Как избавиться от стиллера

Cтилеры

Любые пользовательские данные – от паролей к разным сервисам до электронных документов – весьма востребованы у злоумышленников. Причина известна — практически любую информацию можно монетизировать. Например, можно использовать украденные данные для вывода денег на счета злоумышленников, заказа товаров или услуг, также всегда есть возможность продать украденное другим киберпреступникам.

Большинство браузеров предлагает сохранить вашу информацию: логины и пароли от аккаунтов, данные банковской карты, которой вы расплачиваетесь в интернет-магазинах, имя, фамилию и номер паспорта при покупке билетов и так далее. С одной стороны это удобно, вы можете сэкономить кучу времени на заполнении одинаковых форм и не беспокоиться о забытых паролях. Однако есть один нюанс: все эти данные могут достаться злоумышленникам, если на вашем компьютере заведется стилер (от английского to steal, воровать – определенный класс троянов, функционал которых полностью состоит из кражи сохраненных в системе паролей и отправки их злоумышленнику, зловред, крадущий информацию, в том числе из браузера).

Популярность таких программ среди интернет-мошенников в последнее время растет. Востребованность краденых данных подтверждается и статистикой «Лаборатории Касперского»: за первое полугодие 2019 года вредоносным ПО, предназначенным для сбора разнообразных данных, было атаковано более чем 940 тысяч пользователей. Для сравнения, за тот же период 2018 года было атаковано чуть менее 600 тысяч пользователей.

Речь идет о троянцах-стилерах, или Password Stealing Ware (PSW). За последние полгода чаще всего детектировали подобное вредоносное ПО у пользователей из России, Индии, Бразилии, Германии и США.

Географическое распределение пользователей, атакованных троянцами-стилерами за первое полугодие 2019 года:

Строго говоря, стилеров интересуют не только те данные, которые сохранены в браузерах, также они крадут данные криптокошельков, игровых площадок и файлы с рабочего стола (надеемся, что вы не храните в них ценную информацию вроде списка паролей).

Зачем стилеру собирать какие-то текстовые файлы или, тем более, все файлы с рабочего стола? Дело в том, что в папке «Рабочий стол» обычно хранятся востребованные и актуальные для пользователя файлы. Среди них вполне может быть текстовый файл, содержащий пароли, которые должны быть всегда под рукой. Или, например, рабочие документы, содержащие конфиденциальные данные.

Как браузеры хранят наши данные

Браузеры превратились в важный интернет-шлюз для работы и шопинга, а также для личной жизни, и зачастую оттуда можно позаимствовать куда больше конфиденциальных сведений, чем из других программ.

Разработчики браузеров стремятся защитить информацию, которую им доверили. Для этого они шифруют информацию, а расшифровать ее можно только на том устройстве и из того аккаунта, в котором вы эту информацию сохранили. Так что если просто украсть файл с данными автозаполнения, то воспользоваться им не получится – в нем все надежно зашифровано.

По умолчанию разработчики браузеров предполагают, что свои устройство и аккаунт вы хорошо защитили, поэтому программа, запущенная с вашего аккаунта на вашем компьютере, может без проблем достать и расшифровать сохраненные данные. Ведь она действует как бы от вашего имени. Но к сожалению, это относится и к зловреду, проникшему на устройство и запущенному под вашей учетной записью.

Как стилеры воруют наши данные

После покупки (или создания) зловреда злоумышленник приступает к его распространению. Чаще всего это происходит путем рассылки электронных писем с вредоносными вложениями (например, это могут быть офисные документы с вредоносными макросами, загружающими непосредственно троянца). Кроме того, стилеры могут распространяться с помощью ботнетов, когда те получают команду на загрузку и исполнение троянца-стилера.

Все стилеры, когда дело доходит до кражи данных из браузеров (паролей, информации о банковских картах, данных автозаполнения), действуют практически по одинаковой схеме.

Google Chrome и браузеры на основе Chromium

Google Chrome и другие браузеры на движке Chromium – например, Opera или Yandex.Браузер – всегда хранят данные пользователя в одном и том же месте, поэтому стилеру не составит проблем их найти. Эти данные хранятся в зашифрованном виде. Однако если зловред уже проник в систему, то все его действия происходят как бы от вашего имени. Поэтому зловред просто просит специальную систему браузера, отвечающую за шифрование сохраненной на компьютере информации, расшифровать эти данные. Поскольку такие запросы от лица пользователя по умолчанию считаются безопасными, в ответ стилер получит ваши пароли и данные банковских карт.

