Comment supprimer la porte dérobée BazarLoader du système d'exploitation ?

Aussi connu comme: Maliciel BazarLoader
Type: de Troie
Distribution: Bas
Niveau de dommage: Sévère

Guide de suppression du virus BazarLoader

Qu'est-ce que la porte dérobée BazarLoader ?

Développé par les mêmes auteurs de la menace TrickBot, BazarLoader est un programme malveillant, classé comme cheval de Troie backdoor/chargeur. Ce type de maliciel est conçu pour ouvrir une « porte dérobée » à d'autres logiciels malveillants. En d'autres termes, ces chevaux de Troie fonctionnent en téléchargeant / installant des logiciels malveillants supplémentaires. Au moment de la recherche, BazarLoader était utilisé pour infecter les systèmes compromis avec le rançongiciel RYUK. Le logiciel malveillant BazarLoader a été observé en train de proliférer via des campagnes de spam par courrier électronique, censées contenir des informations privilégiées sur l'état de santé du président Donald Trump. Le diagnostic d'infection COVID-19 du président américain a été largement utilisé par les cybercriminels à des fins de distribution de logiciels malveillants et d'arnaques d'hameçonnage.

Détections de logiciels malveillants BazarLoader sur VirusTotal

Comme mentionné dans l'introduction, le but de BazarLoader est d'infecter les périphériques avec d'autres programmes malveillants. Les systèmes malveillants pouvant être infectés dépendent du mode de fonctionnement des cybercriminels et de la porte dérobée / du chargeur lui-même. Ce logiciel peut injecter des systèmes avec différents types de chevaux de Troie, de rançongiciels, de cryptomineurs et d'autres maliciels. BazarLoader a infecté les appareils affectés avec le rançongiciel RYUK. Les programmes malveillants au sein de cette classification fonctionnent en cryptant les fichiers et / ou en verrouillant l'écran - afin d'exiger un paiement (rançons) pour le décryptage / la récupération d'accès. En règle générale, le rançongiciel renomme les fichiers cryptés, mais le changement de titre des données affectées par RYUK dépend de la variante du maliciel. Ce programme malveillant utilise les algorithmes cryptographiques RSA-4096 et AES-256 pour crypter des fichiers. Il crée des notes de rançon, contenant des instructions de décryptage. Cependant, les détails spécifiques (coordonnées des cybercriminels, montant de la rançon, devise préférée et mode de paiement, etc.) varient d'une version à l'autre. Il est fortement déconseillé de répondre aux demandes des criminels, car il n'y a aucune garantie qu'ils tiendront leur part du marché (par exemple, envoyer les clés / outils de décryptage promis, etc.). La suppression du rançongiciel d'un système d'exploitation l'empêchera de continuer à chiffrer ; cependant, la suppression ne restaure pas les données déjà chiffrées. RYUK ou un autre rançongiciel n'est pas nécessairement la charge utile que BazarLoader fournira dans tous les cas d'infection. Un autre détail remarquable concernant le cheval de Troie BazarLoader est son processus d'infection sans fichiers, par lequel il exploite des applications déjà existantes pour infecter des systèmes - ce qui complique sa détection. S'il est soupçonné ou connu que le cheval de Troie BazarLoader (ou un autre maliciel) a déjà infecté le système, un antivirus doit être utilisé pour l'éliminer immédiatement.

Résumé des menaces :
Nom {Titre}
Type de menace Cheval de Troie, virus de vol de mot de passe, maliciel bancaire, logiciel espion.
Noms de détection Avast (Win64: CrypterX-gen [Trj]), BitDefender (Trojan.GenericKD.43838874), ESET-NOD32 (Une variante de Win64 / Kryptik.CAK), Kaspersky (Backdoor.Win32.Bazdor.r), Liste complète ( VirusTotal )
Charge utile Rançongiciel RYUK
Symptômes Les chevaux de Troie sont conçus pour infiltrer furtivement l'ordinateur de la victime et rester silencieux, et donc aucun symptôme particulier n'est clairement visible sur une machine infectée.
Méthodes de distribution Pièces jointes infectées, publicités en ligne malveillantes, ingénierie sociale, logiciels de « crack ».
Dommages Mots de passe et informations bancaires volés, vol d'identité, ordinateur de la victime ajouté à un botnet.
Suppression

Pour éliminer Maliciel BazarLoader, nos chercheurs de programmes malveillants recommandent d'analyser votre ordinateur avec Malwarebytes.
▼ Télécharger Malwarebytes
Un scanner gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible.

