Hoe DarkCloud-malware van het type stealer te verwijderen

Wat voor soort malware is DarkCloud?

DarkCloud is een kwaadaardig programma dat wordt geclassificeerd als een stealer. Malware binnen deze classificatie is ontworpen om gevoelige informatie te stelen van geïnfecteerde systemen. DarkCloud stealer maakt gebruik van geavanceerde infiltratie- en anti-analyse/anti-detectietechnieken.

Overzicht van DarkCloud-malware

DarkCloud is via drie verschillende infectieketens in systemen geïnfiltreerd. Al deze processen omvatten complexe beschermingsmaatregelen om analyse en detectie te voorkomen; bijna elke fase is beveiligd.

Om wat meer uitleg te geven over de bekende ketens: ze beginnen allemaal met malspam (kwaadaardige spam-e-mails) die virulente bestanden verspreiden. De ketens maken gebruik van verschillende archiefformaten: RAR, TAR of 7Z (7-Zip). De eerste twee bevatten elk een JavaScript (JS)-bestand, terwijl het 7Z-bestand een Windows Script File (WSF) bevat.

In de keten met het JavaScript-bestand wordt een PowerShell (PS1)-bestand gedownload/uitgevoerd, dat vervolgens een uitvoerbaar bestand (EXE) introduceert dat de DarkCloud-stealer is.

Het proces met het Windows Script File downloadt en voert eveneens een PowerShell-bestand uit dezelfde bron uit, maar het bestand is niet hetzelfde. In deze keten wordt een uitvoerbaar bestand geschreven in de tijdelijke bestandsmap (map %tmp%) onder een willekeurige bestandsnaam. Het PowerShell-bestand wordt vervolgens gebruikt om het EXE-bestand uit te voeren.

Om wat dieper in te gaan op enkele mechanismen die in de keten worden gebruikt voor bescherming: er wordt gebruikgemaakt van zware verduistering. De DarkCloud-payload kan worden beschermd met ConfuserEx, een .NET applicatiebeschermer. In deze gevallen wordt ook gebruik gemaakt van process hollowing – een techniek waarbij doorgaans een legitiem maar opgeschort proces wordt aangemaakt, waarvan het geheugen vervolgens wordt overschreven met de code van een kwaadaardig uitvoerbaar bestand om dit uit te voeren in plaats van het onschadelijke proces.

Er zijn gevallen bekend waarin DarkCloud-infecties gebruik maakten van AutoIt om systeemdetectie te omzeilen. Er werd ook versleuteling gebruikt om delen van de code te verbergen.

Zoals vermeld in de inleiding is DarkCloud een stealer die zich richt op kwetsbare gegevens. Het doorzoekt specifieke mappen op bestanden die van belang zijn (op extensie en mogelijk op trefwoorden zoals creditcardnamen).

Over het algemeen kunnen stealers informatie extraheren uit verschillende applicaties, zoals browsers, VPN's, FTP's, messengers, wachtwoordbeheerders, e-mailclients, cryptocurrency-wallets, enz. De beoogde informatie kan bestaan uit internetcookies, persoonlijk identificeerbare gegevens, gebruikersnamen/wachtwoorden, creditcard-/debetkaartnummers, enzovoort.

Er moet worden vermeld dat malwareontwikkelaars hun software en methodologieën vaak verbeteren. Daarom kan DarkCloud op een andere manier worden verspreid of andere infiltratietechnieken gebruiken. Toekomstige versies van deze stealer kunnen aanvullende/andere mogelijkheden en functies hebben.

Samenvattend kan de aanwezigheid van software zoals de DarkCloud-stealer op apparaten leiden tot ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.

Voorbeelden van malware van het type ‘stealer’

We hebben al over talloze kwaadaardige programma's geschreven; JSCEAL, RMC stealer, Leet, SHUYAL, en BOFAMET zijn slechts enkele van onze nieuwste artikelen over stealers. Deze software kan zich richten op specifieke details of op een breed scala aan gegevens.

Bovendien worden programma's van het type stealer vaak in combinatie met andere malware gebruikt. Bovendien zijn functies voor het stelen van gegevens in het algemeen wijdverbreid.

