Hvordan fjerne fjerntilkoblingsverktøy
Fjerntilkoblingsverktøy (RAT) er en programvare som hjelper hackeren med å få kontroll over offerets enhet
Et fjerntilkoblingsverktøy, eller RAT-verktøy (remote administration tool) er et program som brukes av hackere eller andre for å koble til en datamaskin eksternt via nettet eller et lokalt nettverk. Et fjerntilkoblingsverktøy er basert på server- og klientteknologi. Serverdelen kjører på en kontrollert datamaskin og mottar kommandoer fra klienten, som er installert på den eksterne verten.
Fjerntilkoblingsverktøy deles inn i ondsinnede og legitime programmer. Ondsinnede RAT-verktøy, som er en type trojaner, ligner i stor grad på bakdører, og har svært lik funksjonalitet. De er imidlertid ikke like virale som bakdører, og har ikke ytterligere destruktive funksjoner eller andre skadelige egenskaper. Disse parasittene fungerer ikke på egenhånd, og må kontrolleres av klienten.
Det ondsinnede fjerntilkoblingsverktøyet kjører i bakgrunnen og skjuler seg fra brukeren. Personen som kontrollerer det kan overvåke brukerens aktivitet, administrere filer, installere ekstra programvare, kontrollere hele systemet inkludert tilstedeværende programmer eller maskinvareenheter, endre systeminnstillinger, slå av eller starte datamaskinen på nytt.
RAT-verktøy brukes også i skremmekampanjer, der ondsinnede aktører sender ut falske e-poster til brukere om at innloggingsopplysningene deres er lekket i et databrudd. Meldingen hevder at offerets datamaskin er hacket, og at en RAT-trojaner er installert og gir tilgang til materiale via kameraet. Offeret blir deretter bedt om å betale hackeren i bitcoin for å unngå at det filmede innholdet ikke blir delt med slekt og venner. Dette er et svindelforsøk som er utviklet for å skaffe penger, og ingen malware blir installert på datamaskinen til offeret.
Hovedformål | Å gi ekstern tilgang til systemet |
---|---|
Typer | Trygg og ondsinnet. Ondsinnede verktøy kalles også RAT-trojaner |
Hovedfare | Kan brukes av hackere til å koble til offerets system uten tillatelse |
Populære eksempler (ondsinnet) | |
RAT-kampanjer |
|
Symptomer på infeksjon | Låst tastatur, installasjon av andre programmer uten tillatelse, enheten kjører sakte og krasjer (tegn på infeksjon) |
Kan bli satt til å | Stjele informasjon, endre systeminnstillinger, installere malware, spore offeret |
Installasjon | Manuell (når legitime RAT-verktøy installeres med vilje) og skjult. I sistnevnte tilfelle utføres installasjonen med malware, infiserte e-postvedlegg osv. |
Legitime fjerntilkoblingsverktøy er kommersielle produkter som først og fremst er rettet mot systemadministratorer. Hovedformålet med disse er å gi autorisert tilgang til datamaskiner for å fikse eller kontrollere dem fra en ekstern lokasjon. Legitime RAT-verktøy har den samme funksjonaliteten som ondsinnede programmer, og kan dermed brukes til ondsinnede formål.
Denne typen malware brukes i målrettede angrep og store spam-kampanjer. Ondsinnede vedlegg i phishing-e-poster brukes til å distribuere slike infeksjoner. Den nedlastede og åpnede filen utløser nemlig infeksjonen automatisk, og RAT-verktøyet kan kjøres uten at offeret tillater eller engang er klar over det.
Etter infiltrering kan deretter slike trojanere stilles inn til å spre annen malware, som ransomware eller kryptokaprende malware. På denne måten kan RAT-trojanere fungere som en bakdør for andre virus. RAT-verktøy kan også kjøre prosesser i bakgrunnen like etter krypto-utvinning.
Aktiviteter som utføres ved hjelp av et fjerntilkoblingsverktøy
Legitime RAT-verktøy ligner i stor grad på de ondsinnede variantene. Men, sistnevnte brukes kun for illegale aktiviteter, som for eksempel:
- Gi angriperen muligheten til å opprette, slette, gi nytt navn til, kopiere eller redigere alle filer. Angriperen kan også bruke RAT-verktøyet til å utføre ulike kommandoer, endre systeminnstillingene, endre Windows-registeret, kontrollere eller avslutte programmer. Det kan også brukes til å installere andre programmer eller parasitter.
- Gi angriperen kontroll over maskinvaren, endre tilhørende innstillinger, slå av eller starte datamaskinen på nytt uten å spørre offeret om tillatelse.
- La ondsinnede aktører overvåke offerets aktiviteter på nettet. Dette kan føre til tap av passord, innloggingsopplysninger, personlige dokumenter og annen sensitiv informasjon.
- Ta skjermbilder og spore offerets aktiviteter. Alle data som innhentes ved bruk av denne teknikken overføres til angriperen.
- Degradere datamaskinens ytelse, redusere internetthastigheten og systemets sikkerhet. Slike virus kan også ofte forårsake ustabilitet på datamaskinen.
- Skjule seg fra brukeren og gjøre det så vanskelig som mulig å fjerne verktøyet.
