So entfernen Sie BoryptGrab von infizierten Geräten

Was für eine Art von Malware ist BoryptGrab?

BoryptGrab ist eine Malware, die auf verschiedene Weise Informationen von infizierten Geräten stiehlt. Sie verbreitet sich über gefälschte GitHub-Seiten, auf denen kostenlose Software angeboten wird. Es ist wichtig zu beachten, dass im Verlauf der Angriffskette mit BoryptGrab eine weitere Malware, nämlich eine als TunnesshClient bekannte Backdoor, eingeschleust werden kann. Wird BoryptGrab (oder die damit verbundene Bedrohung) auf einem Gerät entdeckt, sollte es unverzüglich entfernt werden.

Mehr über BoryptGrab

Wenn BoryptGrab ein Gerät infiziert, prüft es zunächst anhand von Systemdateien und -einstellungen, ob es in einer virtuellen Maschine (VM) ausgeführt wird. Auf diese Weise kann es vermeiden, von Forschern analysiert zu werden. Außerdem überprüft es laufende Programme, um festzustellen, ob eines davon mit seiner Liste von Analyse-Tools übereinstimmt. Darüber hinaus versucht es, sich Administratorrechte zu verschaffen.

BoryptGrab ist in der Lage, sensible Daten aus verschiedenen Browsern zu sammeln, darunter Brave Browser, CentBrowser, Chromium, Google Chrome, Microsoft Edge, Mozilla Firefox, Opera, Vivaldi und Yandex Browser. Zu den betroffenen Daten können Anmeldedaten, Daten aus der automatischen Ausfüllfunktion, der Browserverlauf und ähnliche Informationen gehören.

Es ist erwähnenswert, dass BoryptGrab ein Chromium-Tool herunterlädt, mit dessen Hilfe es Browserdaten stehlen kann. Die Malware kann zudem Daten aus Desktop-Krypto-Wallets und Browser-Erweiterungen abgreifen. Anschließend erstellt sie einen Screenshot und sammelt allgemeine Systeminformationen. Die Liste der betroffenen Kryptowährungs-Wallets umfasst folgende Dienste:

Armory Wallet, Atomic, AtomicDEX, Binance, Bitcoin Core, BitPay, Blockstream Green, Chia Wallet, Coinomi, Copay, Daedalus Mainnet, Dash Core, Dogecoin, Electron Cash, Electrum, ElectrumLTC, Ethereum, Exodus, GreenAddress, Guarda, Jaxx Desktop, Komodo Wallet, Ledger Live, Ledger Wallet, Litecoin Core, MEW Desktop, MultiDoge, MyEtherWallet, NOW Wallet, Raven Core, StakeCube, Trezor Suite, Wasabi Wallet.

BoryptGrab kann zudem Dateien aus bestimmten Ordnern anhand bestimmter Dateitypen erfassen. Es sammelt Telegram-Dateien, Browser-Passwörter und in neueren Versionen auch Discord-Token. Nachdem alle diese Daten gesammelt wurden, werden sie komprimiert und an den Server des Angreifers gesendet.

Einige Versionen von BoryptGrab laden zudem die Backdoor „TunnesshClient“ herunter und führen sie aus, was jedoch nicht bei jeder Version der Fall ist. TunnesshClient ist eine mit Python erstellte Malware, die es Angreifern ermöglicht, Befehle an den infizierten Computer zu senden und dessen Internetverkehr über eine Reverse-SSH-Verbindung weiterzuleiten.

Fazit

BoryptGrab ist eine Malware, die sensible Daten aus Browsern, Kryptowährungs-Wallets, Messaging-Apps und Dateien auf dem infizierten Gerät sammelt. Außerdem versucht sie, einer Erkennung zu entgehen, indem sie nach virtuellen Maschinen und Analyse-Tools sucht und Administratorrechte anfordert. Einige Versionen können eine Hintertür herunterladen, die es Angreifern ermöglicht, die Fernsteuerung zu übernehmen.

Opfer des BoryptGrab-Angriffs können mit Problemen wie finanziellen Verlusten, Identitätsdiebstahl, Kontoübernahmen, weiteren Infektionen und anderen Schwierigkeiten konfrontiert werden. Daher sollte BoryptGrab so schnell wie möglich von den betroffenen Geräten entfernt werden.

Wie hat sich BoryptGrab auf meinen Computer eingeschlichen?

Cyberkriminelle nutzen öffentliche GitHub-Repositorys, in denen angeblich legitime oder nützliche Software-Tools gehostet werden. Außerdem setzen sie Suchmaschinenoptimierung (SEO) ein, damit ihre gefälschten Repositorys und GitHub-Seiten in den Suchergebnissen weiter oben erscheinen. Wenn Nutzer online nach Tools, Cheats oder geknackter Software suchen, werden ihnen diese Seiten möglicherweise angezeigt.

