Comment supprimer NWHStealer des appareils infectés

Quel type de malware est NWHStealer ?

NWHStealer est un malware, un voleur d'informations, ciblant les utilisateurs de Windows. Il peut collecter des données personnelles sensibles à partir des navigateurs web (y compris les mots de passe) et des portefeuilles de cryptomonnaie. Les cybercriminels distribuent NWHStealer en utilisant de faux sites web, des services d'hébergement de fichiers, des plateformes de réseaux sociaux et des canaux similaires.

En savoir plus sur NWHStealer

Une fois lancé, NWHStealer opère en mémoire ou s'intègre dans des processus système légitimes pour éviter la détection. Il analyse ensuite plus de 25 répertoires et entrées de registre différents liés aux portefeuilles de cryptomonnaies, à la recherche de données sensibles. De plus, il extrait des informations sensibles à partir d'une gamme de navigateurs web.

Les navigateurs ciblés incluent 360 Browser, Brave, Chrome, Chromium, Chromodo, Edge, K-Melon et Opera. Le voleur implante un fichier DLL malveillant dans les navigateurs web qui collecte des informations sensibles, telles que les mots de passe enregistrés ou les données de portefeuille. Ce fichier DLL exécute également une commande PowerShell cachée qui aide le maliciel à rester actif et à éviter la détection.

Il crée des dossiers cachés et fait en sorte que Windows Defender les ignore, puis met à jour les paramètres système. Ensuite, il télécharge des fichiers malveillants supplémentaires déguisés en processus système légitimes et les configure pour s'exécuter automatiquement à chaque connexion de l'utilisateur, souvent avec des privilèges élevés.

Le voleur obtient des privilèges système plus élevés en créant un fichier temporaire et en utilisant un outil Windows intégré pour contourner l'invite de contrôle de compte d'utilisateur (UAC). Il « clique » même automatiquement sur l'invite à l'aide de fonctions Windows, afin que ses commandes PowerShell puissent s'exécuter avec un accès élevé.

Conclusion

Dans l'ensemble, NWHStealer est conçu pour collecter des données sensibles, en particulier à partir des navigateurs et des portefeuilles de cryptomonnaies. Il utilise de multiples techniques furtives pour éviter la détection, maintenir sa persistance et obtenir des privilèges élevés sur le système. Les victimes peuvent rencontrer des problèmes tels que des pertes financières et le vol d'identité. La menace doit être supprimée immédiatement si elle est présente sur le système.

D'autres exemples de voleurs d'informations sont OmniStealer, Storm et Remus.

Comment NWHStealer s'est-il infiltré dans mon ordinateur ?

NWHStealer se propage principalement en se camouflant en logiciel utile ou populaire, comme des installateurs VPN, des outils matériels, des mods de jeux ou des programmes de triche. Les utilisateurs sont incités à télécharger des fichiers ZIP ou des installateurs à partir de faux sites web, de dépôts GitHub ou GitLab, de sites de partage de fichiers, ou même de liens partagés dans des vidéos YouTube.

Dans la plupart des attaques, l'objectif est le même : inciter les utilisateurs à exécuter un fichier qui semble sûr mais qui injecte en réalité le voleur en arrière-plan. Des exemples de fichiers ZIP contenant le voleur sont « OhmGraphite-0.36.1.zip », « Sidebar Diagnostics-3.6.5.zip », « Pachtop_1.2.2.zip » et « HardwareVisualizer_1.3.1.zip ».

Comment éviter l'installation de maliciels ?

Téléchargez des logiciels à partir de sites web officiels et de confiance ou de boutiques d'applications vérifiées. N'utilisez jamais de programmes crackés, d'outils piratés ou de générateurs de clés. Examinez les courriels inattendus, en particulier ceux provenant d'expéditeurs inconnus, et évitez d'ouvrir des pièces jointes ou des liens qui semblent suspects.

Maintenez votre système d'exploitation et toutes les applications installées à jour. Lorsque vous naviguez sur des sites web douteux, ne cliquez pas sur les fenêtres contextuelles, les publicités ou d'autres éléments suspects, et refusez toute demande de ces pages d'envoyer des notifications.

Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons d'exécuter une analyse avec Combo Cleaner Antivirus pour Windows pour éliminer automatiquement les maliciels infiltrés.

Une fausse page distribuant NWHStealer (source : malwarebytes.com) :

Un autre site trompeur utilisé pour distribuer le voleur (source : malwarebytes.com) :

Suppression automatique et instantanée des maliciels :

La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :

En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par RCS LT, la société mère de PCRisk.

Menu rapide :

• Qu'est-ce que NWHStealer ?
• ÉTAPE 1. Suppression manuelle du maliciel NWHStealer.
• ÉTAPE 2. Vérifiez si votre ordinateur est propre.

Comment supprimer un maliciel manuellement ?

La suppression manuelle des maliciels est une tâche compliquée - il est généralement préférable de laisser les programmes antivirus ou anti-maliciel le faire automatiquement. Pour supprimer ce maliciel, nous recommandons d'utiliser Combo Cleaner Antivirus pour Windows.