Het moet worden benadrukt dat, ongeacht hoe malware werkt, de aanwezigheid ervan op een systeem de integriteit van het apparaat en de veiligheid van de gebruiker in gevaar brengt. Daarom moeten alle bedreigingen onmiddellijk na detectie worden verwijderd.

Hoe is DarkCloud op mijn computer terechtgekomen?

DarkCloud is verspreid via e-mailspamcampagnes waarbij een archief in de formaten RAR, TAR of 7Z werd verspreid. De RAR- en TAR-archieven bevatten JavaScript-bestanden en het 7Z-archief een Windows Script-bestand. Deze stealer kan echter met verschillende technieken of formaten worden verspreid. Kwaadaardige bestanden kunnen archieven, uitvoerbare bestanden of documenten zijn (bijvoorbeeld Microsoft Office, Microsoft OneNote, PDF, enz.), JavaScript, enzovoort. Het openen van een dergelijk bestand kan al voldoende zijn om de infectieketen in gang te zetten.

De meest gebruikte methoden voor het verspreiden van malware zijn onder andere: trojans (backdoors/loaders), drive-by (heimelijke/misleidende) downloads, kwaadaardige bijlagen of links in spam-mail (bijv. e-mails, PM's/DM's, sms'jes, enz.), malvertising, online oplichting, illegale programma's/media, dubieuze downloadbronnen (bijv. freeware en websites van derden, P2P-netwerken, enz.), illegale software-activeringstools (“cracks”) en valse updates.

Bovendien kunnen sommige schadelijke programma's zich zelf verspreiden via lokale netwerken en verwijderbare opslagapparaten (bijv. externe harde schijven, USB-sticks, enz.).

Hoe kunt u de installatie van malware voorkomen?

Voorzichtigheid is van het grootste belang om de veiligheid van apparaten en gebruikers te waarborgen. Wees daarom altijd waakzaam tijdens het surfen, aangezien het internet vol staat met misleidende en schadelijke inhoud. Wees voorzichtig met inkomende e-mails en andere berichten; open geen bijlagen of links in verdachte/irrelevante berichten.

Download bovendien alleen van officiële en betrouwbare bronnen. Activeer en update programma's met behulp van functies/tools van echte ontwikkelaars, aangezien programma's van derden malware kunnen bevatten.

Het is essentieel om een gerenommeerd antivirusprogramma te installeren en up-to-date te houden. Deze software moet worden gebruikt om regelmatig systeemscans uit te voeren en gedetecteerde bedreigingen en problemen te verwijderen. Als u denkt dat uw computer al is geïnfecteerd, raden we u aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om geïnfiltreerde malware automatisch te verwijderen.

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

• Wat is DarkCloud?
• STAP 1. Handmatige verwijdering van DarkCloud-malware.
• STAP 2. Controleer of uw computer schoon is.

Hoe verwijder je malware handmatig?

Het handmatig verwijderen van malware is een ingewikkelde taak - meestal kun je dit het beste automatisch laten doen door antivirus- of antimalwareprogramma's. Om deze malware te verwijderen, raden we aan Combo Cleaner Antivirus voor Windows te gebruiken. p>

Als u malware handmatig wilt verwijderen, moet u eerst de naam van de malware identificeren die u wilt verwijderen. Hier is een voorbeeld van een verdacht programma dat op de computer van een gebruiker draait:

Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met behulp van Taakbeheer, en een programma hebt geïdentificeerd dat verdacht lijkt, moet u deze stappen volgen:

Download een programma met de naam Autoruns. Dit programma toont automatisch startende toepassingen, het register en de locaties van het bestandssysteem:

Start uw computer opnieuw op in de veilige modus:

Gebruikers van Windows XP en Windows 7: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet. Selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Video die laat zien hoe u Windows 7 start in “Veilige modus met netwerkmogelijkheden”:

Gebruikers van Windows 8: Start Windows 8 in de veilige modus met netwerkmogelijkheden - Ga naar het startscherm van Windows 8, typ Geavanceerd en selecteer Instellingen in de zoekresultaten. Klik op Geavanceerde opstartopties en selecteer Geavanceerd opstarten in het venster “Algemene pc-instellingen” dat wordt geopend.

Klik op de knop “Nu opnieuw opstarten”. Uw computer wordt nu opnieuw opgestart in het menu “Geavanceerde opstartopties”. Klik op de knop ‘Problemen oplossen’ en vervolgens op de knop ‘Geavanceerde opties’. Klik in het scherm met geavanceerde opties op ‘Opstartinstellingen’.

