Comment supprimer BoryptGrab des appareils infectés

De quel type de logiciel malveillant s'agit-il avec BoryptGrab ?

BoryptGrab est un logiciel malveillant qui vole des informations sur les appareils infectés par divers moyens. Il se propage via de fausses pages GitHub proposant des logiciels gratuits. Il est important de noter que, au cours de la chaîne d'attaque impliquant BoryptGrab, un autre logiciel malveillant, une porte dérobée connue sous le nom de TunnesshClient, peut être injecté. S'il est détecté sur un appareil, BoryptGrab (ou la menace associée) doit être supprimé immédiatement.

En savoir plus sur BoryptGrab

Lorsque BoryptGrab infecte un appareil, il vérifie d'abord s'il s'exécute au sein d'une machine virtuelle (VM) en analysant les fichiers et les paramètres système. Cela lui permet d'échapper à l'analyse des chercheurs. Il examine également les programmes en cours d'exécution pour voir si certains correspondent à sa liste d'outils d'analyse. De plus, il tente d'obtenir des privilèges d'administrateur.

BoryptGrab est capable de collecter des informations sensibles à partir de plusieurs navigateurs, notamment Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi et Yandex Browser. Les données visées peuvent inclure des identifiants de connexion, des données de remplissage automatique, l'historique de navigation et d'autres informations similaires.

Il convient de noter que BoryptGrab télécharge un outil Chromium qui lui permet de voler des données du navigateur. Ce logiciel malveillant peut également extraire des données des portefeuilles cryptographiques installés sur le bureau et des extensions de navigateur. Il réalise ensuite une capture d'écran et recueille des informations générales sur le système. La liste des portefeuilles de cryptomonnaies ciblés comprend les services suivants :

Armory Wallet, Atomic, AtomicDEX, Binance, Bitcoin Core, BitPay, Blockstream Green, Chia Wallet, Coinomi, Copay, Daedalus Mainnet, Dash Core, Dogecoin, Electron Cash, Electrum, ElectrumLTC, Ethereum, Exodus, GreenAddress, Guarda, Jaxx Desktop, Komodo Wallet, Ledger Live, Ledger Wallet, Litecoin Core, MEW Desktop, MultiDoge, MyEtherWallet, NOW Wallet, Raven Core, StakeCube, Trezor Suite, Wasabi Wallet.

BoryptGrab peut également extraire des fichiers de dossiers courants en fonction de certains types de fichiers. Il récupère les fichiers Telegram, les mots de passe des navigateurs et, dans les versions plus récentes, les jetons Discord. Une fois toutes ces données collectées, il les compresse et les envoie au serveur de l'attaquant.

Certaines versions de BoryptGrab téléchargent et exécutent également la porte dérobée TunnesshClient, mais ce n'est pas le cas de toutes les versions. TunnesshClient est un logiciel malveillant développé en Python qui permet aux pirates d'envoyer des commandes à l'ordinateur infecté et de rediriger son trafic Internet via une connexion SSH inversée.

Conclusion

BoryptGrab est un logiciel malveillant qui recueille des informations sensibles à partir des navigateurs, des portefeuilles de cryptomonnaie, des applications de messagerie et des fichiers présents sur l'appareil infecté. Il tente également d'échapper à la détection en recherchant la présence de machines virtuelles et d'outils d'analyse, et en demandant des privilèges d'administrateur. Certaines versions peuvent télécharger une porte dérobée, permettant ainsi aux pirates de prendre le contrôle à distance.

Les victimes de l'attaque BoryptGrab peuvent être confrontées à des problèmes tels que des pertes financières, l'usurpation d'identité, le piratage de comptes, des infections supplémentaires et d'autres difficultés. Il convient donc de supprimer BoryptGrab des appareils infectés dès que possible.

Comment BoryptGrab s'est-il introduit dans mon ordinateur ?

