Comment éliminer MonsterV2 des appareils compromis

Quel type de logiciel malveillant est MonsterV2 ?

MonsterV2 est présenté comme un cheval de Troie d'accès à distance (RAT), un voleur d'informations et un chargeur de logiciels malveillants. Il est développé à l'aide de C++, Go et TypeScript. Il peut effectuer plusieurs actions lorsqu'il est présent sur l'appareil infiltré. On sait que MonsterV2 fonctionne principalement comme un voleur ou un chargeur de logiciels malveillants.

En savoir plus sur MonsterV2

Le logiciel malveillant est configuré pour ne pas infecter les systèmes de certains pays, tels que l'Arménie, la Biélorussie, l'Estonie, le Kazakhstan, le Kirghizistan, la Lettonie, la Lituanie, la Moldavie, la Russie, le Tadjikistan, le Turkménistan, l'Ukraine et l'Ouzbékistan. Une fois à l'intérieur, il peut effectuer diverses activités malveillantes.

MonsterV2 peut surveiller le presse-papiers du système et remplacer les adresses de cryptomonnaie copiées par l'utilisateur par des adresses contrôlées par des cybercriminels. Si la victime ne remarque pas ces changements et effectue une transaction, la cryptomonnaie est envoyée aux auteurs de la menace.

MonsterV2 peut également télécharger et exécuter des charges utiles supplémentaires, notamment des ransomwares, des voleurs d'informations, d'autres RAT, mineurs de cryptomonnaie et d'autres types de logiciels malveillants. Stealc_v2 et Remcos RAT sont deux exemples connus distribués à l'aide de MonsterV2.

De plus, le logiciel malveillant peut voler des données telles que les données du navigateur, les identifiants de connexion, les informations relatives aux cartes de crédit et aux portefeuilles cryptographiques, les jetons de service (par exemple, Steam, Telegram, Discord), les fichiers, les documents et d'autres informations.

Ses capacités de vol d'informations impliquent également l'utilisation d'un enregistreur de frappe qui enregistre tout ce que la victime tape.

Une autre fonctionnalité consiste à exécuter une connexion de bureau à distance qui permet à l'attaquant de voir et de contrôler l'interface utilisateur graphique du système infecté. Le logiciel malveillant communique avec son serveur de commande et de contrôle et peut accepter et exécuter un large éventail de commandes envoyées par les cybercriminels, y compris les commandes Command Prompt et PowerShell.

De plus, MonsterV2 peut capturer l'écran et enregistrer des vidéos à l'aide de la webcam de l'appareil infecté, arrêter ou planter le système infecté, mettre fin à des processus (y compris les siens) et supprimer ses fichiers. MonsterV2 est vendu sous forme d'abonnements : une semaine, deux semaines ou un mois.

La version Standard coûte 800 dollars par mois, tandis que la version Enterprise coûte 2 000 dollars par mois et comprend des outils supplémentaires tels qu'un voleur, un chargeur, HVNC et HCDP. Il est important de noter que MonsterV2 est souvent associé à SonicCrypt crypter, un outil qui peut être utilisé pour ajouter des fichiers au démarrage, contourner l'UAC, personnaliser les icônes, ajouter des fichiers à la liste d'exceptions de Windows Defender, etc.

Conclusion

En conclusion, les victimes de MonsterV2 peuvent subir de graves conséquences, notamment le vol d'informations personnelles et financières, la perte de cryptomonnaies, la compromission du système, l'exécution de logiciels malveillants supplémentaires et la perturbation ou l'endommagement de leurs appareils. Ses capacités en font une menace très dangereuse pour les particuliers et les organisations.

D'autres exemples de logiciels malveillants classés comme RAT sont SilentSync, ZynorRAT et kkRAT.

Comment MonsterV2 s'est-il infiltré dans mon ordinateur ?

On a observé que les cybercriminels diffusaient MonsterV2 de différentes manières. On sait qu'auparavant, le logiciel malveillant était diffusé à l'aide de messages (prétendument provenant d'agences gouvernementales) contenant des fichiers PDF qui redirigeaient les utilisateurs vers des pages web conçues pour les inciter à exécuter des commandes PowerShell malveillantes à l'aide d'une technique ClickFix.

Des sites Web légitimes qui ont été compromis par du JavaScript malveillant sont également utilisés. Le script injecté affiche une fausse superposition CAPTCHA qui demande à l'utilisateur d'exécuter Win+R/PowerShell ; si l'utilisateur suit les instructions, une commande PowerShell est exécutée qui télécharge et exécute le logiciel malveillant.

MonsterV2 a également été diffusé via des e-mails sur le thème de GitHub. Les pirates créent de fausses notifications de sécurité dans les référentiels qu'ils contrôlent et taguent les utilisateurs légitimes, qui reçoivent alors des e-mails de notification contenant des liens vers des sites Web malveillants. En suivant ces liens, vous pouvez déclencher le téléchargement de logiciels malveillants, comme dans la méthode ClickFix.

Comment éviter l'installation de logiciels malveillants ?

Maintenez toujours votre système d'exploitation et vos applications à jour. Utilisez un logiciel de sécurité réputé et effectuez régulièrement des analyses pour identifier les menaces potentielles. Méfiez-vous des e-mails ou messages inattendus, en particulier ceux contenant des liens ou des pièces jointes provenant de sources inconnues. Ne téléchargez des logiciels ou des fichiers qu'à partir de sites Web officiels ou de boutiques d'applications fiables.

