Verwijderingsinstructies voor de PySilon trojan voor externe toegang
Geschreven door Tomas Meskauskas op
Wat voor soort malware is PySilon?
PySilon is een Trojan voor toegang op afstand (RAT) geschreven in de programmeertaal Python. Malware binnen deze classificatie maakt toegang op afstand en controle over geïnfecteerde machines mogelijk. PySilon is een multifunctioneel programma dat verschillende commando's kan uitvoeren op systemen en uitgebreide spyware-/datastaalfuncties heeft.
Overzicht PySilon malware
Zoals vermeld in de inleiding is PySilon een RAT die is ontworpen om op afstand toegang te krijgen tot geïnfecteerde apparaten. Deze trojan kan zijn privileges verhogen en beheerdersrechten krijgen. Het kan ook Command Prompt (CMD) commando's uitvoeren.
PySilon maakt gebruik van anti-detectiemechanismen; het kan detecteren wanneer het wordt gestart op een virtuele machine (bijv. VMWare, VirtualBox, enz.). Een andere maatregel die deze malware gebruikt, is zelfbeëindiging en verwijdering van infectieresten. PySilon kan lopende processen bekijken en deze beëindigen.
De RAT kan door systeem-/gebruikersbestanden bladeren en deze exfiltreren (downloaden). Omdat deze trojan bestanden kan infiltreren (uploaden) en uitvoeren, kan hij worden gebruikt om keteninfecties te veroorzaken. Hoewel deze functionaliteit theoretisch kan worden gebruikt om vrijwel elk type malware in het aangetaste systeem te introduceren, werkt deze functie meestal binnen bepaalde specificaties/beperkingen.
De spywaremogelijkheden van PySilon omvatten het maken van schermafbeeldingen, het opnemen van scherm/desktop, het opnemen en live streamen van audio via de microfoon en het maken van snapshots via de webcam. Dit programma heeft keylogging mogelijkheden (d.w.z. het opnemen van toetsaanslagen) waardoor aanvallers alle informatie kunnen verkrijgen die door slachtoffers wordt getypt. Daarnaast kan PySilon muis- en toetsenbordinvoer blokkeren.
Deze RAT kan uit browsers browsergeschiedenissen, Internetcookies en opgeslagen aanmeldingsgegevens (gebruikersnamen/wachtwoorden) halen. Het richt zich ook op wifi-wachtwoorden en Discord tokens.
PySilon heeft ook clipper functionaliteiten, dat wil zeggen, het kan cryptowallet-adressen die in het klembord zijn gekopieerd vervangen door adressen die eigendom zijn van de cybercriminelen, waardoor uitgaande cryptocurrency-transacties worden omgeleid. De trojan kan de systemen van slachtoffers laten crashen door het veroorzaken van de blue screen of death fouten of het lanceren van een fork bomb aanval.
Het is opmerkelijk dat malwareontwikkelaars hun software en methodologieën vaak verbeteren. Daarom kunnen mogelijke toekomstige versies van PySilon extra/andere mogelijkheden hebben. Volgens het promotiemateriaal van deze RAT zijn enkele van de geplande functies bijvoorbeeld het stelen van opgeslagen creditcardgegevens, het verkrijgen van populaire app-sessies (bijv, Exodus, MetaMask, Minecraft, Roblox, Steam, enz.), ransomware infiltratie, en cryptomining-mogelijkheden.
Samengevat kan de aanwezigheid van software zoals PySilon op apparaten leiden tot meervoudige systeeminfecties, verminderde systeemprestaties of uitval, gegevensverlies, ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal.