BLADABINDI, Groooboor, Buer Loader et Upatre sont quelques exemples d'autres programmes malveillants capables de provoquer des infections en chaîne (c'est-à-dire le téléchargement / l'installation de logiciels malveillants supplémentaires). Ce logiciel peut également avoir d'autres capacités malhonnêtes, y compris (mais sans s'y limiter) : l'exfiltration de fichiers, l'extraction de données à partir de navigateurs et d'autres applications, l'enregistrement de frappe (enregistrement de frappes de touches), l'enregistrement vidéo / audio ou le streaming via la webcam / microphone de la machine compromise , etc. Quel que soit le mode de fonctionnement des logiciels malveillants, l'objectif final est toujours le même: générer des bénéfices pour les acteurs de la menace. Toutes les infections de logiciels malveillants doivent être traitées comme hautement dangereuses et supprimées sans délai.

Comment BazarLoader a-t-il infiltré mon ordinateur ?

Le cheval de Troie BazarLoader s'est répandu par le biais de campagnes de spam par courrier électronique, centrées sur la santé du président Trump. Le terme « campagne de spam » est utilisé pour définir une opération à grande échelle, au cours de laquelle des milliers d'e-mails frauduleux sont envoyés. Les lettres trompeuses qui proliféraient dans BazarLoader avaient ces sujets / titres : "Newest information about the president’s condition" et "Newest info pertaining to President’s illness" ; cependant, des variantes et des alternatives sont probables. Les courriels eux-mêmes suggèrent que les destinataires peuvent accéder à des informations privilégiées sur l'état de Trump en téléchargeant un document via un lien intégré. Une fois le lien cliqué, les utilisateurs sont redirigés vers Google Docs, indiquant que le fichier est sûr. Cependant, au lieu de télécharger un document, un exécutable malveillant est téléchargé - ce qui initie le processus / la chaîne d'infection de BazarLoader. Pour expliquer en général comment les campagnes de spam infectent les systèmes - cela se fait via des liens de téléchargement dans des courriels frauduleux et / ou des fichiers infectieux joints aux lettres. Les fichiers virulents peuvent être de différents formats, tels que des exécutables (.exe, .run, etc.), des archives (ZIP, RAR, etc.), des documents Microsoft Office et PDF, JavaScript, etc. D'autres techniques populaires de distribution de logiciels malveillants sont les canaux de téléchargement non fiables, les outils d'activation illégaux («crack») et les programmes de mise à jour illégitimes. Des sources de téléchargement douteuses, telles que : des sites Web d'hébergement de fichiers non officiels et gratuits, des réseaux de partage Peer-to-Peer et d'autres téléchargeurs tiers - peuvent proposer des logiciels malveillants à télécharger, déguisé ou associé à un contenu ordinaire. Les outils d'activation illégale («cracking») peuvent télécharger / installer des logiciels malveillants au lieu d'activer des programmes sous licence. Les faux programmes de mise à jour provoquent des infections en exploitant les faiblesses de programmes obsolètes et / ou en installant simplement des logiciels malveillants, plutôt que les mises à jour promises.

Comment éviter l'installation de logiciels malveillants ?

