Hoe verwijder je BoryptGrab van geïnfecteerde apparaten

Wat voor soort malware is BoryptGrab?

BoryptGrab is malware die op verschillende manieren informatie van geïnfecteerde apparaten steelt. Het verspreidt zich via valse GitHub-pagina’s waarop gratis software wordt aangeboden. Het is belangrijk om te weten dat tijdens de aanvalsketen waarbij BoryptGrab betrokken is, ook andere malware kan worden geïnjecteerd, namelijk een achterdeur die bekendstaat als TunnesshClient. Als BoryptGrab (of de bijbehorende bedreiging) op een apparaat wordt gedetecteerd, moet deze onmiddellijk worden verwijderd.

Meer informatie over BoryptGrab

Wanneer BoryptGrab een apparaat infecteert, controleert het eerst aan de hand van systeembestanden en instellingen of het binnen een virtuele machine (VM) draait. Zo probeert het te voorkomen dat het door onderzoekers wordt geanalyseerd. Het controleert ook welke programma’s er actief zijn om te zien of er programma’s bij zitten die op zijn lijst met analyseprogramma’s staan. Daarnaast probeert het beheerdersrechten te verkrijgen.

BoryptGrab kan gevoelige informatie verzamelen uit verschillende browsers, waaronder Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi en Yandex Browser. De gegevens waarop wordt gemikt, kunnen onder meer inloggegevens, automatisch ingevulde gegevens, browsegeschiedenis en soortgelijke gegevens omvatten.

Het is belangrijk om te weten dat BoryptGrab een Chromium-tool downloadt waarmee het browsergegevens kan stelen. De malware kan ook gegevens verzamelen uit crypto-wallets op de desktop en uit browserextensies. Vervolgens maakt het een screenshot en verzamelt het algemene systeeminformatie. De lijst met crypto-wallets waarop het programma zich richt, omvat de volgende diensten:

Armory Wallet, Atomic, AtomicDEX, Binance, Bitcoin Core, BitPay, Blockstream Green, Chia Wallet, Coinomi, Copay, Daedalus Mainnet, Dash Core, Dogecoin, Electron Cash, Electrum, ElectrumLTC, Ethereum, Exodus, GreenAddress, Guarda, Jaxx Desktop, Komodo Wallet, Ledger Live, Ledger Wallet, Litecoin Core, MEW Desktop, MultiDoge, MyEtherWallet, NOW Wallet, Raven Core, StakeCube, Trezor Suite, Wasabi Wallet.

BoryptGrab kan ook bestanden uit veelgebruikte mappen verzamelen op basis van bepaalde bestandstypen. Het verzamelt Telegram-bestanden, browserwachtwoorden en, in nieuwere versies, Discord-tokens. Nadat al deze gegevens zijn verzameld, worden ze gecomprimeerd en naar de server van de aanvaller verzonden.

Sommige versies van BoryptGrab downloaden en starten ook de TunnesshClient-backdoor, maar dit geldt niet voor alle versies. TunnesshClient is malware die in Python is geschreven en waarmee aanvallers opdrachten naar de geïnfecteerde computer kunnen sturen en het internetverkeer van die computer via een omgekeerde SSH-verbinding kunnen doorsturen.

Conclusie

BoryptGrab is malware die gevoelige informatie verzamelt uit browsers, cryptovaluta-wallets, berichtenapps en bestanden op het geïnfecteerde apparaat. Het probeert bovendien detectie te vermijden door te controleren op virtuele machines en analysetools, en door beheerdersrechten aan te vragen. Sommige versies kunnen een achterdeur downloaden, waardoor aanvallers op afstand de controle kunnen overnemen.

Slachtoffers van een BoryptGrab-aanval kunnen te maken krijgen met problemen zoals financieel verlies, identiteitsdiefstal, het kapen van accounts, verdere infecties en andere problemen. Daarom moet BoryptGrab zo snel mogelijk van geïnfecteerde apparaten worden verwijderd.

Hoe is BoryptGrab op mijn computer terechtgekomen?

