Hoe verwijder je CrySome van geïnfecteerde apparaten

Wat voor soort malware is CrySome?

CrySome is een trojan voor toegang op afstand (RAT) waarmee cybercriminelen de controle over een geïnfecteerd apparaat kunnen overnemen. Deze RAT kan bestanden en wachtwoorden stelen, activiteiten bespioneren en op afstand opdrachten uitvoeren. Wat CrySome tot een nog grotere bedreiging maakt, is dat het zichzelf kan verbergen, antivirussoftware kan uitschakelen en op het systeem blijft aanwezig, zelfs na een reset of pogingen om het te verwijderen.

Meer over CrySome

Zodra CrySome verbinding maakt met de server, verstuurt het informatie over het geïnfecteerde apparaat. De verzonden gegevens omvatten de gebruikersnaam van de computer, de versie van het besturingssysteem, de tijd sinds het opstarten en het land/de regio. Daarnaast wordt ook de titel van het venster verzonden dat de gebruiker op dat moment gebruikt (zonder dat er een sessie op afstand wordt geactiveerd).

Vervolgens stelt de RAT een geïnfecteerd systeem in om opdrachten te ontvangen. Sommige basisfuncties zijn altijd actief, terwijl andere al naargelang de instellingen kunnen worden in- of uitgeschakeld. CrySome ondersteunt een breed scala aan opdrachten, waardoor cybercriminelen diverse kwaadaardige activiteiten kunnen uitvoeren.

Het kan shell-/PowerShell-opdrachten uitvoeren, bestanden downloaden en uitvoeren, bestanden uploaden en downloaden, bestanden doorbladeren, lezen en verwijderen, schermafbeeldingen maken, het systeem gedwongen opnieuw opstarten, actieve programma’s weergeven of beëindigen, foto’s maken met de webcam en toegang krijgen tot (en gebruikmaken van) de microfoon. CrySome kan ook directe berichtenuitwisseling tussen cybercriminelen en slachtoffers mogelijk maken.

Bovendien kan de RAT SOCKS- en reverse-proxytunnels opzetten voor verborgen netwerktoegang, schermen bekijken, de muis en het toetsenbord bedienen, meerdere beeldschermen beheren, in het geheim een verborgen gebruikerssessie besturen, apps onzichtbaar uitvoeren, opgeslagen wachtwoorden en cookies uit de browser stelen en alles vastleggen wat via het toetsenbord wordt getypt.

Doorzettingsvermogen en het ontwijken van verdedigingsacties

CrySome maakt een geplande taak aan om zichzelf om de paar minuten opnieuw te starten en installeert zichzelf als een Windows-service die bij het opstarten wordt gestart en opnieuw opstart als het programma crasht. Het kopieert zichzelf naar verborgen back-upmappen zodat het kan worden hersteld als het wordt verwijderd, en voegt registervermeldingen toe zodat het automatisch wordt uitgevoerd wanneer Windows opstart. De RAT kan bepaalde systeembestanden wijzigen om zelfs na een fabrieksreset te blijven bestaan.

Bovendien verbergt CrySome zijn bestanden en vergrendelt deze zodat ze niet kunnen worden verwijderd, en draait het een „watcher“-proces dat het programma opnieuw start als het wordt gestopt. Het kan zichzelf aanmerken als een cruciaal systeemproces en beveiligingsprogramma’s verhinderen om toegang te krijgen tot het programma of het te stoppen.

Bovendien spoort de RAT antivirusprocessen op en beëindigt deze, blokkeert hij installatiebestanden van antivirusprogramma’s, stopt hij antivirusservices en voorkomt hij dat deze opnieuw worden gestart, en schakelt hij functies van Microsoft Defender uit (zoals realtime bescherming, cloudbescherming, scans, enz.). Hij kan ook voorkomen dat beveiligingsprogramma’s überhaupt worden gestart.

Conclusie

CrySome geeft aanvallers controle over een geïnfecteerd apparaat en stelt hen in staat om op afstand gegevens te stelen, gebruikers te bespioneren en tal van kwaadaardige acties uit te voeren. Het is ontworpen om verborgen te blijven en te blijven draaien door gebruik te maken van krachtige methoden om zich vast te houden, waardoor het moeilijk te verwijderen is, zelfs na een herstart of het resetten van het systeem. Deze mogelijkheden maken het tot een gevaarlijke bedreiging.

Andere voorbeelden van RAT’s zijn GHOSTFORM, KarstoRAT en Moonrise.

