Hoe Grandoreiro van uw computer te verwijderen
Geschreven door Tomas Meskauskas op (bijgewerkt)
Wat is Grandoreiro?
Grandoreiro is de naam van kwaadaardige software, een banking Trojan geschreven in de programmeertaal Delphi. Het is gericht op gebruikers in Brazilië, Mexico, Spanje en Peru. Cybercriminelen proberen computers met dit soort software te infecteren om inkomsten te genereren door misbruik te maken van informatie die door programma's als Grandoreiro is gestolen.
Deze Trojans stelen bank-gerelateerde informatie, en dus worden slachtoffers blootgesteld aan het risico van monetair verlies. Als uw computer geïnfecteerd is met Grandoreiro (of andere kwaadaardige programma's), deïnstalleer/verwijder deze dan onmiddellijk.
Gewoonlijk stelen banking Trojans informatie zoals inloggegevens (logins, wachtwoorden), rekeningnummers, creditcardgegevens en andere vertrouwelijke informatie die is opgeslagen of verwerkt via diverse systemen voor online bankieren. Cybercriminelen maken misbruik van gestolen informatie om inkomsten te genereren door frauduleuze aankopen en transacties te doen, door deze informatie aan derden te verkopen en op andere manieren.
Ze misbruiken de gegevens specifiek voor financieel gewin en proberen zo veel mogelijk inkomsten te genereren. In de meeste gevallen lijden slachtoffers van banking Trojans zoals Grandoreiro een monetair verlies, ervaren ze problemen met betrekking tot online privacy, worden ze slachtoffer van identiteitsdiefstal en lopen ze het risico op andere ernstige problemen.
Als u denkt dat Grandoreiro al geïnstalleerd is op het besturingssysteem, verwijder deze kwaadaardige software dan onmiddellijk.
| Naam | Grandoreiro banking trojan |
| Type bedreiging | Trojan, password-stealing virus, banking malware. |
| Detectienamen (video-china02712.zip) | Arcabit (Trojan.Jacard.D29C70), Emsisoft (Gen:Variant.Jacard.171120 (B)), ESET-NOD32 (een variant van Win32/Injector.BVIV), Microsoft (PUA:Win32/Presenoker), volledige lijst (VirusTotal) |
| Detectienamen (video-china02712.msi) | Arcabit (Trojan.Jacard.D29C70), BitDefender (Gen:Variant.Jacard.171120), ESET-NOD32 (een variant van Win32/Injector.BVIV), Microsoft (Trojan:Win32/Grandoreiro!MTB), volledige lijst (VirusTotal) |
| Symptomen | Trojans zijn ontworpen om stiekem te infiltreren in de computer van het slachtoffer en stil te blijven, en dus zijn er geen specifieke symptomen duidelijk zichtbaar op een geïnfecteerde machine. |
| Verspreidingsmethodes | Kwaadaardige websites, geïnfecteerde e-mailbijlagen, kwaadaardige online-advertenties, social engineering, "cracks" van software. |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet. |
| Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Andere voorbeelden van Trojans die zijn ontworpen om vertrouwelijke informatie te stelen en andere acties uit te voeren zijn KBOT, Lampion en CryptBot.
In de meeste gevallen stelen Trojans informatie en infecteren ze besturingssystemen met andere malware (bijv. ransomware). In ieder geval, cybercriminelen verspreiden programma's van dit type gewoon om te genereren. Wij raden u ten zeerste aan alle nodige voorzorgsmaatregelen te nemen om de installatie van deze programma's te voorkomen.
Hoe is Grandoreiro in mijn computer geïnfiltreerd?
Cybercriminelen verspreiden Grandoreiro via kwaadaardige websites die nep Java- of Flash-updates aanbieden of video's bevatten die zogenaamd betrekking hebben op het coronavirus, maar als een bezoeker op de knop "Play" klikt, downloaden de websites een archiefbestand met de naam "video-china02712.zip" (het gedownloade bestand kan een andere naam hebben), dat een kwaadaardig uitvoerbaar (.exe) bestand bevat.