Wenn Nutzer das Repository öffnen, werden sie auf eine Website im GitHub-Stil weitergeleitet, die wie eine echte Software-Download-Seite aussieht. Auf diesen Seiten werden Tools wie Cheats für Spiele, geknackte Software oder Hilfsprogramme wie FPS-Booster beworben, ebenso wie Software wie Filmora oder Voicemod, die angeblich andere Apps herunterladen oder verändern kann.

Auf der Seite wird ein ZIP-Archiv angeboten, das vorgibt, das Installationsprogramm der Software zu sein. Sobald der Nutzer die Dateien aus dem Archiv herunterlädt und ausführt, beginnt die Infektion.

Wie vermeidet man die Installation von Malware?

Laden Sie Software stets von vertrauenswürdigen Quellen herunter, wie beispielsweise offiziellen Websites oder anerkannten App-Stores, und stellen Sie sicher, dass Ihr Betriebssystem und Ihre Apps regelmäßig aktualisiert werden. Seien Sie vorsichtig bei E-Mails oder Nachrichten, die Sie nicht erwartet haben, insbesondere wenn diese Anhänge oder Links enthalten, und öffnen Sie diese möglichst nicht.

Verwenden Sie zuverlässige Sicherheitsprogramme, um regelmäßig Scans durchzuführen, die potenzielle Bedrohungen erkennen und beseitigen können. Vermeiden Sie es außerdem, beim Surfen auf nicht verifizierten Websites auf zweifelhafte Anzeigen, Pop-ups oder Links zu klicken, und lehnen Sie Benachrichtigungsanfragen von Websites ab, denen Sie nicht vertrauen.

Falls Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir Ihnen, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um die eingeschleuste Malware automatisch zu entfernen.

Gefälschte Github-Downloadseite, über die BoryptGrab verbreitet wird (Quelle: trendmicro.com):

Die „README“-Seite eines bösartigen Pro-GitHub-Repositorys (Quelle: trendmicro.com):

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

• Was ist BoryptGrab?
• SCHRITT 1. Manuelles Entfernen der BoryptGrab-Malware.
• SCHRITT 2. Überprüfen Sie, ob Ihr Computer virenfrei ist.

Wie entfernt man Malware manuell?

Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe – in der Regel ist es am besten, dies automatisch von Antiviren- oder Anti-Malware-Programmen erledigen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.

Wenn Sie Malware manuell entfernen möchten, müssen Sie zunächst den Namen der Malware ermitteln, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

Wenn Sie beispielsweise mithilfe des Task-Managers die Liste der auf Ihrem Computer ausgeführten Programme überprüft und ein Programm gefunden haben, das verdächtig erscheint, sollten Sie wie folgt vorgehen:

Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt Autostart-Anwendungen sowie die entsprechenden Einträge in der Registrierungsdatenbank und die Speicherorte im Dateisystem an:

Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf „Start“, dann auf „Herunterfahren“, anschließend auf „Neustart“ und schließlich auf „OK“. Drücken Sie während des Startvorgangs mehrmals die F8-Taste auf Ihrer Tastatur, bis das Menü „Erweiterte Windows-Startoptionen“ angezeigt wird, und wählen Sie dann „Abgesicherter Modus mit Netzwerkunterstützung“ aus der Liste aus.

Video, das zeigt, wie man Windows 7 im „abgesicherten Modus mit Netzwerkunterstützung“ startet:

Windows 8-Benutzer: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerkunterstützung – Rufen Sie den Windows 8-Startbildschirm auf, geben Sie „Erweitert“ ein und wählen Sie in den Suchergebnissen „Einstellungen“ aus. Klicken Sie auf „Erweiterte Startoptionen“ und wählen Sie im sich öffnenden Fenster „Allgemeine PC-Einstellungen“ die Option „Erweiterter Start“ aus.

Klicken Sie auf die Schaltfläche „Jetzt neu starten“. Ihr Computer wird nun neu gestartet und das Menü „Erweiterte Startoptionen“ angezeigt. Klicken Sie auf die Schaltfläche „Problembehandlung“ und anschließend auf die Schaltfläche „Erweiterte Optionen“. Klicken Sie im Fenster „Erweiterte Optionen“ auf „Startoptionen“.

Klicken Sie auf die Schaltfläche „Neustart“. Ihr PC wird neu gestartet und zeigt den Bildschirm „Startup-Einstellungen“ an. Drücken Sie F5, um den abgesicherten Modus mit Netzwerkunterstützung zu starten.