Cybercriminelen maken gebruik van openbare GitHub-repositories waarin zogenaamd legitieme of nuttige softwaretools worden gehost. Daarnaast passen ze zoekmachineoptimalisatie (SEO) toe om hun valse repositories en GitHub Pages hoger in de zoekresultaten te laten verschijnen. Wanneer gebruikers online zoeken naar tools, cheats of gekraakte software, kunnen ze deze pagina’s tegenkomen.

Wanneer gebruikers de repository openen, worden ze doorgestuurd naar een website in GitHub-stijl die eruitziet als een echte downloadpagina voor software. Op deze pagina’s wordt reclame gemaakt voor tools zoals cheats voor games, gekraakte software of hulpprogramma’s, zoals FPS-boosters, en software zoals Filmora of Voicemod, die beweren andere apps te kunnen downloaden of aanpassen.

Op de pagina staat een ZIP-archief dat zich voordoet als het installatieprogramma van de software. Zodra de gebruiker de bestanden in het archief downloadt en uitvoert, begint de infectie.

Hoe voorkom je dat er malware wordt geïnstalleerd?

Download software altijd via betrouwbare bronnen, zoals officiële websites of erkende app-winkels, en zorg ervoor dat je besturingssysteem en apps regelmatig worden bijgewerkt. Wees voorzichtig met e-mails of berichten die je niet verwachtte, vooral als ze bijlagen of links bevatten, en open ze niet.

Gebruik betrouwbare beveiligingsprogramma’s om regelmatig scans uit te voeren waarmee potentiële bedreigingen kunnen worden opgespoord en verwijderd. Klik bovendien niet op verdachte advertenties, pop-ups of links wanneer u op niet-geverifieerde websites surft, en weiger meldingsverzoeken van websites die u niet vertrouwt.

Als u denkt dat uw computer al besmet is, raden we u aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om de binnengedrongen malware automatisch te verwijderen.

Valse Github-downloadpagina waarop BoryptGrab wordt verspreid (bron: trendmicro.com):

De "README"-pagina van een kwaadaardige Pro Github-repository (bron: trendmicro.com):

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

• Wat is BoryptGrab?
• STAP 1. Handmatige verwijdering van de BoryptGrab-malware.
• STAP 2. Controleer of uw computer virusvrij is.

Hoe verwijder je malware handmatig?

Het handmatig verwijderen van malware is een ingewikkelde klus – meestal kunt u dit het beste automatisch laten uitvoeren door antivirus- of antimalwareprogramma’s. Om deze malware te verwijderen, raden we aan Combo Cleaner Antivirus voor Windows te gebruiken.

Als u malware handmatig wilt verwijderen, moet u eerst de naam achterhalen van de malware die u wilt verwijderen. Hier volgt een voorbeeld van een verdacht programma dat op de computer van een gebruiker draait:

Als u bijvoorbeeld via Taakbeheer de lijst met programma’s hebt bekeken die op uw computer actief zijn en een programma hebt gevonden dat er verdacht uitziet, volgt u deze stappen:

Download het programma Autoruns. Dit programma toont programma’s die automatisch worden gestart, het register en de locaties in het bestandssysteem:

Start je computer opnieuw op in de veilige modus:

Gebruikers van Windows XP en Windows 7: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat het menu met geavanceerde Windows-opties verschijnt, en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Video waarin wordt getoond hoe je Windows 7 opstart in de "Veilige modus met netwerkmogelijkheden":

Gebruikers van Windows 8: Start Windows 8 op in de veilige modus met netwerkmogelijkheden – Ga naar het startscherm van Windows 8, typ ‘Geavanceerd’ en selecteer ‘Instellingen’ in de zoekresultaten. Klik op ‘Geavanceerde opstartopties’ en selecteer ‘Geavanceerd opstarten’ in het venster ‘Algemene pc-instellingen’ dat wordt geopend.

Klik op de knop "Nu opnieuw opstarten". Uw computer wordt nu opnieuw opgestart en opent het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".

Klik op de knop 'Opnieuw opstarten'. Uw pc wordt opnieuw opgestart en het scherm 'Opstartinstellingen' verschijnt. Druk op F5 om op te starten in de veilige modus met netwerkmogelijkheden.

