So entfernen Sie CrySome von infizierten Geräten

Was für eine Art von Malware ist CrySome?

CrySome ist ein Fernzugriffstrojaner (RAT), der es Cyberkriminellen ermöglicht, die Kontrolle über ein infiziertes Gerät zu übernehmen. Dieser RAT kann Dateien und Passwörter stehlen, Aktivitäten ausspionieren und Befehle aus der Ferne ausführen. Was CrySome zu einer noch ernsteren Bedrohung macht, ist, dass er sich verstecken, Antivirensoftware deaktivieren und auch nach Zurücksetzungen oder Entfernungsversuchen auf dem System verbleiben kann.

Mehr über CrySome

Sobald CrySome sich mit seinem Server verbindet, sendet es Informationen über das infizierte Gerät. Zu den übermittelten Details gehören der Benutzername des Computers, die Betriebssystemversion, die Zeit seit dem Start und das Land/die Region. Es sendet auch den Titel des Fensters, das der Benutzer gerade verwendet (ohne eine Remotesitzung zu aktivieren).

Anschließend richtet der RAT ein infiziertes System ein, um Befehle zu empfangen. Einige grundlegende Funktionen sind immer aktiv, während andere je nach Einstellungen ein- oder ausgeschaltet werden können. CrySome unterstützt eine breite Palette von Befehlen, die es Cyberkriminellen ermöglichen, verschiedene bösartige Aktivitäten durchzuführen.

Es kann Shell-/PowerShell-Befehle ausführen, Dateien herunterladen und ausführen, Dateien hoch- und herunterladen, Dateien durchsuchen, lesen und löschen, Screenshots erstellen, das System zum Neustart zwingen, laufende Programme auflisten oder beenden, Bilder mit der Webcam aufnehmen und auf das Mikrofon zugreifen (und es verwenden). CrySome kann auch die direkte Kommunikation zwischen Cyberkriminellen und Opfern ermöglichen.

Darüber hinaus kann der RAT SOCKS-/Reverse-Proxy-Tunnel für versteckten Netzwerkzugriff erstellen, Bildschirme anzeigen, Maus und Tastatur steuern, mehrere Monitore verwalten, eine versteckte Benutzersitzung heimlich kontrollieren und Apps unsichtbar ausführen, gespeicherte Browserpasswörter und Cookies stehlen und alles aufzeichnen, was mit einer Tastatur getippt wird.

Persistenz und Umgehung von Schutzmaßnahmen

CrySome erstellt eine geplante Aufgabe, um sich alle paar Minuten selbst neu zu starten, und installiert sich als Windows-Dienst, der beim Systemstart gestartet wird und bei einem Absturz neu startet. Es kopiert sich selbst in versteckte Sicherungsordner, damit es sich wiederherstellen kann, wenn es gelöscht wird, und fügt Registrierungseinträge hinzu, damit es automatisch beim Start von Windows ausgeführt wird. Der RAT kann bestimmte Systemdateien modifizieren, um auch nach Werksrücksetzungen bestehen zu bleiben.

Darüber hinaus versteckt CrySome seine Dateien und sperrt sie, damit sie nicht gelöscht werden können, und führt einen „Wächter"-Prozess aus, der ihn bei Beendigung neu startet. Es kann sich selbst als kritischen Systemprozess markieren und Sicherheitstools daran hindern, darauf zuzugreifen oder es zu stoppen.

Zusätzlich findet und beendet der RAT Antivirenprozesse, blockiert Antiviren-Installationsdateien, stoppt Antivirendienste und verhindert deren Neustart und deaktiviert Microsoft Defender-Funktionen (wie Echtzeitschutz, Cloud-Schutz, Überprüfung usw.). Er kann auch verhindern, dass Sicherheitsprogramme überhaupt gestartet werden.

Fazit

CrySome gibt Angreifern die Kontrolle über ein infiziertes Gerät und ermöglicht es ihnen, Daten zu stehlen, Benutzer auszuspionieren und viele bösartige Aktionen aus der Ferne durchzuführen. Es ist darauf ausgelegt, verborgen zu bleiben und weiterzulaufen, indem es starke Persistenzmethoden verwendet, die eine Entfernung erschweren, selbst nach Neustarts oder Systemrücksetzungen. Diese Fähigkeiten machen es zu einer gefährlichen Bedrohung.