Distribusjonsteknikker for fjerntilkoblingsverktøy (RAT-verktøy)
Fjerntilkoblingsverktøy (RAT-verktøy) er ikke som andre datavirus. Serverdelen må være installert på det infiserte systemet, som et hvilket som helst annet program. Dette kan gjøres med eller uten offerets samtykke. Det er primært to måter å få et uønsket RAT-verktøy inn på systemet:
- Manuell installasjon. Et legitimt RAT-verktøy kan installeres manuelt på systemet av systemadministratoren eller en annen bruker som har tilstrekkelig med tillatelser til å gjøre det. En hacker kan også bryte seg inn i systemet og installere RAT-verktøyet. I begge tilfeller blir verktøyet installert uten offerets samtykke og viten.
- Infiltrering ved hjelp av andre parasitter. Ondsinnede RAT-verktøy blir installert av andre parasitter, som virus, bakdører eller ormer. De kommer ofte inn i systemet ved hjelp av ulike trojanere via Internet Explorer ActiveX-kontroller eller ved å utnytte visse sårbarheter i nettleseren. Angriperne designer usikre nettsteder som er fulle av ondsinnet kode, eller de distribuerer usikre popup-vinduer. Brukeren oppdager kanskje ikke noe mistenkelig, ettersom trusselen ikke viser noen installasjonsveiledning, dialogvinduer eller advarsler.
Så og si alle fjerntilkoblingsverktøy er vanskelige å oppdage. De kan bryte med brukerens personvern i flere måneder eller til og med år før de blir oppdaget. Angriperen kan bruke RAT-verktøyet til å finne ut alt om offeret, innhente og dele verdifull informasjon som passord, innloggingsnavn, kredittkortnumre, bankkontoopplysninger, verdifulle dokumenter, kontakter, interesser, nettleserdata og mye mer.
Alle fjerntilkoblingsverktøy kan brukes til ondsinnede formål. Hvis hackeren klarer å innhente verdifull og nyttig informasjon fra en infisert datamaskin, kan han eller hun ødelegge hele systemet for å skjule sporene sine. Dette innebærer at alle harddisker blir formaterte og alle filene på dem blir slettet. Ondsinnede versjoner av fjerntilkoblingsverktøy kan ramme alle datamaskiner som kjører Microsoft Windows OS. Men, det finnes også mange mindre parasitter som er designet for å fungere på ulike systemer, inkludert Mac OS X.
E-postutsendelser med påstander om RAT-infeksjon
Det har blitt svært populært med utpressingssvindel de siste årene, og svindlerne bruker ulike teknikker for å få ofrene til å betale. Disse svindeltypene distribueres ofte via e-poster som tidligere er lekket i databrudd hos velkjente selskaper, som Ticketmaster, hotellkjeden Mariott eller Equifax.
Offeret som mottar e-posten blir tatt på senga, da det står noe sånt som «You email password is XXX», og passordet stemmer. I noen tilfeller kan passordet være utdatert, men offeret blir likevel satt ut, og forstår kanskje ikke hvor de ondsinnede aktørene har informasjonen fra.
I e-posten står det en forklaring:
I infected you with my private malware, RAT, (Remote Administration Tool) some time ago.
The malware gave me full access and control over your computer, meaning, I got access to all your accounts and I can see everything on your screen, even turn on your camera or microphone and you won’t even notice about it.
Hvis offeret ikke betaler løsesummen (som kan komme opp i hundre tusen kroner!), truer svindlerne med å avsløre videoen til alle kontakter på sosiale medier. Dette er informasjon svindlerne har tilgang til ved bruk av de innhentede opplysningene.
Denne svindelen fungerer bra fordi brukere ikke er klar over at store databrudd skjer jevnlig, og de fleste er redde for konsekvensene og ender opp med å betale den ondsinnede aktøren.
Fjerne RAT-verktøyet fra systemet
Du kan ikke fjerne ondsinnede RAT-verktøy manuelt, ettersom de skjuler filene sine og andre komponenter i systemet. Den mest pålitelige måten å eliminere slike trusler på er å bruke et vel ansett antispyware-verktøy. Slike programmer kan enkelt hjelpe deg med å oppdage og fjerne selv de mest skadelige virus, og dette er noe du bør installere på datamaskinen din snarest. Du kan fikse datamaskinen din og bli kvitt alle RAT-verktøy ved hjelp av FortectIntego, SpyHunter 5Combo Cleaner eller Malwarebytes.
Hvis du mener du har nok teknisk kunnskap til å finne RAT-filene på datamaskinen din manuelt, bør du tenke deg om to ganger før du fjerner slike komponenter. Ellers kan du komme til å oppleve store problemer, inkludert ustabilitet på systemet. Merk at mange internettressurser, som 2-Spyware.com kan hjelpe deg med manuell fjerning av malware. Du kan få detaljerte instruksjoner for hvordan du fjerner ondsinnede RAT-verktøy fra systemet ved å legge inn et spørsmål på Spør oss-siden.
Det siste fjerntilkoblingsverktøyet som ble lagt til å databasen
Fjern U2k ransomware
Slette Tohj ransomware
Bli kvitt Bozon ransomware
Informasjon oppdatert: 2020-09-22