Video waarin wordt getoond hoe je Windows 8 opstart in de "Veilige modus met netwerkmogelijkheden":

Gebruikers van Windows 10: Klik op het Windows-logo en selecteer het pictogram 'Stroombeheer'. Klik in het menu dat verschijnt op 'Opnieuw opstarten' terwijl je de 'Shift'-toets op je toetsenbord ingedrukt houdt. Klik in het venster 'Kies een optie' op 'Problemen oplossen' en selecteer vervolgens 'Geavanceerde opties'.

Selecteer in het menu met geavanceerde opties "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u op de "F5"-toets op uw toetsenbord drukken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkondersteuning.

Video waarin wordt getoond hoe je Windows 10 opstart in de "Veilige modus met netwerkmogelijkheden":

Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Klik in het programma Autoruns bovenaan op "Opties" en schakel de opties "Lege locaties verbergen" en "Windows-vermeldingen verbergen" uit. Klik daarna op het pictogram "Vernieuwen".

Bekijk de lijst die door het programma Autoruns wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.

Noteer het volledige pad en de naam. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het van groot belang dat u geen systeembestanden verwijdert. Zodra u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".

Nadat u de malware via het programma Autoruns hebt verwijderd (dit zorgt ervoor dat de malware niet automatisch wordt gestart bij de volgende systeemstart), moet u op uw computer zoeken naar de naam van de malware. Zorg ervoor dat u verborgen bestanden en mappen weergeeft voordat u verdergaat. Als u de bestandsnaam van de malware vindt, verwijder deze dan.

Start uw computer opnieuw op in de normale modus. Als u deze stappen volgt, zou alle malware van uw computer moeten worden verwijderd. Houd er rekening mee dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet bezit, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma’s.

Deze stappen werken mogelijk niet bij ernstige malware-infecties. Zoals altijd is het beter om infecties te voorkomen dan achteraf malware te verwijderen. Om uw computer te beveiligen, moet u de nieuwste updates voor het besturingssysteem installeren en antivirussoftware gebruiken. Om er zeker van te zijn dat uw computer vrij is van malware, raden we u aan deze te scannen met Combo Cleaner Antivirus voor Windows.

Veelgestelde vragen (FAQ)

Mijn apparaat is geïnfecteerd met de malware BoryptGrab. Moet ik mijn opslagapparaat formatteren om deze te verwijderen?

Als u het apparaat formatteert, wordt BoryptGrab verwijderd, maar worden ook alle gegevens gewist. Dit moet daarom alleen als laatste redmiddel worden gebruikt. Het is beter om eerst een volledige scan uit te voeren met betrouwbare beveiligingssoftware, zoals Combo Cleaner.

Wat zijn de grootste problemen die malware kan veroorzaken?

Malware kan persoonlijke gegevens stelen, aanvallers in staat stellen uw apparaat op afstand te bedienen, bestanden verwijderen of beschadigen, extra schadelijke programma’s installeren, de systeemprestaties vertragen, systeemstoringen veroorzaken en andere schadelijke acties uitvoeren.

Wat is het doel van BoryptGrab?

BoryptGrab is bedoeld om browsergegevens, gegevens van cryptovaluta-wallets (uit desktop-apps en extensies), informatie uit berichtenapps (Telegram en Discord), systeeminformatie en schermafbeeldingen te stelen. Het kan ook op afstand toegang bieden via TunnesshClient (bij sommige versies).

Hoe is BoryptGrab op mijn apparaat terechtgekomen?

BoryptGrab is waarschijnlijk op uw apparaat terechtgekomen via een valse GitHub-pagina of -repository die deed alsof er gratis software of tools werden aangeboden. Toen u het aangeboden ZIP-bestand downloadde en opende, heeft de malware zichzelf geïnstalleerd.

Beschermt Combo Cleaner mij tegen malware?

Ja, Combo Cleaner kan de meeste bekende malware opsporen en verwijderen. Aangezien sommige geavanceerde bedreigingen zich diep in het systeem kunnen verbergen, wordt aangeraden een volledige systeemscan uit te voeren om ervoor te zorgen dat alle schadelijke onderdelen worden opgespoord en verwijderd.