Hoe is CrySome op mijn computer terechtgekomen?

Kwaadaardige software zoals CrySome wordt vaak verspreid via geïnfecteerde bestanden, waaronder uitvoerbare bestanden, gecomprimeerde bestanden, scripts en documenten zoals pdf’s en Office-bestanden. Alleen al het openen van deze bestanden of het uitvoeren van verdere handelingen kan een infectie veroorzaken.

Cybercriminelen maken gebruik van verschillende verspreidingsmethoden om malware te verspreiden, waaronder e-mailbijlagen of -links, valse softwaredownloads, beveiligingslekken, frauduleuze berichten van technische ondersteuning, kwaadaardige of gehackte websites, illegaal gekopieerde of gekraakte software, misleidende advertenties, geïnfecteerde verwisselbare opslagmedia, peer-to-peer-platforms en downloadprogramma’s van derden.

Hoe voorkom je dat er malware wordt geïnstalleerd?

Open alleen links of bijlagen van betrouwbare bronnen en wees op uw hoede voor onverwachte e-mails of berichten, vooral als deze afkomstig zijn van onbekende afzenders. Zorg ervoor dat u apps en software uitsluitend downloadt van officiële websites of geverifieerde app-winkels, en vermijd het gebruik van gekraakte programma’s, illegale software of sleutelgeneratoren.

Houd uw besturingssysteem en alle programma’s up-to-date en klik niet op advertenties, pop-ups of andere inhoud op onbetrouwbare websites. Zorg er bovendien voor dat u niet instemt met het ontvangen van meldingen van dubieuze pagina’s.

Als u denkt dat uw computer al besmet is, raden we u aan een scan uit te voeren met Combo Cleaner Antivirus voor Windows om de binnengedrongen malware automatisch te verwijderen.

Website ter promotie van CrySome (bron: cyfirma.com):

Het beheerderspaneel van Crysome (bron: cyfirma.com):

Onmiddellijke automatische malwareverwijdering:

Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:

Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door RCS LT, het moederbedrijf van PCRisk.

Snelmenu:

• Wat is CrySome?
• STAP 1. Handmatige verwijdering van CrySome-malware.
• STAP 2. Controleer of uw computer vrij is van virussen.

Hoe verwijder je malware handmatig?

Het handmatig verwijderen van malware is een ingewikkelde klus – meestal kunt u dit het beste automatisch laten uitvoeren door antivirus- of antimalwareprogramma’s. Om deze malware te verwijderen, raden we aan Combo Cleaner Antivirus voor Windows te gebruiken.

Als u malware handmatig wilt verwijderen, moet u eerst de naam achterhalen van de malware die u wilt verwijderen. Hier volgt een voorbeeld van een verdacht programma dat op de computer van een gebruiker draait:

Als u bijvoorbeeld via Taakbeheer de lijst met programma’s hebt bekeken die op uw computer actief zijn en een programma hebt gevonden dat verdacht lijkt, volgt u deze stappen:

Download het programma Autoruns. Dit programma toont programma’s die automatisch starten, evenals de locaties in het register en het bestandssysteem:

Start je computer opnieuw op in de veilige modus:

Gebruikers van Windows XP en Windows 7: Start uw computer op in de veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat het menu met geavanceerde Windows-opties verschijnt, en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.

Video waarin wordt getoond hoe je Windows 7 opstart in de "Veilige modus met netwerkmogelijkheden":

Gebruikers van Windows 8: Start Windows 8 op in de veilige modus met netwerkmogelijkheden – Ga naar het startscherm van Windows 8, typ ‘Geavanceerd’ en selecteer ‘Instellingen’ in de zoekresultaten. Klik op ‘Geavanceerde opstartopties’ en selecteer ‘Geavanceerd opstarten’ in het venster ‘Algemene pc-instellingen’ dat wordt geopend.

Klik op de knop "Nu opnieuw opstarten". Uw computer wordt nu opnieuw opgestart en opent het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".

Klik op de knop 'Opnieuw opstarten'. Uw pc wordt opnieuw opgestart en het scherm 'Opstartinstellingen' verschijnt. Druk op F5 om op te starten in de veilige modus met netwerkmogelijkheden.