Weitere Beispiele für RATs sind GHOSTFORM, KarstoRAT und Moonrise.

Wie hat CrySome meinen Computer infiltriert?

Schadsoftware wie CrySome wird häufig über infizierte Dateien verbreitet, darunter ausführbare Dateien, komprimierte Dateien, Skripte und Dokumente wie PDFs und Office-Dateien. Das einfache Öffnen dieser Dateien oder das Durchführen zusätzlicher Schritte kann eine Infektion auslösen.

Cyberkriminelle verwenden verschiedene Verbreitungsmethoden, um Malware zu verbreiten, darunter E-Mail-Anhänge oder -Links, gefälschte Software-Downloads, Sicherheitslücken, betrügerische Tech-Support-Nachrichten, bösartige oder gehackte Webseiten, Raubkopien oder gecrackte Software, irreführende Werbung, infizierte Wechseldatenträger, Peer-to-Peer-Sharing-Plattformen und Downloader von Drittanbietern.

Wie vermeidet man die Installation von Malware?

Öffnen Sie nur Links oder Anhänge aus vertrauenswürdigen Quellen und seien Sie vorsichtig mit unerwarteten E-Mails oder Nachrichten, insbesondere wenn sie von unbekannten Absendern stammen. Stellen Sie sicher, dass Sie Apps und Software nur von offiziellen Webseiten oder verifizierten App-Stores herunterladen, und vermeiden Sie die Verwendung gecrackter Programme, Raubkopien oder Schlüsselgeneratoren.

Halten Sie Ihr Betriebssystem und alle Anwendungen auf dem neuesten Stand und vermeiden Sie die Interaktion mit Werbung, Pop-ups oder anderen Inhalten auf nicht vertrauenswürdigen Webseiten. Vermeiden Sie es außerdem, dem Erhalt von Benachrichtigungen von dubiosen Seiten zuzustimmen.

Wenn Sie glauben, dass Ihr Computer bereits infiziert ist, empfehlen wir, einen Scan mit Combo Cleaner Antivirus für Windows durchzuführen, um eingedrungene Malware automatisch zu entfernen.

Webseite, die CrySome bewirbt (Quelle: cyfirma.com):

CrySomes Admin-Panel (Quelle: cyfirma.com):

Umgehende automatische Entfernung von Malware:

Die manuelle Entfernung einer Bedrohung kann ein langer und komplizierter Prozess sein, der fortgeschrittene Computerkenntnisse voraussetzt. Combo Cleaner ist ein professionelles, automatisches Malware-Entfernungstool, das zur Entfernung von Malware empfohlen wird. Laden Sie es durch Anklicken der untenstehenden Schaltfläche herunter:

Indem Sie Software, die auf dieser Internetseite aufgeführt ist, herunterladen, stimmen Sie unseren Datenschutzbestimmungen und Nutzungsbedingungen zu. Der kostenlose Scanner überprüft, ob Ihr Computer infiziert ist. Um das Produkt mit vollem Funktionsumfang nutzen zu können, müssen Sie eine Lizenz für Combo Cleaner erwerben. Auf 7 Tage beschränkte kostenlose Testversion verfügbar. Eigentümer und Betreiber von Combo Cleaner ist RCS LT, die Muttergesellschaft von PCRisk.

Schnellmenü:

• Was ist CrySome?
• SCHRITT 1. Manuelle Entfernung von CrySome Malware.
• SCHRITT 2. Überprüfen Sie, ob Ihr Computer sauber ist.

Wie entfernt man Malware manuell?

Die manuelle Entfernung von Malware ist eine komplizierte Aufgabe - normalerweise ist es am besten, Antiviren- oder Anti-Malware-Programme dies automatisch erledigen zu lassen. Um diese Malware zu entfernen, empfehlen wir die Verwendung von Combo Cleaner Antivirus für Windows.

