Wie man Shadowpad-Malware von Systemen entfernt
Verfasst von Tomas Meskauskas am
Was für eine Art von Malware ist Shadowpad?
Shadowpad ist eine modulare Malware, die Module zum Stehlen von Informationen verwendet und Ketteninfektionen verursachen kann. Sie ist seit mindestens 2017 im Umlauf. Ursprünglich von einem einzigen Bedrohungsakteur mit Sitz in China eingesetzt, wurden die späteren Angriffe mehreren chinesischen Cyberspionage-Gruppen zugeschrieben.
Die jüngsten Kampagnen (zum Zeitpunkt der Erstellung dieses Berichts) betrafen 21 Unternehmen in Europa, Asien, dem Nahen Osten und Südamerika; die meisten Ziele waren in der Fertigungsbranche tätig. Einige dieser Angriffe wurden genutzt, um die Netzwerke der Opfer mit der Ransomware NailaoLocker zu infizieren.
Überblick über die Shadowpad Malware
Shadowpad wurde entwickelt, um Ketteninfektionen zu verursachen (d. h. zusätzliche bösartige Programme oder Komponenten herunterzuladen/installieren). Die Malware hat sich im Laufe der Jahre verändert, insbesondere im Hinblick auf die Code-Verschleierung. Sie nutzt auch mehrere Anti-Debugging Fähigkeiten.
Zum Zeitpunkt der Erstellung dieses Artikels dringen Shadowpad-Infektionen mit Administratorrechten in die internen Netzwerke der Opfer ein. Er kann Systeme durch DLL-Sideloading infiltrieren, bei dem der Windows-DLL-Suchauftragsmechanismus verwendet wird, um eine legitime Anwendung zu nutzen, die die schädliche Nutzlast ausführt.
Es wurde beobachtet, dass Shadowpad mehrere Module verwendet, um sein Arsenal an Funktionen zu erweitern. Zu den bekannten Plug-ins gehören solche zum Erstellen von Screenshots, zum Herunterladen von Dateien der Opfer und zum Keylogging (d. h. zum Aufzeichnen von Tastatureingaben).
Shadowpad wurde zum Herunterladen/Installieren der Ransomware NailaoLocker verwendet. Malware dieser Klassifizierung verschlüsselt Dateien, um eine Zahlung für die Entschlüsselung zu verlangen. Normalerweise können von Ransomware verschlüsselte Daten nicht ohne das Eingreifen der Angreifer entschlüsselt werden. Beachten Sie, dass Shadowpad verwendet werden könnte, um andere bösartige Programme in Systeme einzuschleusen.
Zusammenfassend lässt sich sagen, dass das Vorhandensein von Malware wie Shadowpad auf Geräten zu mehreren Systeminfektionen, Datenverlusten, ernsthaften Datenschutzproblemen, finanziellen Verlusten und Identitätsdiebstahl führen kann.
| Name | Shadowpad virus |
| Bedrohungstyp | Trojaner, Loader, Spyware. |
| Namen der Erkennung | Avast (Win64:MalwareX-gen [Trj]), Combo Cleaner (Gen:Variant.Tedy.616092), ESET-NOD32 (Eine Variante von Win64/Agent.EAE), Kaspersky (Trojan.Win64.Shadowpad.kk), Microsoft (Trojan:Win64/Malgent!MSR), Vollständige Liste der Erkennungen (VirusTotal) |
| Nutzlast | NailaoLocker Erpressersoftware |
| Symptome | Trojaner sind so konzipiert, dass sie sich heimlich und unbemerkt in den Computer des Opfers einschleusen, so dass auf einem infizierten Rechner keine besonderen Symptome zu erkennen sind. |
| Verbreitungsmethoden | Infizierte E-Mail-Anhänge, bösartige Online-Werbung, Social Engineering, Software-"Cracks". |
| Schaden | Diebstahl von Passwörtern und Bankdaten, Identitätsdiebstahl, Aufnahme des Computers des Opfers in ein Botnetz. |
| Malware-Entfernung (Windows) | Um mögliche Malware-Infektionen zu entfernen, scannen Sie Ihren Computer mit einer legitimen Antivirus-Software. Unsere Sicherheitsforscher empfehlen die Verwendung von Combo Cleaner. |
Ähnliche Malware-Beispiele
EagerBee, TorNet, SlowStepper, InvisibleFerret und PNGPlug sind nur einige unserer neuesten Artikel über Programme, die Ketteninfektionen verursachen können.
Theoretisch kann Software dieser Art so gut wie jede Art von Malware auf Systeme herunterladen/installieren (z. B. Trojaner, Ransomware, Cryptocurrency Miner usw.). In der Praxis arbeiten diese Programme in der Regel innerhalb bestimmter Spezifikationen oder Einschränkungen.
Doch unabhängig davon, wie Malware funktioniert - ihr Vorhandensein auf einem System bedroht die Geräteintegrität und die Sicherheit der Benutzer. Daher müssen alle Bedrohungen sofort nach ihrer Entdeckung beseitigt werden.
