Attached document
ID
Suppression automatique et instantanée des maliciels :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
- Qu'est-ce que BazarLoader ?
- ÉTAPE 1. Suppression manuelle du maliciel BazarLoader.
- ÉTAPE 2. Vérifiez si votre ordinateur est propre.
Comment supprimer manuellement les logiciels malveillants ?
La suppression manuelle des logiciels malveillants est une tâche compliquée - il est généralement préférable d'autoriser les programmes antivirus ou anti-maliciel à le faire automatiquement. Pour supprimer ce maliciel, nous vous recommandons d'utiliser Combo Cleaner. Si vous souhaitez supprimer manuellement les logiciels malveillants, la première étape consiste à identifier le nom du logiciel malveillant que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :
Si vous avez vérifié la liste des programmes exécutés sur votre ordinateur, par exemple à l'aide du gestionnaire de tâches, et identifié un programme qui semble suspect, vous devez continuer avec ces étapes:
Téléchargez un programme appelé Autoruns Ce programme affiche les applications de démarrage automatique, le registre et les emplacements du système de fichiers:
Redémarrez votre ordinateur en mode sans échec:
Utilisateurs de Windows XP et Windows 7: démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, sur Arrêter, sur Redémarrer, sur OK. Au cours du processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec mise en réseau dans la liste.
Vidéo montrant comment démarrer Windows 7 en «Mode sans échec avec mise en réseau»:
{youtube} kynlaYPDbeI {/ youtube}
Utilisateurs de Windows 8 : Démarrez Windows 8 en mode sans échec avec mise en réseau - Accédez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de la recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre "Paramètres généraux du PC" ouverte, sélectionnez Démarrage avancé. Cliquez sur le bouton "Redémarrer maintenant". Votre ordinateur va maintenant redémarrer dans le "menu des options de démarrage avancées". Cliquez sur le bouton "Dépanner", puis sur le bouton "Options avancées". Dans l'écran des options avancées, cliquez sur "Paramètres de démarrage". Cliquez sur le bouton "Redémarrer". Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec mise en réseau.
Vidéo montrant comment démarrer Windows 8 en «Mode sans échec avec mise en réseau»:
{youtube} CaCalUhx6ok {/ youtube}
Utilisateurs de Windows 10 : cliquez sur le logo Windows et sélectionnez l'icône d'alimentation. Dans le menu ouvert, cliquez sur "Redémarrer" tout en maintenant le bouton "Majuscule" de votre clavier. Dans la fenêtre "choisir une option", cliquez sur "Dépanner", puis sélectionnez "Options avancées". Dans le menu des options avancées, sélectionnez "Paramètres de démarrage" et cliquez sur le bouton "Redémarrer". Dans la fenêtre suivante, vous devez cliquer sur le bouton "F5" de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec mise en réseau.
Vidéo montrant comment démarrer Windows 10 en «Mode sans échec avec mise en réseau»:
{youtube} Gb6v_jvjTlU {/ youtube}
Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.
Dans l'application Autoruns, cliquez sur "Options" en haut et décochez les options "Masquer les emplacements vides" et "Masquer les entrées Windows". Après cette procédure, cliquez sur l'icône "Actualiser".
Consultez la liste fournie par l'application Autoruns et recherchez le fichier malveillant que vous souhaitez éliminer.
Vous devez noter son chemin complet et son nom. Notez que certains logiciels malveillants cachent les noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer les fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et choisissez "Supprimer".
Après avoir supprimé le malware via l'application Autoruns (cela garantit que le maliciel ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du maliciel sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du maliciel, assurez-vous de le supprimer.
Redémarrez votre ordinateur en mode normal. Suivre ces étapes devrait supprimer tout logiciel malveillant de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne possédez pas ces compétences, laissez la suppression des logiciels malveillants aux programmes antivirus et anti-maliciels. Ces étapes peuvent ne pas fonctionner avec les infections de maliciels avancées. Comme toujours, il est préférable de prévenir les infections plutôt que d'essayer de supprimer les maliciels plus tard. Pour protéger votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus.
Pour vous assurer que votre ordinateur est exempt d’infections de maliciels, nous vous recommandons de le scanner avec Combo Cleaner.
▼ Montrer la discussion