Wenn Sie Malware manuell entfernen möchten, besteht der erste Schritt darin, den Namen der Malware zu identifizieren, die Sie entfernen möchten. Hier ist ein Beispiel für ein verdächtiges Programm, das auf dem Computer eines Benutzers ausgeführt wird:

Wenn Sie die Liste der auf Ihrem Computer ausgeführten Programme überprüft haben, zum Beispiel mit dem Task-Manager, und ein verdächtig aussehendes Programm identifiziert haben, sollten Sie mit diesen Schritten fortfahren:

Laden Sie ein Programm namens Autoruns herunter. Dieses Programm zeigt automatisch startende Anwendungen, Registry- und Dateisystemstandorte an:

Starten Sie Ihren Computer im abgesicherten Modus neu:

Benutzer von Windows XP und Windows 7: Starten Sie Ihren Computer im abgesicherten Modus. Klicken Sie auf Start, klicken Sie auf Herunterfahren, klicken Sie auf Neu starten, klicken Sie auf OK. Drücken Sie während des Startvorgangs Ihres Computers mehrmals die Taste F8 auf Ihrer Tastatur, bis Sie das Windows-Menü „Erweiterte Optionen" sehen, und wählen Sie dann „Abgesicherter Modus mit Netzwerktreibern" aus der Liste aus.

Video, das zeigt, wie man Windows 7 im „Abgesicherten Modus mit Netzwerktreibern" startet:

Benutzer von Windows 8: Starten Sie Windows 8 im abgesicherten Modus mit Netzwerktreibern - Gehen Sie zum Windows 8-Startbildschirm, geben Sie „Erweitert" ein, wählen Sie in den Suchergebnissen „Einstellungen". Klicken Sie auf „Erweiterte Startoptionen", wählen Sie im geöffneten Fenster „Allgemeine PC-Einstellungen" die Option „Erweiterter Start".

Klicken Sie auf die Schaltfläche „Jetzt neu starten". Ihr Computer wird nun im Menü „Erweiterte Startoptionen" neu gestartet. Klicken Sie auf die Schaltfläche „Problembehandlung" und dann auf die Schaltfläche „Erweiterte Optionen". Klicken Sie im Bildschirm „Erweiterte Optionen" auf „Starteinstellungen".

Klicken Sie auf die Schaltfläche „Neu starten". Ihr PC wird im Bildschirm „Starteinstellungen" neu gestartet. Drücken Sie F5, um im abgesicherten Modus mit Netzwerktreibern zu starten.

Video, das zeigt, wie man Windows 8 im „Abgesicherten Modus mit Netzwerktreibern" startet:

Benutzer von Windows 10: Klicken Sie auf das Windows-Logo und wählen Sie das Ein-/Aus-Symbol. Klicken Sie im geöffneten Menü auf „Neu starten", während Sie die Umschalttaste auf Ihrer Tastatur gedrückt halten. Im Fenster „Option auswählen" klicken Sie auf „Problembehandlung" und wählen Sie dann „Erweiterte Optionen".

Wählen Sie im Menü „Erweiterte Optionen" die Option „Starteinstellungen" und klicken Sie auf die Schaltfläche „Neu starten". Im folgenden Fenster sollten Sie die Taste „F5" auf Ihrer Tastatur drücken. Dies startet Ihr Betriebssystem im abgesicherten Modus mit Netzwerktreibern neu.

Video, das zeigt, wie man Windows 10 im „Abgesicherten Modus mit Netzwerktreibern" startet:

Entpacken Sie das heruntergeladene Archiv und führen Sie die Datei Autoruns.exe aus.

Klicken Sie in der Autoruns-Anwendung oben auf „Optionen" und deaktivieren Sie die Optionen „Leere Speicherorte ausblenden" und „Windows-Einträge ausblenden". Klicken Sie nach diesem Vorgang auf das Symbol „Aktualisieren".

Überprüfen Sie die von der Autoruns-Anwendung bereitgestellte Liste und suchen Sie die Malware-Datei, die Sie entfernen möchten.