Wie hat Shadowpad meinen Computer infiltriert?
Shadowpad wurde mit verschiedenen Methoden verbreitet. Im Herbst 2024 wurden Kampagnen gegen zwei europäische Unternehmen gestartet, die sich über Remote-Netzwerkangriffe (z. B. Brute-Force oder Wörterbuchangriffe usw.) Zugang verschafften, und zwar über durch schwache Passwörter geschützte Administratorkonten von VPN-Diensten. Bei einem dieser Angriffe wurde ein zertifikatsbasierter Multi-Faktor-Authentifizierungsmechanismus umgangen. Allerdings sind die Techniken, die zur Erleichterung des letzteren verwendet wurden, unbekannt.
Im Allgemeinen wird Malware mit Phishing und Social-Engineering Methoden verbreitet. Schadprogramme sind häufig als gewöhnliche Inhalte getarnt oder mit ihnen gebündelt.
Schädliche Dateien gibt es in verschiedenen Formaten, z. B. Archive (ZIP, RAR usw.), ausführbare Dateien (.exe, .run usw.), Dokumente (PDF, Microsoft Office, Microsoft OneNote usw.), JavaScript und so weiter. Sobald eine solche Datei ausgeführt, gestartet oder anderweitig geöffnet wird, wird die Infektionskette in Gang gesetzt.
Malware wird in erster Linie durch Drive-by-Downloads, bösartige Anhänge oder Links in Spam-E-Mails/Nachrichten, Online-Betrug, Malvertising, verdächtige Download-Kanäle (z. B. Freeware- und Free-File-Hosting-Websites, Peer-to-Peer-Sharing-Netzwerke usw.), raubkopierte Programme/Medien, illegale Software-Aktivierungstools ("Cracks") und gefälschte Updates verbreitet.
Einige bösartige Programme können sich über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wie lässt sich die Installation von Schadprogrammen vermeiden?
Vorsicht ist der Schlüssel zur Geräte- und Benutzersicherheit. Daher sollten Sie stets strenge Verfahren zur Verwaltung von Anmeldeinformationen anwenden. Seien Sie beim Surfen wachsam, da betrügerische und gefährliche Online-Inhalte meist legitim und harmlos erscheinen. Behandeln Sie eingehende E-Mails und andere Nachrichten mit Vorsicht; öffnen Sie keine Anhänge oder Links, die Sie in dubiosen E-Mails finden.
Laden Sie nur von offiziellen und vertrauenswürdigen Quellen herunter. Aktivieren und aktualisieren Sie Programme mit echten Funktionen/Werkzeugen, da die von Dritten bezogenen Programme Malware enthalten können. Es ist von größter Bedeutung, dass ein seriöses Antivirenprogramm installiert und auf dem neuesten Stand gehalten wird.
Sicherheitssoftware muss verwendet werden, um regelmäßige Systemüberprüfungen durchzuführen und erkannte Bedrohungen und Probleme zu entfernen. Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner durchzuführen, um infiltrierte Malware automatisch zu entfernen.
Screenshot der Lösegeldforderung von NailaoLocker (die über Shadowpad in Systeme eingeschleust werden kann):
Text in dieser Nachricht:
[1.Your important files are encrypted. If you want to decrypt your files, please follow the instructions.]
[2.Do you need file decryption service (restore your files to their original state)? If not, your files will be automatically deleted after one week.]
[3.If you need to purchase unlocking service, please contact us and we will tell you the amount (pay with BTC)]
[4.After you complete the payment using BTC, we will deliver the unlocking program within 24 hours. Once the program is run on the locked computer, all files will be unlocked.]
[5.BTC purchase website:hxxps://www.coinbase.com, hxxps://www.bitfinex.com, hxxps://www.binance.com]
[Contact us on johncollinsy@proton.me]
[Notice:Do not delete or move locked files without unlocking them first.]
[Notice:The encryption algorithm uses symmetric encryption, and the password is a string of characters with the same length as the Bitcoin private key. If you can crack Bitcoin, then congratulations, you can decrypt it yourself. Otherwise, please contact us to purchase our decryption tool. Don't have illusions!!!]
Umgehende automatische Entfernung von Malware:
Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:
▼ LADEN Sie Combo Cleaner herunter
Der kostenlose Scanner prüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist Rcs Lt, die Muttergesellschaft von PCRisk. Lesen Sie mehr. Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu.
Schnellmenü:
- Was ist Shadowpad?
- SCHRITT 1. Manuelle Entfernung von Shadowpad Malware.
- SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.
Wie entfernt man Malware manuell?
Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, wenn Antiviren- oder Anti-Malware-Programme dies automatisch erledigen. Zur Entfernung dieser Malware empfehlen wir die Verwendung von Combo Cleaner.
Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie zu entfernen versuchen. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers läuft:
Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, z. B. mit dem Task-Manager, und ein verdächtig aussehendes Programm gefunden haben, sollten Sie mit diesen Schritten fortfahren:
Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt die Speicherorte der Autostart-Anwendungen, der Registrierung und des Dateisystems an:
Starten Sie Ihren Computer im abgesicherten Modus neu:
Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, auf Herunterfahren, auf Neustart und auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Menü Erweiterte Windows-Optionen sehen, und wählen Sie dann Abgesicherter Modus mit Vernetzung aus der Liste aus.
Video, das zeigt, wie man Windows 7 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkbetrieb - Gehen Sie zum Windows 8-Startbildschirm, geben Sie Erweitert ein und wählen Sie in den Suchergebnissen Einstellungen. Klicken Sie auf Erweiterte Startoptionen, im geöffneten Fenster "Allgemeine PC-Einstellungen" wählen Sie Erweiterter Start.
Klicken Sie auf die Schaltfläche "Jetzt neu starten". Ihr Computer wird nun neu gestartet und zeigt das Menü "Erweiterte Startoptionen" an. Klicken Sie auf die Schaltfläche "Problembehandlung" und dann auf die Schaltfläche "Erweiterte Optionen". Klicken Sie auf dem Bildschirm mit den erweiterten Optionen auf "Starteinstellungen".
Klicken Sie auf die Schaltfläche "Neu starten". Ihr PC startet neu und zeigt den Bildschirm "Starteinstellungen" an. Drücken Sie F5, um im abgesicherten Modus mit Vernetzung zu starten.
Video, das zeigt, wie man Windows 8 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Energiesymbol. Klicken Sie im geöffneten Menü auf "Neustart", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster "Wählen Sie eine Option" klicken Sie auf "Fehlerbehebung", dann wählen Sie "Erweiterte Optionen".
Wählen Sie im Menü "Erweiterte Optionen" die Option "Starteinstellungen" und klicken Sie auf die Schaltfläche "Neu starten". Im folgenden Fenster sollten Sie die Taste "F5" auf Ihrer Tastatur drücken. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Vernetzung neu gestartet.
Video, das zeigt, wie man Windows 10 im "Abgesicherten Modus mit Netzwerkbetrieb" startet:
Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.
Klicken Sie in der Autoruns-Anwendung oben auf "Optionen" und deaktivieren Sie die Optionen "Leere Speicherorte ausblenden" und "Windows-Einträge ausblenden". Klicken Sie anschließend auf das Symbol "Aktualisieren".
Überprüfen Sie die von der Anwendung Autoruns bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie beseitigen möchten.
Notieren Sie sich ihren vollständigen Pfad und Namen. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen verbirgt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie "Löschen".
Nachdem Sie die Malware über die Anwendung Autoruns entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Schadsoftware finden, entfernen Sie ihn unbedingt.
Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.
Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als zu versuchen, Malware später zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antiviren-Software. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner zu scannen.
Häufig gestellte Fragen (FAQ)
Mein Computer ist mit Shadowpad-Malware infiziert. Sollte ich mein Speichergerät formatieren, um die Malware loszuwerden?
Die Entfernung von Malware erfordert selten eine Formatierung.
Was sind die größten Probleme, die Shadowpad-Malware verursachen kann?
Die Bedrohungen, die von einer Infektion ausgehen, hängen von den Fähigkeiten der Malware und den Zielen der Angreifer ab. Shadowpad kann Informationen stehlen und Ketteninfektionen (einschließlich Ransomware) verursachen. Daher kann dieses Programm mehrere Systeminfektionen, Datenverlust, schwere Datenschutzprobleme, finanzielle Verluste und Identitätsdiebstahl verursachen.
Was ist der Zweck der Shadowpad-Malware?
Malware wird hauptsächlich zur finanziellen Bereicherung eingesetzt. Andere mögliche Gründe sind persönlicher Groll, das Vergnügen der Angreifer, die Störung von Prozessen (z. B. Websites, Dienste, Unternehmen usw.), Hacktivismus und politische/geopolitische Beweggründe.
Wie ist die Shadowpad-Malware in meinen Computer eingedrungen?
Malware wird hauptsächlich über Drive-by-Downloads, Online-Betrug, Malvertising, Spam-E-Mails/Nachrichten, verdächtige Download-Kanäle (z. B. Freeware- und Drittanbieter-Websites, P2P-Sharing-Netzwerke usw.), raubkopierte Inhalte, illegale Software-Aktivierungstools ("Cracks") und gefälschte Updates verbreitet. Einige bösartige Programme können sich über lokale Netzwerke und Wechseldatenträger (z. B. externe Festplatten, USB-Sticks usw.) selbst verbreiten.
Wird mich Combo Cleaner vor Malware schützen?
Combo Cleaner wurde entwickelt, um Systeme zu scannen und alle Arten von Bedrohungen zu beseitigen. Er kann fast alle bekannten Malware-Infektionen erkennen und entfernen. Denken Sie daran, dass ein vollständiger System-Scan von größter Bedeutung ist, da sich hochentwickelte Schadsoftware in der Regel tief im System versteckt.
Ausgezeichnet!
▼ Diskussion einblenden