Video, das zeigt, wie man Windows 8 im „abgesicherten Modus mit Netzwerkunterstützung“ startet:

Windows 10-Benutzer: Klicken Sie auf das Windows-Logo und wählen Sie das Symbol für die Energieoptionen aus. Klicken Sie im sich öffnenden Menü auf „Neustart“, während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Klicken Sie im Fenster „Option auswählen“ auf „Problembehandlung“ und wählen Sie anschließend „Erweiterte Optionen“ aus.

Wählen Sie im Menü „Erweiterte Optionen“ den Eintrag „Startoptionen“ aus und klicken Sie auf die Schaltfläche „Neustart“. Im folgenden Fenster drücken Sie die Taste „F5“ auf Ihrer Tastatur. Dadurch wird Ihr Betriebssystem im abgesicherten Modus mit Netzwerkunterstützung neu gestartet.

Video, das zeigt, wie man Windows 10 im „abgesicherten Modus mit Netzwerkunterstützung“ startet:

Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei „Autoruns.exe“ aus.

Klicken Sie in der Anwendung „Autoruns“ oben auf „Optionen“ und deaktivieren Sie die Optionen „Leere Speicherorte ausblenden“ und „Windows-Einträge ausblenden“. Klicken Sie anschließend auf das Symbol „Aktualisieren“.

Sehen Sie sich die von der Anwendung „Autoruns“ angezeigte Liste an und suchen Sie die Malware-Datei, die Sie entfernen möchten.

Notieren Sie sich den vollständigen Pfad und den Namen des Programms. Beachten Sie, dass manche Schadprogramme ihre Prozessnamen unter legitimen Windows-Prozessnamen verstecken. In dieser Phase ist es sehr wichtig, das Löschen von Systemdateien zu vermeiden. Wenn Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf dessen Namen und wählen Sie „Löschen“.

Nachdem Sie die Malware mithilfe der Anwendung „Autoruns“ entfernt haben (dadurch wird sichergestellt, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Namen der Malware suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner anzeigen, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, löschen Sie ihn unbedingt.

Starten Sie Ihren Computer im normalen Modus neu. Wenn Sie diese Schritte befolgen, sollte jegliche Malware von Ihrem Computer entfernt werden. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie nicht über diese Kenntnisse verfügen, überlassen Sie die Entfernung von Malware Antiviren- und Anti-Malware-Programmen.

Diese Schritte funktionieren möglicherweise nicht bei komplexen Malware-Infektionen. Wie immer ist es besser, einer Infektion vorzubeugen, als später zu versuchen, die Malware zu entfernen. Um Ihren Computer zu schützen, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie eine Antivirensoftware. Um sicherzugehen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.

Häufig gestellte Fragen (FAQ)

Mein Gerät ist mit der Malware „BoryptGrab“ infiziert. Sollte ich mein Speichermedium formatieren, um sie zu entfernen?

Durch das Formatieren des Geräts wird BoryptGrab entfernt, jedoch werden dabei alle Daten gelöscht; daher sollte dies nur als letzter Ausweg in Betracht gezogen werden. Es ist besser, zunächst einen vollständigen Scan mit einer vertrauenswürdigen Sicherheitssoftware wie Combo Cleaner durchzuführen.

Was sind die größten Probleme, die durch Malware verursacht werden können?

Malware kann persönliche Daten stehlen, Angreifern die Fernsteuerung Ihres Geräts ermöglichen, Dateien löschen oder beschädigen, weitere Schadprogramme installieren, die Systemleistung beeinträchtigen, Abstürze verursachen und andere schädliche Aktionen ausführen.

Was ist der Zweck von BoryptGrab?

BoryptGrab dient dazu, Browserdaten, Daten von Kryptowährungs-Wallets (aus Desktop-Apps und Erweiterungen), Informationen aus Messaging-Apps (Telegram und Discord), Systeminformationen sowie Screenshots zu stehlen. Außerdem kann es (bei einigen Versionen) über TunnesshClient Fernzugriff ermöglichen.

Wie hat sich BoryptGrab auf mein Gerät eingeschlichen?

BoryptGrab hat sich wahrscheinlich über eine gefälschte GitHub-Seite oder ein gefälschtes GitHub-Repository auf Ihrem Gerät eingenistet, die bzw. das vorgab, kostenlose Software oder Tools anzubieten. Als Sie die bereitgestellte ZIP-Datei heruntergeladen und geöffnet haben, hat sich die Malware auf Ihrem Gerät installiert.

Schützt mich Combo Cleaner vor Malware?

Ja, Combo Cleaner ist in der Lage, die meisten bekannten Schadprogramme zu erkennen und zu entfernen. Da sich einige raffinierte Bedrohungen tief im System verstecken können, wird empfohlen, einen vollständigen Systemscan durchzuführen, um sicherzustellen, dass alle schädlichen Komponenten gefunden und beseitigt werden.