МЕНЮ
  • Салон
  • Советы
  • Топливо
  • Трансмиссия
  • Тюнинг
  • Управление
  • Контакты

Agent tesla как удалить

Обновлено: 23.01.2025

Специалисты компании SentinelOne предупредили, что новые версии малвари Agent Tesla оснащены модулями для кражи учетных данных из приложений, в том числе из браузеров, FTP и почтовых клиентов, а также VPN решений.

Исследователи отмечают, что Agent Tesla способен извлекать учетные данные конфигурационных и прочих файлов приложений, а также из реестра. Малварь интересуют: браузеры Google Chrome, Chromium, Safari, Mozilla Firefox и Brave; FTP-клиент FileZilla, почтовые клиенты Mozilla Thunderbird и Outlook, а также OpenVPN. Но только этими приложениями вредонос не ограничивается (полный список можно найти в конце этого материала).

Собрав на машине жертвы нужные учетные данные и информацию о настройках приложений, инфостилер отправляет их свой управляющий сервер через FTP или STMP.

Также эксперты пишут, что Agent Tesla нередко доставляет на зараженные машины дополнительные вредоносные бинарники или использует для этих целей уже существующие на целевых хостах и уязвимые файлы.

В ходе новой вредоносной кампании злоумышленники модифицировали известную цепочку эксплойтов для загрузки кейлоггера Agent Tesla, при этом цель киберпреступников заключалась в избежании обнаружения популярными антивирусными решениями. На данный момент известно, что атакующие использовали две уязвимости в Microsoft Word, известные под идентификаторами CVE-2017-0199 и CVE-2017-11882.

Эксплойты для этих брешей есть в открытом доступе, так что для злоумышленников не составило труда обзавестись необходимыми инструментами. По словам аналитиков Cisco Talos, преступники устанавливали по меньшей мере три вредоноса в ходе кампании: Agent Tesla, Loki и Gamarue.

Все эти три злонамеренные программы предназначены для кражи данных. Также Agent Tesla и Gamarue имеют функцию удаленного доступа.

Атаки начинались с электронных писем, содержащих документ Word (DOCX), который загружал файл RTF, завершающий доставку вредоносной программы. Атакующим было важно, чтобы RTF-файл остался незамеченным защитными решениями.

Исследователи отмечают, что именно модификации в цепочке эксплойтов помогли избежать обнаружения вредоноса стандартными антивирусными решениями. Благодаря им злоумышленники смогли оснастить документы подпрограммами для загрузки вредоносной составляющей.

Загрузочный механизм полагался на поддержку встроенных объектов с помощью OLE. В ходе атаки совершенно необязательно было, чтобы пользователь менял настройки Microsoft Word или кликал на что-либо для запуска эксплойта.

Обойти обнаружение антивирусами помогла также обфускация внутри RTF-файла. Углубленный анализ показал, что киберпреступники также изменили значения заголовка OLE-объекта.

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый вредонос AbstractEmu рутит мобильные устройства на Android

млн за 0-click в Windows 10 и эксплойты в лизинг — новые тенденции рынка

Шифровальщик TellYouThePass вернулся с эксплойтом для Log4Shell на борту

Как компании используют Dozor File Crawler, систему класса Discovery DLP

Как выбрать и внедрить систему учёта рабочего времени и контроля эффективности персонала

Восемь новых семейств вредоносов для macOS появились в 2021 году

ElectroRAT — кросс-платформенный троян, появившийся в самом начале 2021 года и обеспечивающий операторам удалённый доступ к компьютеру жертвы. Его задача — украсть криптовалюту пользователей. Этот вредонос распространяется с помощью аналогичного софта и способен снимать скриншоты, записывать нажатия клавиш, загружать и выгружать файлы и выполнять команды.

SilverSparrow обнаружили в феврале. Несмотря на то что вредонос прямо или косвенно затронул около 30 тыс. устройств на macOS, он до сих пор остаётся достаточно странным зловредом, поскольку эксперты не понимают, как он распространяется.

XcodeSpy появился в марте и был изначально нацелен на разработчиков софта. Вредонос попадает на устройства жертв с помощью злонамеренных проектов Xcode, а после устанавливает бэкдор EggShell.

WildPressure возник на ландшафте в июле и уже тогда атаковал промышленные предприятия на Среднем Востоке. Операторы WildPressure стартовали свои кампании в мае 2019-го, однако на тот момент они специализировались преимущественно на Windows.

XLoader — ещё один кросс-платформенный вредонос в подборке Уордла. По словам специалистов, это macOS-версия зловреда Formbook и его основная цель — воровать пароли.

ZuRu отметился в сентябре на территории Китая. Злоумышленники распространяют этот вредонос через поисковую выдачу Baidu. ZuRu демонстрирует навязчивую рекламу и доставляет на компьютер жертвы дополнительные трояны.

CDDS (MacMa) — последний зловред из списка, на него вышли эксперты Google. Хорошо подготовленная киберпреступная группировка использовала уязвимость нулевого дня в macOS для доставки CDDS гражданам Гонконга.