В браузерах, созданных на основе открытого исходного кода Chromium, сохраненные пароли защищены с помощью DPAPI (Data Protection API). При этом используется собственное хранилище браузера, выполненное в виде базы данных SQLite. Извлечь пароли из базы может только тот пользователь операционной системы, который их создал, а также только на том компьютере, на котором они были зашифрованы. Это обеспечивается особенностями реализации шифрования: ключ шифрования включает в себя в определенном виде информацию о компьютере и пользователе системы. Для обычного пользователя вне браузера и без специальных утилит эти данные недоступны.

Но все это не является препятствием для стилера, уже проникшего на компьютер: он запущен с правами самого пользователя, и в этом случае процесс получения всех сохраненных данных в браузере сводится к следующему:

1. Получение файла базы данных. Chromium-браузеры хранят этот файл по стандартному и неизменному пути. Для того чтобы избежать проблем с доступом к нему (например, использование его в данный момент браузером), стилеры могут скопировать файл в другое место либо завершить все процессы браузера.
2. Чтение зашифрованных данных. Как уже было сказано, браузеры используют БД SQLite, прочитать данные из нее можно стандартными инструментами.
3. Расшифровка данных. Исходя из описанного выше принципа защиты данных, кража самого файла БД не поможет получить данные, т. к. их расшифровка должна проходить на компьютере пользователя. Но это не проблема: расшифровка осуществляется прямо на компьютере жертвы вызовом функции CryptUnprotectData. Никаких дополнительных данных злоумышленнику не нужно – все сделает DPAPI, так как вызов был сделан от имени пользователя системы. В результате функция возвращает пароли в «чистом», читабельном виде.

Firefox

Firefox – это единственный браузер, предлагающий дополнительную защиту сохраненной информации от посторонних – в нем можно создать мастер-пароль, без ввода которого данные расшифровать не получится даже на вашем компьютере. Однако эта опция по умолчанию отключена.

В Firefox-браузерах для шифрования используется Network Security Services – набор библиотек от Mozilla для разработки защищенных приложений, в частности библиотека nss3.dll. Но, как и в случае с браузерами на базе Chromium, получение данных из зашифрованного хранилища сводится к тем же простым действиям, только с некоторыми оговорками:

1. Получение файла базы данных. Firefox-браузеры, в отличие от браузеров на базе Chromium, используют генерацию случайного имени профиля пользователя, что делает расположение файла с зашифрованными данными не определяемым заранее. Однако не составит труда перебрать их, «заглядывая» внутрь и проверяя на наличие файла с определенным именем (имя файла с зашифрованными данными не зависит от пользователя и всегда одинаково). При этом данные могут остаться, даже если пользователь удалил браузер, чем и пользуются некоторые стилеры.
2. Чтение зашифрованных данных. Данные могут храниться либо так же, как в Chromium, в формате SQLite, либо в виде JSON с полями, содержащими зашифрованные данные.
3. Расшифровка данных. Для расшифровки данных стилеру необходимо подгрузить библиотеку nss3.dll, а затем вызвать несколько функций и получить расшифрованные данные в читаемом виде. Некоторые стилеры имеют функции работы напрямую с файлами браузера, что позволяет не зависеть от этой библиотеки и работать даже при удаленном браузере. Однако стоит отметить, что если пользователь воспользовался функцией защиты данных с помощью мастер-пароля, расшифровка без знания (или подбора) этого пароля невозможна. К сожалению, эта функция по умолчанию отключена, а для ее включения придется забраться в меню настроек.

Если вы пользуетесь Firefox, можете защитить сохраненные в браузере данные мастер-паролем. Для этого:

• щелкните на три полоски в правом верхнем углу браузера и выберите Настройки,
• перейдите на вкладку Приватность и защита,
• промотайте вниз до блока Логины и пароли и поставьте галочку Использовать мастер-пароль
• браузер попросит вас придумать этот пароль – чем длиннее и сложнее он будет, тем труднее будет злоумышленникам его подобрать.

Internet Explorer и Microsoft Edge

Родные браузеры Windows используют для ваших данных специальные хранилища. В разных версиях программ методы защиты вашей информации и сами хранилища различаются, но их надежность все равно оставляет желать лучшего, зловред также без труда получит ваши пароли и данные кредиток, запросив их у хранилища от вашего имени.