Sie sollten den vollständigen Pfad und Namen notieren. Beachten Sie, dass manche Malware Prozessnamen unter legitimen Windows-Prozessnamen versteckt. In diesem Stadium ist es sehr wichtig, das Entfernen von Systemdateien zu vermeiden. Nachdem Sie das verdächtige Programm gefunden haben, das Sie entfernen möchten, klicken Sie mit der rechten Maustaste auf seinen Namen und wählen Sie „Löschen".

Nach dem Entfernen der Malware über die Autoruns-Anwendung (dies stellt sicher, dass die Malware beim nächsten Systemstart nicht automatisch ausgeführt wird), sollten Sie auf Ihrem Computer nach dem Malware-Namen suchen. Stellen Sie sicher, dass Sie versteckte Dateien und Ordner aktivieren, bevor Sie fortfahren. Wenn Sie den Dateinamen der Malware finden, stellen Sie sicher, dass Sie ihn entfernen.

Starten Sie Ihren Computer im normalen Modus neu. Das Befolgen dieser Schritte sollte jegliche Malware von Ihrem Computer entfernen. Beachten Sie, dass die manuelle Entfernung von Bedrohungen fortgeschrittene Computerkenntnisse erfordert. Wenn Sie diese Kenntnisse nicht haben, überlassen Sie die Malware-Entfernung Antiviren- und Anti-Malware-Programmen.

Diese Schritte funktionieren möglicherweise nicht bei fortgeschrittenen Malware-Infektionen. Wie immer ist es am besten, einer Infektion vorzubeugen, anstatt später zu versuchen, Malware zu entfernen. Um Ihren Computer sicher zu halten, installieren Sie die neuesten Betriebssystem-Updates und verwenden Sie Antivirensoftware. Um sicherzustellen, dass Ihr Computer frei von Malware-Infektionen ist, empfehlen wir, ihn mit Combo Cleaner Antivirus für Windows zu scannen.

Häufig gestellte Fragen (FAQ)

Mein Computer ist mit CrySome Malware infiziert. Sollte ich mein Speichergerät formatieren, um sie loszuwerden?

Obwohl ein vollständiges Zurücksetzen CrySome entfernen kann, werden dabei alle Dateien vom System gelöscht. In den meisten Fällen sollte zunächst ein seriöses Sicherheitsprogramm wie Combo Cleaner ausprobiert werden.

Was sind die größten Probleme, die Malware verursachen kann?

Malware kann Dateien beschädigen oder löschen, zusätzliche Malware einschleusen, Opfer ausspionieren und mehr. Dies kann zu schwerwiegenden Folgen wie finanziellem Schaden, Daten- und Identitätsdiebstahl, unbefugtem Kontozugriff, Datenverlust und anderen ernsthaften Problemen führen.

Was ist der Zweck des CrySome RAT?

CrySome RAT ist darauf ausgelegt, Benutzer heimlich auszuspionieren, indem es auf den Bildschirm, die Webcam, das Mikrofon und die Systemaktivität zugreift. Es kann auch sensible Daten wie Passwörter, Dateien, Cookies und Systeminformationen stehlen. Gleichzeitig gibt es Angreifern die volle Fernsteuerung über das Gerät, während es verborgen bleibt und Sicherheitstools deaktiviert.

Wie hat Malware meinen Computer infiltriert?

Malware wird häufig über bösartige ausführbare Dateien, Archive, Skripte und Dokumente verbreitet, die ein Gerät beim Öffnen oder Ausführen infizieren können. Cyberkriminelle nutzen bösartige Webseiten, Phishing-E-Mails mit Anhängen oder Links, gefälschte Tech-Support-Betrügereien, Software-Schwachstellen, gecrackte Programme, schädliche Online-Werbung, infizierte USB-Laufwerke, Peer-to-Peer-Sharing-Netzwerke und nicht vertrauenswürdige Download-Quellen von Drittanbietern, um Malware zu verbreiten.

Wird Combo Cleaner mich vor Malware schützen?

Ja, Combo Cleaner ist in der Lage, die meisten bekannten Malware-Infektionen zu finden und zu entfernen. Einige fortgeschrittene Bedrohungen können jedoch tief im System verborgen sein, weshalb ein vollständiger Systemscan wichtig ist, um eine vollständige Erkennung sicherzustellen.