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Разработчики троянца удаленного доступа Agent Tesla представили новые версии вредоносного ПО, которое теперь поставляется с модулями, необходимыми для кражи учетных данных из приложений, популярных веб-браузеров, программного обеспечения VPN, почтовых клиентов, FTP.

Agent Tesla имеет на данный момент большую популярность среди киберпреступников, которые занимаются компрометацией сервисов корпоративной электронной почты. Вредонос применяется для заражения жертв, что позволяет записывать нажатия клавиш и создавать снимки экрана скомпрометированных устройств. Agent Tesla также применяется для кражи данных содержимого буфера обмена, для сбора системной информации, для завершения процессов обнаружения вредоносного ПО.

Сразу после сбора необходимого количества учетных данных и данных конфигурации, инфостилер отправляет их на командный сервер (С2) через STMP или FTP, используя учетные данные, которые связаны с его внутренней конфигурацией.

В конце ноября — начале декабря обновленная версия трояна-шифровальщика TeslaCrypt поразила множество компьютеров в Японии и скандинавских странах.

17 декабря 2015

Путь развития программ-вымогателей и история борьбы с ними чем-то напоминает сериал: можно проследить, как персонажи развивались, преодолевали очередные трудности и совершали новые деяния. Похоже, сериал TeslaCrypt, раскрывающий жизненный путь этого трояна-шифровальщика, как раз пополнился новой серией.

TeslaCrypt, акт третий

Первый раз о TeslaCrypt заговорили в феврале этого года, когда этот троян, основанный на CryptoLocker, поразил компьютеры любителей некоторых онлайн-игр и зашифровал на них файлы. За возврат данных троян требовал выкуп — примерно $500.

На тот момент злоумышленники использовали достаточно слабый алгоритм шифрования, который можно было достаточно легко вскрыть, а ключи хранились в отдельном файле на жестком диске, так что их можно было добыть без особого труда. Для расшифровки поврежденных TeslaCrypt файлов пользователи форума BleepingComputer написали специальную программу TeslaDecoder, которая позволяла не платить выкуп и бесплатно получить свои файлы обратно.

Раздобывшие ключ жертвы обновленного трояна тоже могут воспользоваться TeslaDecoder, чтобы вернуть свои файлы. Но без ключа полезная программа уже ни на что не способна.

Не так давно началась очередная серия эпидемия, на сей раз TeslaCrypt версии 2.2.0. Сейчас идет массовая спам-рассылка писем, прикидывающихся напоминаниями об оплате счета, а на деле скачивающих эксплойт-кит Angler, который, в свою очередь, загружает на компьютер пользователя обновленный TeslaCrypt. Такие письма имеют достаточно большой шанс быть открытыми, поскольку забыть про один из сотен счетов — дело абсолютно привычное практически для любой компании.

Плюс к этому злоумышленники развернули достаточно масштабную кампанию по заражению сайтов на базе блог-движка WordPress, среди которых оказался, например, блог крупного британского СМИ The Independent. Здесь главным подозреваемым вновь оказался Angler, скачивающий либо TeslaCrypt, либо другой троян, BEDEP, который в дополнение к самому себе загружает также печально известный CryptoLocker.

Согласно сведениям коллег из Trend Micro, блог The Independent был заражен 21 ноября, и только 9 декабря сотрудники портала исправили проблему, перенаправив посетителей на основную страницу издания, которая не подверглась заражению.

Представители The Independent заявили, что реклама, висевшая в блоге, оказалась скомпрометирована, но страницу блога, дескать, практически не посещали, и подтверждений тому, что хоть кто-то пострадал от трояна, нет. Однако суммарное количество людей, перенаправленных со всех источников (не только с многострадального The Independent) на страницу, загружавшую зловред, достигало 4 тыс. человек в день. Если у попадавшего на эту страницу не были установлены последние обновления Adobe Flash, Angler использовал уязвимость в этом ПО и заражал систему.

Чтобы защититься от троянов-шифровальщиков или хотя бы снизить наносимый ими вред, мы настоятельно рекомендуем следующее.

Если же вы читаете этот текст потому, что ваши файлы уже зашифрованы и вы ищете решение проблемы, то универсального решения, к сожалению, нет. Быть может, вы сможете заполучить ключ — и тогда вам помогут упомянутый выше TeslaDecoder или подобная утилита Cisco.

Если ключа нет, то, скорее всего, ничего не поделаешь. Тем не менее мы советуем без крайней необходимости не выплачивать злоумышленникам требуемый ими выкуп — чем меньше людей поделится с ними своими деньгами, тем меньше стимулов у них будет разрабатывать новые шифровальщики и прочие вредоносные программы.

Читайте также:

      
  • Ресурс двигателя чери тигго 4
    •   
  • Магнитола centek ct 8117 инструкция
    •   
  • Lexus rx400h мощность электродвигателя
    •   
  • Хендай ай 30 где находится стартер
    •   
  • Как проверить дмрв бмв е46
  • Контакты
  • Политика конфиденциальности