Video waarin wordt getoond hoe je Windows 8 opstart in de "Veilige modus met netwerkmogelijkheden":

Gebruikers van Windows 10: Klik op het Windows-logo en selecteer het pictogram 'Stroombeheer'. Klik in het menu dat verschijnt op 'Opnieuw opstarten' terwijl je de 'Shift'-toets op je toetsenbord ingedrukt houdt. Klik in het venster 'Kies een optie' op 'Problemen oplossen' en selecteer vervolgens 'Geavanceerde opties'.

Selecteer in het menu met geavanceerde opties "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u op de "F5"-toets op uw toetsenbord drukken. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de veilige modus met netwerkondersteuning.

Video waarin wordt getoond hoe je Windows 10 opstart in de "Veilige modus met netwerkmogelijkheden":

Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.

Klik in het programma Autoruns bovenaan op „Opties“ en schakel de opties „Lege locaties verbergen“ en „Windows-vermeldingen verbergen“ uit. Klik daarna op het pictogram „Vernieuwen“.

Bekijk de lijst die door het programma Autoruns wordt weergegeven en zoek het malwarebestand dat u wilt verwijderen.

Noteer het volledige pad en de naam. Houd er rekening mee dat sommige malware procesnamen verbergt onder legitieme Windows-procesnamen. In dit stadium is het van groot belang dat u geen systeembestanden verwijdert. Zodra u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".

Nadat u de malware via het programma Autoruns hebt verwijderd (dit zorgt ervoor dat de malware niet automatisch wordt gestart bij de volgende systeemstart), moet u op uw computer zoeken naar de naam van de malware. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verdergaat. Als u de bestandsnaam van de malware vindt, verwijder deze dan.

Start uw computer opnieuw op in de normale modus. Als u deze stappen volgt, zou alle malware van uw computer moeten worden verwijderd. Houd er rekening mee dat het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist. Als u deze vaardigheden niet bezit, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma’s.

Deze stappen werken mogelijk niet bij ernstige malware-infecties. Zoals altijd is het beter om infecties te voorkomen dan achteraf malware te verwijderen. Om uw computer te beveiligen, moet u de nieuwste updates voor het besturingssysteem installeren en antivirussoftware gebruiken. Om er zeker van te zijn dat uw computer vrij is van malware, raden we u aan deze te scannen met Combo Cleaner Antivirus voor Windows.

Veelgestelde vragen (FAQ)

Mijn computer is geïnfecteerd met CrySome-malware. Moet ik mijn opslagapparaat formatteren om ervan af te komen?

Hoewel een volledige reset CrySome kan verwijderen, worden daarbij alle bestanden van het systeem gewist. In de meeste gevallen is het raadzaam om eerst een betrouwbaar beveiligingsprogramma zoals Combo Cleaner te gebruiken.

Wat zijn de grootste problemen die malware kan veroorzaken?

Malware kan bestanden beschadigen of verwijderen, extra malware installeren, slachtoffers bespioneren en nog veel meer. Dit kan ernstige gevolgen hebben, zoals financiële schade, gegevens- en identiteitsdiefstal, ongeoorloofde toegang tot accounts, gegevensverlies en andere ernstige problemen.

Wat is het doel van CrySome RAT?

CrySome RAT is ontworpen om gebruikers heimelijk te bespioneren door toegang te verkrijgen tot het scherm, de webcam, de microfoon en de systeemactiviteit. Het kan ook gevoelige gegevens stelen, zoals wachtwoorden, bestanden, cookies en systeeminformatie. Tegelijkertijd geeft het aanvallers volledige controle op afstand over het apparaat, terwijl het verborgen blijft en beveiligingsprogramma’s uitschakelt.

Hoe is er malware op mijn computer terechtgekomen?

Malware wordt meestal verspreid via schadelijke uitvoerbare bestanden, archieven, scripts en documenten, die een apparaat kunnen infecteren wanneer ze worden geopend of uitgevoerd. Cybercriminelen maken gebruik van schadelijke websites, phishing-e-mails met bijlagen of links, nep-technische-ondersteuningszwendel, softwarefouten, gekraakte programma’s, schadelijke online advertenties, geïnfecteerde USB-sticks, peer-to-peer-netwerken en onbetrouwbare downloadbronnen van derden om malware te verspreiden.

Beschermt Combo Cleaner mij tegen malware?

Ja, Combo Cleaner kan de meeste bekende malware-infecties opsporen en verwijderen. Sommige geavanceerde bedreigingen kunnen echter diep in het systeem verborgen zitten, dus het is belangrijk om een volledige systeemscan uit te voeren om er zeker van te zijn dat alles wordt gedetecteerd.