Évitez de cliquer sur des publicités ou des fenêtres contextuelles suspectes et n'autorisez pas les sites Web non fiables à envoyer des notifications. Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'effectuer une analyse avec Combo Cleaner Antivirus pour Windows pour éliminer automatiquement les logiciels malveillants infiltrés.

Faux PDF menant à la méthode de livraison ClickFix (source : proofpoint.com) :

Instructions (technique ClickFix) sur un faux document conduisant à l'exécution du malware MonsterV2 (source : proofpoint.com) :

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

• Qu'est-ce que MonsterV2 ?
• ÉTAPE 1. Suppression manuelle du logiciel malveillant MonsterV2.
• ÉTAPE 2. Vérifiez si votre ordinateur est propre.

Comment supprimer manuellement un malware ?

La suppression manuelle des logiciels malveillants est une tâche compliquée. Il est généralement préférable de laisser les programmes antivirus ou anti-malware s'en charger automatiquement. Pour supprimer ce logiciel malveillant, nous vous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer manuellement un logiciel malveillant, la première étape consiste à identifier le nom du logiciel malveillant que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Si vous avez vérifié la liste des programmes en cours d'exécution sur votre ordinateur, par exemple à l'aide du Gestionnaire des tâches, et identifié un programme qui semble suspect, vous devez suivre les étapes suivantes :

Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le registre et les emplacements du système de fichiers :

Redémarrez votre ordinateur en mode sans échec :

Utilisateurs de Windows XP et Windows 7 : démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, puis sur Arrêter, puis sur Redémarrer, puis sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec réseau dans la liste.

Vidéo montrant comment démarrer Windows 7 en « Mode sans échec avec réseau » :

Utilisateurs de Windows 8 : démarrez Windows 8 en mode sans échec avec réseau - Allez dans l'écran d'accueil de Windows 8, tapez « Avancé », puis sélectionnez « Paramètres » dans les résultats de recherche. Cliquez sur « Options de démarrage avancées », puis dans la fenêtre

« Paramètres généraux du PC », sélectionnez Démarrage avancé. Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur redémarrera alors dans le « Menu des options de démarrage avancées ». Cliquez sur le bouton « Dépannage », puis sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec réseau.

Vidéo montrant comment démarrer Windows 8 en « mode sans échec avec réseau » :

Utilisateurs de Windows 10 : cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu qui s'ouvre, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » de votre clavier enfoncée. Dans la fenêtre « Choisissez une option », cliquez sur « Dépannage », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, vous devez cliquer sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec réseau.

Vidéo montrant comment démarrer Windows 10 en « mode sans échec avec réseau » :

Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Masquer les emplacements vides » et « Masquer les entrées Windows ». Après cette procédure, cliquez sur l'icône « Actualiser ».

Vérifiez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.

Vous devez noter son chemin d'accès complet et son nom. Notez que certains logiciels malveillants masquent les noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Une fois que vous avez localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et sélectionnez « Supprimer ».

Après avoir supprimé le logiciel malveillant via l'application Autoruns (ceci garantit que le logiciel malveillant ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du logiciel malveillant sur votre ordinateur. Veillez à activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom du fichier du logiciel malveillant, veillez à le supprimer.

Redémarrez votre ordinateur en mode normal. Ces étapes devraient permettre de supprimer tous les logiciels malveillants de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne disposez pas de ces compétences, confiez la suppression des logiciels malveillants à des programmes antivirus et anti-malware.

Ces étapes peuvent ne pas fonctionner avec les infections par des logiciels malveillants avancés. Comme toujours, il vaut mieux prévenir l'infection que d'essayer de supprimer les logiciels malveillants par la suite. Pour protéger votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour vous assurer que votre ordinateur est exempt d'infections par des logiciels malveillants, nous vous recommandons de le scanner avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon ordinateur est infecté par le malware MonsterV2, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Le formatage du périphérique de stockage supprimera complètement MonsterV2, mais effacera également toutes les données. Il est conseillé d'essayer d'utiliser des outils antivirus ou de suppression de logiciels malveillants réputés, tels que Combo Cleaner, pour nettoyer le système sans perdre de données.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent voler des données personnelles et financières, endommager les systèmes, crypter des fichiers, permettre le contrôle à distance par des pirates et injecter des charges utiles malveillantes supplémentaires, entre autres.

Quel est l'objectif de MonsterV2 ?

L'objectif de MonsterV2 est de voler des informations sensibles, de prendre le contrôle des systèmes infectés et de diffuser d'autres logiciels malveillants. Il cible des données telles que les identifiants de connexion, les informations financières et relatives aux cryptomonnaies, ainsi que les fichiers, tout en permettant aux pirates de surveiller, contrôler et manipuler l'appareil de la victime.

Comment MonsterV2 s'est-il infiltré dans mon ordinateur ?

Les cybercriminels diffusent MonsterV2 de plusieurs manières. Les méthodes courantes comprennent des messages sur le thème du gouvernement avec des fichiers PDF qui dirigent les victimes vers des pages web qui les incitent à exécuter des commandes PowerShell malveillantes (ClickFix), des sites web compromis qui affichent un faux CAPTCHA et demandent une action Win+R/PowerShell, et des e-mails sur le thème de GitHub qui mènent à des sites malveillants.

Combo Cleaner me protège-t-il contre les logiciels malveillants ?

Oui, Combo Cleaner peut détecter et supprimer la plupart des logiciels malveillants connus. Cependant, les logiciels malveillants avancés se cachent souvent profondément dans le système, il est donc important d'effectuer une analyse complète du système.