Les cybercriminels exploitent des dépôts GitHub publics qui hébergent des outils logiciels prétendument légitimes ou utiles. Ils ont également recours au référencement naturel (SEO) pour faire apparaître leurs faux dépôts et leurs pages GitHub en tête des résultats de recherche. Lorsque les utilisateurs recherchent en ligne des outils, des astuces ou des logiciels piratés, ils peuvent tomber sur ces pages.

Lorsque les utilisateurs ouvrent le dépôt, ils sont redirigés vers un site web de type GitHub qui ressemble à une véritable page de téléchargement de logiciels. Ces pages font la promotion d'outils tels que des codes de triche pour jeux vidéo, des logiciels piratés ou des utilitaires, comme des optimiseurs de FPS, ainsi que des logiciels tels que Filmora ou Voicemod, qui prétendent permettre de télécharger ou de modifier d'autres applications.

La page propose une archive ZIP qui se fait passer pour le programme d'installation du logiciel. Lorsque l'utilisateur télécharge et exécute les fichiers contenus dans l'archive, l'infection commence.

Comment éviter l'installation de logiciels malveillants ?

Téléchargez toujours vos logiciels à partir de sources fiables, telles que les sites web officiels ou les boutiques d'applications reconnues, et veillez à ce que votre système d'exploitation et vos applications soient régulièrement mis à jour. Méfiez-vous des e-mails ou des messages inattendus, en particulier s'ils contiennent des pièces jointes ou des liens, et évitez de les ouvrir.

Utilisez des logiciels de sécurité fiables pour effectuer régulièrement des analyses permettant d'identifier et d'éliminer les menaces potentielles. Évitez également de cliquer sur des publicités, des fenêtres contextuelles ou des liens suspects lorsque vous naviguez sur des sites non vérifiés, et refusez les demandes de notification provenant de sites web auxquels vous ne faites pas confiance.

Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'effectuer une analyse avec Combo Cleaner Antivirus pour Windows afin d'éliminer automatiquement les logiciels malveillants qui s'y sont infiltrés.

Fausse page de téléchargement GitHub diffusant BoryptGrab (source : trendmicro.com) :

Le fichier « README » d'un dépôt GitHub malveillant (source : trendmicro.com) :

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

• Qu'est-ce que BoryptGrab ?
• ÉTAPE 1. Suppression manuelle du logiciel malveillant BoryptGrab.
• ÉTAPE 2. Vérifiez que votre ordinateur ne contient pas de virus.

Comment supprimer manuellement un logiciel malveillant ?

La suppression manuelle des logiciels malveillants est une tâche complexe ; il est généralement préférable de laisser les programmes antivirus ou anti-malware s'en charger automatiquement. Pour supprimer ce logiciel malveillant, nous vous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer manuellement un logiciel malveillant, la première étape consiste à identifier le nom du logiciel malveillant que vous souhaitez supprimer. Voici un exemple de programme suspect en cours d'exécution sur l'ordinateur d'un utilisateur :

Si vous avez consulté la liste des programmes en cours d'exécution sur votre ordinateur, par exemple à l'aide du Gestionnaire des tâches, et que vous avez repéré un programme qui vous semble suspect, procédez comme suit :

Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, ainsi que leur emplacement dans le Registre et le système de fichiers :

Redémarrez votre ordinateur en mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, puis sur Arrêter, puis sur Redémarrer, puis sur OK. Pendant le démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu des options avancées de Windows s'affiche, puis sélectionnez « Mode sans échec avec réseau » dans la liste.

Vidéo expliquant comment démarrer Windows 7 en « mode sans échec avec réseau » :

Utilisateurs de Windows 8 : Démarrez Windows 8 en mode sans échec avec réseau. Accédez à l'écran d'accueil de Windows 8, tapez « Avancé », puis sélectionnez « Paramètres » dans les résultats de recherche. Cliquez sur « Options de démarrage avancées ». Dans la fenêtre « Paramètres généraux de l'ordinateur » qui s'ouvre, sélectionnez « Démarrage avancé ».

Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur va alors redémarrer et afficher le « Menu des options de démarrage avancées ». Cliquez sur le bouton « Dépannage », puis sur le bouton « Options avancées ». Dans la fenêtre des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera et affichera l'écran des paramètres de démarrage. Appuyez sur la touche F5 pour démarrer en mode sans échec avec réseau.

Vidéo expliquant comment démarrer Windows 8 en « mode sans échec avec réseau » :

Utilisateurs de Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône d'alimentation. Dans le menu qui s'ouvre, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » de votre clavier enfoncée. Dans la fenêtre « Choisissez une option », cliquez sur « Dépannage », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage », puis cliquez sur le bouton « Redémarrer ». Dans la fenêtre qui s'affiche, appuyez sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec réseau.

Vidéo expliquant comment démarrer Windows 10 en « mode sans échec avec réseau » :

Décompressez l'archive téléchargée et lancez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut de la fenêtre et décochez les cases « Masquer les emplacements vides » et « Masquer les entrées Windows ». Une fois cette opération effectuée, cliquez sur l'icône « Actualiser ».

Consultez la liste fournie par l'application Autoruns et repérez le fichier malveillant que vous souhaitez supprimer.

Vous devez noter son chemin d'accès complet et son nom. Notez que certains logiciels malveillants dissimulent leurs noms sous ceux de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Une fois que vous avez localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et sélectionnez « Supprimer ».

Après avoir supprimé le logiciel malveillant à l'aide de l'application Autoruns (ce qui garantit qu'il ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du logiciel malveillant sur votre ordinateur. Veillez à afficher les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom du fichier du logiciel malveillant, veillez à le supprimer.

Redémarrez votre ordinateur en mode normal. En suivant ces étapes, vous devriez parvenir à supprimer tout logiciel malveillant de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne disposez pas de ces compétences, confiez la suppression des logiciels malveillants à des programmes antivirus et anti-malware.

Ces étapes pourraient ne pas fonctionner en cas d'infection par des logiciels malveillants sophistiqués. Comme toujours, il vaut mieux prévenir l'infection que d'essayer de supprimer le logiciel malveillant par la suite. Pour assurer la sécurité de votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour vous assurer que votre ordinateur est exempt de logiciels malveillants, nous vous recommandons de le scanner avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon appareil est infecté par le logiciel malveillant BoryptGrab. Dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Le formatage de l'appareil supprimera BoryptGrab, mais effacera toutes les données ; il ne doit donc être envisagé qu'en dernier recours. Il est préférable de commencer par effectuer une analyse complète à l'aide d'un logiciel de sécurité fiable, tel que Combo Cleaner.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent voler des informations personnelles, permettre à des pirates de contrôler votre appareil à distance, supprimer ou endommager des fichiers, installer d'autres programmes malveillants, ralentir les performances du système, provoquer des plantages et effectuer d'autres actions nuisibles.

À quoi sert BoryptGrab ?

BoryptGrab a pour objectif de voler des données de navigateur, des données de portefeuilles de cryptomonnaies (provenant d'applications de bureau et d'extensions), des informations issues d'applications de messagerie (Telegram et Discord), des informations système et des captures d'écran. Il peut également fournir un accès à distance via TunnesshClient (pour certaines versions).

Comment BoryptGrab s'est-il introduit dans mon appareil ?

BoryptGrab s'est probablement introduit dans votre appareil via une fausse page ou un faux dépôt GitHub qui prétendait proposer des logiciels ou des outils gratuits. Lorsque vous avez téléchargé et ouvert le fichier ZIP fourni, le logiciel malveillant s'est installé.

Combo Cleaner me protège-t-il contre les logiciels malveillants ?

Oui, Combo Cleaner est capable de détecter et de supprimer la plupart des logiciels malveillants connus. Étant donné que certaines menaces sophistiquées peuvent se cacher profondément dans le système, il est recommandé d'effectuer une analyse complète du système afin de s'assurer que tous les composants malveillants sont détectés et éliminés.