Indien geopend/uitgevoerd, installeert dit bestand Grandoreiro en stelt het in staat om persoonlijke gegevens te stelen. Peer-to-Peer netwerken (bijv. torrent clients, eMule), gratis file hosting, freeware download websites, third party downloaders zijn voorbeelden van andere bestand of software download kanalen, bronnen die gebruikt kunnen worden door cyber criminelen om kwaadaardige bestanden te hosten.
Helaas zijn er meer manieren om malware te verspreiden. Bijvoorbeeld e-mails (spamcampagnes), nepprogramma's voor het bijwerken van software, en onofficiële activeringsprogramma's ('cracking'). Cybercriminelen maken gebruik van spamcampagnes om virussen te verspreiden door kwaadaardige bijlagen via e-mail te versturen.
Zij sturen e-mails met geïnfecteerde Microsoft Office-documenten, archiefbestanden, PDF-bestanden, uitvoerbare bestanden, JavaScript-bestanden enzovoort, in de hoop dat mensen deze zullen openen. Als deze bijlagen of koppelingen worden geopend, wordt malware gedownload en geïnstalleerd.
Valse software-updatingtools infecteren besturingssystemen door malware te installeren in plaats van updates of door bugs/fouten van verouderde software die op het besturingssysteem is geïnstalleerd, te misbruiken. Software 'cracking' tools zijn ontworpen om gratis gelicentieerde programma's te activeren (omzeilen betaalde activering), maar installeren vaak kwaadaardige programma's.
Hoe de installatie van malware te vermijden
Als een ontvangen e-mail niet relevant is, afkomstig is van een onbekend adres of een bijlage (of website link) bevat, negeer deze dan. Open geen bestanden of webkoppelingen die in deze e-mails worden gepresenteerd zonder er zeker van te zijn dat het veilig is om dit te doen. Software moet worden gedownload van officiële websites en directe downloadlinks.
Andere bronnen (zoals Peer-to-Peer netwerken, downloaders van derden, onofficiële pagina's, enz. Geïnstalleerde programma's moeten worden bijgewerkt met behulp van geïmplementeerde functies of tools die door officiële softwareontwikkelaars worden aangeboden. Hetzelfde geldt voor activering.
Het is illegaal om hulpprogramma's van derden te gebruiken om gelicentieerde programma's te activeren, en dit kan leiden tot systeeminfecties met malware.
Scan het besturingssysteem regelmatig op bedreigingen met een betrouwbaar antivirus- of antispywarepakket en houd deze software up-to-date. Als u denkt dat uw computer al geïnfecteerd is, raden wij u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.
Kwaadaardige website ontworpen om bezoekers te verleiden tot het downloaden van een bestand dat een kwaadaardig uitvoerbaar bestand bevat:
Update 29 April 2020 - De nieuwste versie van Grandoreiro kan zichzelf updaten, toetsaanslagen loggen (vastleggen), muis en toetsenbord simuleren, browsers dwingen om gekozen adressen te openen of de toegang daartoe blokkeren, de computer opnieuw opstarten en slachtoffers uitloggen uit het Windows besturingssysteem.
Het kan ook gegevens verzamelen zoals gebruikersnaam, versie van het besturingssysteem, computernaam, lijst van geïnstalleerde programma's, en controleren of Diebold's GAS Technologia (beveiligingsapp voor online betalingen en mobiel bankieren) is geïnstalleerd op de computer van het slachtoffer.
Uit onderzoek blijkt dat sommige Grandoreiro-versies in staat zijn inloggegevens te stelen die zijn opgeslagen in Google Chrome en gegevens die zijn opgeslagen in Microsoft Outlook. Bovendien bevat Grandoreiro een hulpprogramma dat kan worden gebruikt voor het verspreiden van spam e-mailcampagnes - met het hulpprogramma kunnen cybercriminelen de spamberichten maken en verzenden via de gebruikte EASendMail SDK.
Deze banking Trojan is ook in staat om banking access protection programma's zoals Trusteer en GAS Technologia te blokkeren door het wijzigen van Trusteer's bestandssysteem pad en het doden van GAS Technologia's lopende processen.