В версиях Internet Explorer 4.x–6.0 сохраненные пароли и данные автозаполнения хранились в так называемом Protected Storage. Для их получения (не только данных IE, но и других приложений, которые используют это хранилище) стилеру необходимо подгрузить библиотеку pstorec.dll и простым перечислением получить все данные в открытом виде.

В версиях Internet Explorer 7 и 8 применяется несколько другой подход: для хранения используется CredentialStore, шифрование осуществляется с использованием «соли» («соль» – некая последовательность данных, которую добавляют к криптоключу для предотвращения декодирования информации методом перебора). К сожалению, эта «соль» всегда одинакова и хорошо известна, а потому стилер может также вызовом уже знакомой нам функции CryptUnprotectData получить все сохраненные пароли.

Internet Explorer 9 и Microsoft Edge используют новый тип хранилища – Vault. Но стилер подгружает vaultcli.dll, вызывает несколько функций оттуда и получает все сохраненные данные.

Что станет с данными украденными стилером?

Заполучив пароли и другую информацию из браузера в открытом виде, зловред отправит ее своим хозяевам. Дальше возможны два варианта: либо создатели зловреда воспользуются ею сами, либо продадут на черном рынке другим киберпреступникам – такой товар всегда в цене.

Если вы хранили в браузере данные банковских карт, убытки могут оказаться прямыми – ваши деньги потратят или переведут на свои счета. Также краденные аккаунты могут использоваться со множеством других целей – от распространения спама и раскрутки сайтов или приложений, до рассылки вирусов и отмывки денег, украденных у других людей.

Как защитить свои данные от стилеров

Популярность вредоносных программ, которые охотятся за данными браузеров, не спадает. Существующие троянцы-стилеры активно поддерживаются, обновляются и дополняются новыми функциями. Как видите, если зловред проник на ваш компьютер, сохраненные в браузере данные, а вместе с ними финансы и репутация оказываются под угрозой. Чтобы избежать такой ситуации:

• Не доверяйте браузерам хранение важной информации, данных банковских карт – используемые ими методы защиты не являются препятствием для вредоносного ПО. Вводить их каждый раз вручную хоть и дольше, но гораздо безопаснее.
• Не загружайте и не запускайте подозрительные файлы, не переходите по ссылкам из подозрительных писем – в общем, соблюдайте необходимые меры предосторожности.
• И самое главное: лучший способ сберечь данные — это не дать зловреду проникнуть на ваш компьютер. Для этого установите надежное защитное решение.

Источник

Удаление Stealer: Удалите Stealer Навсегда

Что такое Stealer

Скачать утилиту для удаления Stealer

Удалить Stealer вручную

Получить проффесиональную тех поддержку

Читать комментарии

Описание угрозы

Имя исполняемого файла:

Stealer

Trojan

Win32 (Windows XP, Windows Vista, Windows Seven, Windows 8)

Метод заражения Stealer

Stealer копирует свои файл(ы) на ваш жёсткий диск. Типичное имя файла (*.*). Потом он создаёт ключ автозагрузки в реестре с именем Stealer и значением (*.*). Вы также можете найти его в списке процессов с именем (*.*) или Stealer.

Если у вас есть дополнительные вопросы касательно Stealer, пожалуйста, заполните эту форму и мы вскоре свяжемся с вами.

Скачать утилиту для удаления

Скачайте эту программу и удалите Stealer and (*.*) (закачка начнется автоматически):

* SpyHunter был разработан американской компанией EnigmaSoftware и способен удалить удалить Stealer в автоматическом режиме. Программа тестировалась на Windows XP, Windows Vista, Windows 7 и Windows 8.

Функции

Удаляет все файлы, созданные Stealer.

Удаляет все записи реестра, созданные Stealer.

Программа способна защищать файлы и настройки от вредоносного кода.

Программа может исправить проблемы с браузером и защищает настройки браузера.

Удаление гарантированно — если не справился SpyHunter предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 входит в комплект поставки.