Si vous souhaitez supprimer un maliciel manuellement, la première étape consiste à identifier le nom du maliciel que vous essayez de supprimer. Voici un exemple de programme suspect s'exécutant sur l'ordinateur d'un utilisateur :

Si vous avez vérifié la liste des programmes s'exécutant sur votre ordinateur, par exemple en utilisant le gestionnaire des tâches, et identifié un programme qui semble suspect, vous devez continuer avec ces étapes :

Téléchargez un programme appelé Autoruns. Ce programme affiche les applications à démarrage automatique, le registre et les emplacements du système de fichiers :

Redémarrez votre ordinateur en mode sans échec :

Utilisateurs de Windows XP et Windows 7 : Démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows apparaisse, puis sélectionnez Mode sans échec avec prise en charge réseau dans la liste.

Vidéo montrant comment démarrer Windows 7 en « Mode sans échec avec prise en charge réseau » :

Utilisateurs de Windows 8 : Démarrez Windows 8 en mode sans échec avec prise en charge réseau - Accédez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre « Paramètres généraux du PC » ouverte, sélectionnez Démarrage avancé.

Cliquez sur le bouton « Redémarrer maintenant ». Votre ordinateur va maintenant redémarrer dans le « menu des options de démarrage avancées ». Cliquez sur le bouton « Résolution des problèmes », puis cliquez sur le bouton « Options avancées ». Dans l'écran des options avancées, cliquez sur « Paramètres de démarrage ».

Cliquez sur le bouton « Redémarrer ». Votre PC redémarrera sur l'écran des paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 8 en « Mode sans échec avec prise en charge réseau » :

Utilisateurs de Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône d'alimentation. Dans le menu ouvert, cliquez sur « Redémarrer » tout en maintenant la touche « Maj » enfoncée sur votre clavier. Dans la fenêtre « Choisir une option », cliquez sur « Résolution des problèmes », puis sélectionnez « Options avancées ».

Dans le menu des options avancées, sélectionnez « Paramètres de démarrage » et cliquez sur le bouton « Redémarrer ». Dans la fenêtre suivante, vous devez cliquer sur la touche « F5 » de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec prise en charge réseau.

Vidéo montrant comment démarrer Windows 10 en « Mode sans échec avec prise en charge réseau » :

Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.

Dans l'application Autoruns, cliquez sur « Options » en haut et décochez les options « Masquer les emplacements vides » et « Masquer les entrées Windows ». Après cette procédure, cliquez sur l'icône « Actualiser ».

Vérifiez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.

Vous devez noter son chemin complet et son nom. Notez que certains maliciels cachent leurs noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, faites un clic droit sur son nom et choisissez « Supprimer ».

Après avoir supprimé le maliciel via l'application Autoruns (cela garantit que le maliciel ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du maliciel sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du maliciel, assurez-vous de le supprimer.

Redémarrez votre ordinateur en mode normal. Suivre ces étapes devrait supprimer tout maliciel de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne possédez pas ces compétences, laissez la suppression des maliciels aux programmes antivirus et anti-maliciel.

Ces étapes pourraient ne pas fonctionner avec les infections de maliciels avancées. Comme toujours, il est préférable de prévenir l'infection plutôt que d'essayer de supprimer les maliciels par la suite. Pour garder votre ordinateur en sécurité, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour être sûr que votre ordinateur est exempt d'infections par des maliciels, nous recommandons de le scanner avec Combo Cleaner Antivirus pour Windows.

Foire aux questions (FAQ)

Mon appareil est infecté par le maliciel NWHStealer, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Bien que cette méthode garantisse l'élimination complète de NWHStealer, elle entraîne également la perte de toutes les données sur l'appareil. Il est généralement préférable d'essayer d'abord de supprimer l'infection à l'aide d'un outil de sécurité de confiance tel que Combo Cleaner avant de recourir à cette option.

Quels sont les principaux problèmes que les maliciels peuvent causer ?

Les maliciels peuvent causer le vol de données, des pertes financières, des dommages au système, des violations de la vie privée et la compromission complète de l'appareil.

Quel est l'objectif de NWHStealer ?

NWHStealer est principalement conçu pour collecter des données de navigateur comme les mots de passe enregistrés et les cookies de session, ainsi que les données de portefeuilles de cryptomonnaies et d'autres informations personnelles qui peuvent être utilisées de manière abusive pour voler de l'argent et des identités, détourner des comptes et effectuer d'autres actions malveillantes.

Comment NWHStealer s'est-il infiltré dans mon appareil ?

Cela se produit généralement par le biais de téléchargements tels que de faux installateurs VPN, des mods de jeux, des outils matériels ou des cracks de logiciels. Il est également couramment diffusé via de faux sites web, des liens GitHub ou de partage de fichiers, et même des liens dans des vidéos YouTube qui redirigent les utilisateurs vers des téléchargements infectés.

Combo Cleaner me protégera-t-il contre les maliciels ?

Oui, Combo Cleaner peut détecter et supprimer la plupart des menaces, mais certains maliciels avancés peuvent se cacher dans le système et éviter la détection. Pour cette raison, effectuer une analyse complète du système est important.