Update 26 Juni 2020 - De nieuwe Grandoreiro variant heeft enkele verbeteringen in zijn communicatie met de C2 (Command and Control) server, het gebruikt nu Latenbot botnet modules om te communiceren tussen C2 en geïnfecteerde computers. Met andere woorden, Grandoneiro creëert een soort botnet. Bovendien richt het zich nu niet alleen op gebruikers in Brazilië, Mexico, Spanje en Peru, maar ook in Portugal.
Cybercriminelen hebben onlangs twee valse websites ontwikkeld die zich richten op Franse gebruikers om Grandoreiro te verspreiden. Een van de sites biedt een download aan van de Avast anti-virus suite en de andere biedt zogenaamd toegang tot Netflix.
Screenshot van de nep Avast download website (faceadobemete.hopto[.]org):
Screenshot van de valse Netflix website (adobsfaces.hopto[.]org):
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is Grandoreiro?
- STAP 1. Handmatige verwijdering van Grandoreiro malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijder ik malware handmatig?
Handmatig malware verwijderen is een ingewikkelde taak - meestal is het het beste om antivirus of anti-malware programma's dit automatisch te laten doen.
Om deze malware te verwijderen raden wij u aan Combo Cleaner te gebruiken. Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat draait op de computer van een gebruiker:
Als u de lijst van programma's die op uw computer draaien hebt gecontroleerd, bijvoorbeeld met taakbeheer, en een programma hebt gevonden dat er verdacht uitziet, moet u doorgaan met deze stappen:
Download een programma genaamd Autoruns. Dit programma toont automatisch opstartende toepassingen, register- en bestandssysteemlocaties:
Herstart uw computer in Veilige modus:
Windows XP en Windows 7 gebruikers: Start uw computer in veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstarten van uw computer meerdere malen op de toets F8 op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.
Video die toont hoe Windows 7 op te starten in "Veilige modus met netwerkmogelijkheden":
Windows 8 gebruikers: Windows 8 starten in veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, in het geopende venster "Algemene pc-instellingen" selecteert u Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Uw computer zal nu opnieuw opstarten in het "Geavanceerde opstartopties menu". Klik op de knop "Problemen oplossen", en vervolgens op de knop "Geavanceerde opties". In het scherm met geavanceerde opties klikt u op "Opstartinstellingen". Klik op de knop "Herstarten". Uw PC zal opnieuw opstarten in het scherm "Opstartinstellingen". Druk op F5 om op te starten in Veilige modus met netwerkmogelijkheden.
Video die toont hoe Windows 8 op te starten in "Veilige modus met netwerkmogelijkheden":
Windows 10 gebruikers: Klik op het Windows-logo en selecteer het pictogram Power. Klik in het geopende menu op "Herstart" terwijl u de "Shift"-toets op uw toetsenbord ingedrukt houdt. In het venster "Kies een optie" klikt u op "Problemen oplossen", vervolgens selecteert u "Geavanceerde opties". In het menu "Geavanceerde opties" selecteert u "Opstartinstellingen" en klikt u op de knop "Herstarten".
In het volgende venster moet u op de toets "F5" op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkmogelijkheden.
Video die toont hoe Windows 10 op te starten in "Veilige modus met netwerkmogelijkheden":
Pak het gedownloade archief uit en voer het Autoruns.exe bestand uit.
In de Autoruns toepassing, klik op "Opties" bovenaan en verwijder het vinkje bij "Lege Locaties Verbergen" en "Windows Entries Verbergen" opties. Klik na deze procedure op het pictogram "Vernieuwen".
Check de lijst die door de Autoruns toepassing en zoek het malware bestand dat u wilt verwijderen.
U moet het volledige pad en de naam opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het zeer belangrijk om te vermijden dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u "Verwijderen".
Na het verwijderen van de malware via de Autoruns toepassing (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij het volgende opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.
Herstart uw computer in de normale modus. Het volgen van deze stappen zou alle malware van uw computer moeten verwijderen. Merk op dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet hebt, laat malwareverwijdering dan over aan antivirus- en anti-malwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan te proberen later malware te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware.
Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden wij u aan uw computer te scannen met Combo Cleaner.
Uitmuntend!
▼ Toon discussie