Les courriels suspects et/ou non pertinents ne doivent pas être ouverts, en particulier les pièces jointes ou les liens qu'ils contiennent, car cela peut entraîner une infection du système à haut risque. Tous les téléchargements doivent être effectués à partir de sources officielles et vérifiées. Il est tout aussi important d'activer et de mettre à jour les programmes en utilisant des fonctions / outils fournis par de véritables développeurs. Les outils d'activation illégaux (« crack ») et les programmes de mise à jour tiers sont déconseillés, car ils sont couramment utilisés pour distribuer des maliciels. Pour protéger l'intégrité de l'appareil et la confidentialité des utilisateurs, il est essentiel de disposer d'une suite antivirus / anti-logiciel espion fiable. En outre, ce logiciel doit être mis à jour, utilisé pour exécuter des analyses régulières du système et pour supprimer les menaces détectées / potentielles. Si vous pensez que votre ordinateur est déjà infecté,

Capture d'écran d'un courriel frauduleux, distribuant le cheval de Troie BazarLoader :

Courriel de diffusion de la porte dérobée BazarLoader

Texte présenté dans cette lettre :

Subject: Recent material about the president's situation

What we really know and even what we don't about Trump's COVID health problems.

Insider information about Trump's] [health condition, please remember to use the code because the record is encrypted: 123

Attached document

ID

Suppression instantanée automatique de Maliciel BazarLoader: La suppression manuelle des menaces pourrait être un processus long et compliqué qui requiert des habilités informatiques avancés. Malwarebytes est un outil de suppression professionnel automatique de logiciels malveillants qui est recommandé pour supprimer Maliciel BazarLoader. Téléchargez-le en cliquant sur le bouton ci-dessous:
▼ TÉLÉCHARGER Malwarebytes Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible. En téléchargeant n'importe quel logiciel listé sur ce site web vous accepted notre Politique de Vie Privée et nos Termes d'utilisation.

Menu rapide :

Comment supprimer manuellement les logiciels malveillants ?

La suppression manuelle des logiciels malveillants est une tâche compliquée - il est généralement préférable d'autoriser les programmes antivirus ou anti-maliciel à le faire automatiquement. Pour supprimer ce maliciel, nous vous recommandons d'utiliser Malwarebytes. Si vous souhaitez supprimer manuellement les logiciels malveillants, la première étape consiste à identifier le nom du logiciel malveillant que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

processus malveillant en cours d'exécution sur l'échantillon d'ordinateur de l'utilisateur

Si vous avez vérifié la liste des programmes exécutés sur votre ordinateur, par exemple à l'aide du gestionnaire de tâches, et identifié un programme qui semble suspect, vous devez continuer avec ces étapes:

suppression manuelle des logiciels malveillants étape 1Téléchargez un programme appelé Autoruns Ce programme affiche les applications de démarrage automatique, le registre et les emplacements du système de fichiers:

capture d'écran de l'application autoruns

suppression manuelle des logiciels malveillants étape 2Redémarrez votre ordinateur en mode sans échec:

Utilisateurs de Windows XP et Windows 7: démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, sur Arrêter, sur Redémarrer, sur OK. Au cours du processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec mise en réseau dans la liste.

Mode sans échec avec réseau

Vidéo montrant comment démarrer Windows 7 en «Mode sans échec avec mise en réseau»:

{youtube} kynlaYPDbeI {/ youtube}

Utilisateurs de Windows 8 : Démarrez Windows 8 en mode sans échec avec mise en réseau - Accédez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de la recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre "Paramètres généraux du PC" ouverte, sélectionnez Démarrage avancé. Cliquez sur le bouton "Redémarrer maintenant". Votre ordinateur va maintenant redémarrer dans le "menu des options de démarrage avancées". Cliquez sur le bouton "Dépanner", puis sur le bouton "Options avancées". Dans l'écran des options avancées, cliquez sur "Paramètres de démarrage". Cliquez sur le bouton "Redémarrer". Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec mise en réseau.