Скачайте утилиту для удаления Stealer от российской компании Security Stronghold

Если вы не уверены какие файлы удалять, используйте нашу программу Утилиту для удаления Stealer.. Утилита для удаления Stealer найдет и полностью удалит Stealer и все проблемы связанные с вирусом Stealer. Быстрая, легкая в использовании утилита для удаления Stealer защитит ваш компьютер от угрозы Stealer которая вредит вашему компьютеру и нарушает вашу частную жизнь. Утилита для удаления Stealer сканирует ваши жесткие диски и реестр и удаляет любое проявление Stealer. Обычное антивирусное ПО бессильно против вредоносных таких программ, как Stealer. Скачать эту упрощенное средство удаления специально разработанное для решения проблем с Stealer и (*.*) (закачка начнется автоматически):

Функции

Удаляет все файлы, созданные Stealer.

Удаляет все записи реестра, созданные Stealer.

Программа может исправить проблемы с браузером.

Иммунизирует систему.

Удаление гарантированно — если Утилита не справилась предоставляется бесплатная поддержка.

Антивирусная поддержка в режиме 24/7 через систему GoToAssist входит в комплект поставки.

Наша служба поддержки готова решить вашу проблему с Stealer и удалить Stealer прямо сейчас!

Оставьте подробное описание вашей проблемы с Stealer в разделе Техническая поддержка. Наша служба поддержки свяжется с вами и предоставит вам пошаговое решение проблемы с Stealer. Пожалуйста, опишите вашу проблему как можно точнее. Это поможет нам предоставит вам наиболее эффективный метод удаления Stealer.

Как удалить Stealer вручную

Эта проблема может быть решена вручную, путём удаления ключей реестра и файлов связанных с Stealer, удалением его из списка автозагрузки и де-регистрацией всех связанных DLL файлов. Кроме того, отсутствующие DLL файлы должны быть восстановлены из дистрибутива ОС если они были повреждены Stealer.

Чтобы избавиться от Stealer, вам необходимо:

1. Завершить следующие процессы и удалить соответствующие файлы:

Предупреждение: вам необходимо удалить только файлы, контольные суммы которых, находятся в списке вредоносных. В вашей системе могут быть нужные файлы с такими же именами. Мы рекомендуем использовать Утилиту для удаления Stealer для безопасного решения проблемы.

2. Удалите следующие папки:

3. Удалите следующие ключи и\или значения ключей реестра:

Предупреждение: Если указаны значения ключей реестра, вы должны удалить только указанные значения и оставить сами ключи нетронутыми. Мы рекомендуем использовать Утилиту для удаления Stealer для безопасного решения проблемы.

Как предотвратить заражение рекламным ПО? Мы рекомендуем использовать Adguard:

4. Сбросить настройки браузеров

Stealer иногда может влиять на настройки вашего браузера, например подменять поиск и домашнюю страницу. Мы рекомендуем вам использовать бесплатную функцию «Сбросить настройки браузеров» в «Инструментах» в программе Spyhunter Remediation Tool для сброса настроек всех браузеров разом. Учтите, что перед этим вам надо удалить все файлы, папки и ключи реестра принадлежащие Stealer. Для сброса настроек браузеров вручную используйте данную инструкцию:

Для Internet Explorer

Если вы используете Windows XP, кликните Пуск, и Открыть. Введите следующее в поле Открыть без кавычек и нажмите Enter: «inetcpl.cpl».

Если вы используете Windows 7 или Windows Vista, кликните Пуск. Введите следующее в поле Искать без кавычек и нажмите Enter: «inetcpl.cpl».

Выберите вкладку Дополнительно

Под Сброс параметров браузера Internet Explorer, кликните Сброс. И нажмите Сброс ещё раз в открывшемся окне.

Выберите галочку Удалить личные настройки для удаления истории, восстановления поиска и домашней страницы.

После того как Internet Explorer завершит сброс, кликните Закрыть в диалоговом окне.

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Google Chrome

Найдите папку установки Google Chrome по адресу: C:\Users\»имя пользователя»\AppData\Local\Google\Chrome\Application\User Data.

В папке User Data, найдите файл Default и переименуйте его в DefaultBackup.

Запустите Google Chrome и будет создан новый файл Default.

Настройки Google Chrome сброшены

Предупреждение: В случае если это не сработает используйте бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Для Mozilla Firefox

В меню выберите Помощь > Информация для решения проблем.

Кликните кнопку Сбросить Firefox.

После того, как Firefox завершит, он покажет окно и создаст папку на рабочем столе. Нажмите Завершить.

Предупреждение: Так вы потеряте выши пароли! Рекомендуем использовать бесплатную опцию Сбросить настройки браузеров в Инструменты в программе Spyhunter Remediation Tool.

Источник