Klik op de knop ‘Opnieuw opstarten’. Uw pc wordt opnieuw opgestart in het scherm Opstartinstellingen. Druk op F5 om op te starten in de veilige modus met netwerkmogelijkheden.

Video die laat zien hoe u Windows 8 opstart in “Veilige modus met netwerkmogelijkheden”:

Gebruikers van Windows 10: klik op het Windows-logo en selecteer het pictogram Power. Klik in het geopende menu op “Opnieuw opstarten” terwijl u de ‘Shift’-toets op uw toetsenbord ingedrukt houdt. Klik in het venster “Kies een optie” op “Problemen oplossen” en selecteer vervolgens “Geavanceerde opties”.

Selecteer in het menu met geavanceerde opties “Opstartinstellingen” en klik op de knop “Opnieuw opstarten”. In het volgende venster moet u op de knop “F5” op uw toetsenbord klikken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkmogelijkheden.

Video die laat zien hoe u Windows 10 start in “Veilige modus met netwerkondersteuning”:

Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Klik in de Autoruns-toepassing bovenaan op ‘Options’ en schakel de opties ”Hide Empty Locations“ en ”Hide Windows Entries“ uit. Klik na deze procedure op het pictogram ”Refresh".

Controleer de lijst die door de Autoruns-toepassing wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.

Noteer het volledige pad en de naam ervan. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat u systeembestanden verwijdert. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam ervan en kiest u “Verwijderen”.

Nadat u de malware hebt verwijderd via de Autoruns-toepassing (hierdoor wordt ervoor gezorgd dat de malware niet automatisch wordt uitgevoerd bij de volgende keer dat het systeem wordt opgestart), moet u op uw computer zoeken naar de naam van de malware. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, verwijder deze dan.

Start uw computer opnieuw op in de normale modus. Als u deze stappen volgt, zou alle malware van uw computer moeten worden verwijderd. Houd er rekening mee dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u niet over deze vaardigheden beschikt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.

Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om infectie te voorkomen dan later malware te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates voor het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan deze te scannen met Combo Cleaner Antivirus voor Windows.

Veelgestelde vragen (FAQ)

Mijn computer is geïnfecteerd met DarkCloud-malware. Moet ik mijn opslagapparaat formatteren om deze te verwijderen?

Voor het verwijderen van malware zijn dergelijke drastische maatregelen zelden nodig.

Wat zijn de grootste problemen die DarkCloud-malware kan veroorzaken?

De bedreigingen die gepaard gaan met een infectie zijn afhankelijk van de functionaliteiten van de malware en de doelstellingen van de cybercriminelen. DarkCloud is een stealer die gevoelige gegevens van geïnfecteerde apparaten exfiltreert. Over het algemeen worden stealers in verband gebracht met ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.

Wat is het doel van DarkCloud-malware?

Malware wordt voornamelijk gebruikt om inkomsten te genereren. Kwaadaardige software kan echter ook worden gebruikt om de aanvallers te vermaken of hun persoonlijke wrok te botvieren, processen te verstoren (bijv. websites, diensten, bedrijven, enz.), zich bezig te houden met hacktivisme en politiek/geopolitiek gemotiveerde aanvallen uit te voeren.

Hoe is DarkCloud-malware op mijn computer terechtgekomen?

DarkCloud is verspreid via malspam. Het kan ook via andere methoden worden verspreid, naast spam-e-mails. Veelgebruikte technieken voor de verspreiding van malware zijn onder meer: drive-by downloads, trojans, onbetrouwbare downloadkanalen (bijv. freeware- en gratis filehostingsites, P2P-netwerken, enz.), malvertising, online oplichting, illegale software-activeringstools (“cracks”), illegale content en valse updates. Sommige kwaadaardige programma's kunnen zichzelf verspreiden via lokale netwerken en verwijderbare opslagapparaten.

Beschermt Combo Cleaner mij tegen malware?

Combo Cleaner kan de meeste bekende malware-infecties detecteren en verwijderen. Houd er rekening mee dat het uitvoeren van een volledige systeemscan cruciaal is, aangezien geavanceerde kwaadaardige programma's zich vaak diep in systemen verbergen.