Mode sans échec de Windows 8 avec mise en réseau

Vidéo montrant comment démarrer Windows 8 en «Mode sans échec avec mise en réseau»:

{youtube} CaCalUhx6ok {/ youtube}

Utilisateurs de Windows 10 : cliquez sur le logo Windows et sélectionnez l'icône d'alimentation. Dans le menu ouvert, cliquez sur "Redémarrer" tout en maintenant le bouton "Majuscule" de votre clavier. Dans la fenêtre "choisir une option", cliquez sur "Dépanner", puis sélectionnez "Options avancées". Dans le menu des options avancées, sélectionnez "Paramètres de démarrage" et cliquez sur le bouton "Redémarrer". Dans la fenêtre suivante, vous devez cliquer sur le bouton "F5" de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec mise en réseau.

mode sans échec windows 10 avec mise en réseau

Vidéo montrant comment démarrer Windows 10 en «Mode sans échec avec mise en réseau»:

{youtube} Gb6v_jvjTlU {/ youtube}

suppression manuelle des logiciels malveillants étape 3Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

extraire autoruns.zip et exécuter autoruns.exe

suppression manuelle des logiciels malveillants étape 4Dans l'application Autoruns, cliquez sur "Options" en haut et décochez les options "Masquer les emplacements vides" et "Masquer les entrées Windows". Après cette procédure, cliquez sur l'icône "Actualiser".

Cliquez sur

suppression manuelle des logiciels malveillants étape 5Consultez la liste fournie par l'application Autoruns et recherchez le fichier malveillant que vous souhaitez éliminer.

Vous devez noter son chemin complet et son nom. Notez que certains logiciels malveillants cachent les noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer les fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et choisissez "Supprimer".

localisez le fichier malveillant que vous souhaitez supprimer

Après avoir supprimé le malware via l'application Autoruns (cela garantit que le maliciel ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du maliciel sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du maliciel, assurez-vous de le supprimer.

rechercher un fichier malveillant sur votre ordinateur

Redémarrez votre ordinateur en mode normal. Suivre ces étapes devrait supprimer tout logiciel malveillant de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne possédez pas ces compétences, laissez la suppression des logiciels malveillants aux programmes antivirus et anti-maliciels. Ces étapes peuvent ne pas fonctionner avec les infections de maliciels avancées. Comme toujours, il est préférable de prévenir les infections plutôt que d'essayer de supprimer les maliciels plus tard. Pour protéger votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus.

Pour vous assurer que votre ordinateur est exempt d’infections de maliciels, nous vous recommandons de le scanner avec Malwarebytes.

À propos de l’auteur:

Tomas Meskauskas

Je suis passionné par la sécurité informatique et la technologie. J'ai une expérience de plus de 10 ans dans diverses entreprises liées à la résolution de problèmes techniques informatiques et à la sécurité Internet. Je travaille comme auteur et éditeur pour PCrisk depuis 2010. Suivez-moi sur Twitter et LinkedIn pour rester informé des dernières menaces de sécurité en ligne. En savoir plus sur l'auteur.

PCrisk Security Portal est un portail de sécurité créé par des chercheurs en sécurité pour aider à éduquer les utilisateurs d'ordinateurs sur les dernières menaces de sécurité en ligne. Plus d'informations sur les auteurs et les chercheurs qui travaillent chez PCrisk sur notre page Contact.

Nos guides de suppression des logiciels malveillants sont gratuits. Cependant, si vous souhaitez nous soutenir, vous pouvez nous envoyer un don.

Instructions de suppression en d'autres langues
Code QR
Maliciel BazarLoader Code QR
Un code QR (Code Quick Response) est un lisible par machine qui emmagasine les URL et d’autres information. Ce code peut être lu en utilisant une caméra sur un téléphone intelligent ou sur tablette. Scannez ce code QR pour avoir un accès rapide au guide de suppression du Maliciel BazarLoader sur votre diapositif mobile.
Nous recommandons:

Débarassez-vous de Maliciel BazarLoader aujourd’hui :

▼ SUPPRIMEZ LE MAINTENANT avec Malwarebytes

Plateforme: Windows

Note de l’éditeur pour Malwarebytes:
!Remarquable!

[Haut de la page]

Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Malwarebytes. 14 jours d’essai limité gratuit disponible.