Naam | PySilon trojan voor externe toegang |
Type bedreiging | Trojaans paard, remote access trojan (RAT), virus dat wachtwoorden steelt, bankmalware, spyware. |
Opsporingsnamen | DrWeb (Trojan.MulDrop23.36187), Fortinet (Python/Stealer.824!tr), Ikarus (Trojan-Dropper.Win64.Agent), Kaspersky (HEUR:Trojan-PSW.Multi.Disco.gen), Microsoft (Trojan:Win32/Wacatac.B!ml), Volledige lijst met detecties (VirusTotal) |
Symptomen | Trojaanse paarden zijn ontworpen om heimelijk te infiltreren in de computer van het slachtoffer en stil te blijven, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
Distributiemethoden | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, softwarekrakers. |
Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet. |
Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Remote access trojan voorbeelden
Loda, SuperBear, QuiteRAT, en JanelaRAT zijn slechts enkele voorbeelden van RAT's die we onlangs hebben onderzocht. Deze trojans zijn over het algemeen zeer veelzijdig en breed toepasbaar. Het maakt echter niet uit hoe veelzijdig of specifiek een stuk kwaadaardige software is - de aanwezigheid ervan op een systeem brengt de integriteit van het apparaat en de veiligheid van de gebruiker in gevaar. Daarom moeten alle bedreigingen onmiddellijk na ontdekking worden verwijderd.
Hoe is PySilon in mijn computer geïnfiltreerd?
Op het moment van schrijven promoten de PySilon-ontwikkelaars het online - daarom kan de manier waarop deze RAT wordt verspreid variëren, afhankelijk van de cybercriminelen die het gebruiken. Malware wordt voornamelijk verspreid door gebruik te maken van phishing en social engineering tactieken.
De meest gebruikte distributietechnieken zijn: drive-by (stiekeme/bedrieglijke) downloads, online oplichting, schadelijke bijlagen of koppelingen in spammail (bijv. e-mails, DM's/PM's, sms'jes, etc.), malvertising, onbetrouwbare downloadbronnen (bijv. freeware en gratis websites voor het hosten van bestanden, Peer-to-Peer netwerken voor het delen van bestanden, etc.), illegale inhoud, illegale softwareactiveringstools ("cracks") en nepupdates.
Sommige kwaadaardige programma's kunnen zichzelf zelfs verspreiden via lokale netwerken en verwisselbare opslagapparaten (bijv. USB flash drives, externe harde schijven, etc.).
Kwaadaardige software is meestal vermomd als of gebundeld met gewone programma's/media. Besmettelijke bestanden kunnen verschillende formaten hebben, bijv, uitvoerbare bestanden (.exe, .run, enz.), archieven (RAR, ZIP, enz.), documenten (Microsoft Office, Microsoft OneNote, PDF, enz.), JavaScript, enzovoort. Zodra een dergelijk bestand wordt uitgevoerd, uitgevoerd of op een andere manier wordt geopend, wordt de infectieketen geactiveerd.
Hoe vermijd je de installatie van malware?
We raden aan om voorzichtig te zijn tijdens het browsen, omdat valse en kwaadaardige online inhoud meestal echt en onschuldig lijkt. Voorzichtigheid is ook geboden bij inkomende e-mails en andere berichten. Bijlagen of links in verdachte e-mails mogen niet worden geopend, omdat ze kwaadaardig kunnen zijn.
Een andere aanbeveling is om alleen te downloaden van officiële en geverifieerde bronnen. Bovendien moeten alle programma's worden geactiveerd en bijgewerkt met legitieme functies/tools, aangezien illegale activeringstools ("cracks") en updates van derden malware kunnen bevatten.
We moeten benadrukken hoe belangrijk het is om een goede antivirus te installeren en up-to-date te houden. Beveiligingssoftware moet worden gebruikt om regelmatig systeemscans uit te voeren en om gedetecteerde bedreigingen en problemen te verwijderen. Als u denkt dat uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.
Screenshot van de PySilon RAT bouwer (bron: cyble.com):
Update 26 oktober 2023 - PySilon RAT is gedistribueerd onder het mom van echte software en "cracking" tools. Deze bestanden worden waarschijnlijk gehost op freeware en gratis bestandshostingsites.
Bekende bestandsnamen zijn onder andere:
- Adobe Photoshop.exe
- Chromedriver.exe
- cmdassist.exe
- nitrogen+checker.exe
- Synapse Launcher.exe
- VF_V2 Visual efects + fps unlocker.exe
- Windows Defender.exe
- Windows-MSDEV-v1.8-nonUWPapp.exe
- WinSecureInstaller.exe
- WindowsUpdate.exe
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is PySilon?
- STAP 1. Handmatige verwijdering van PySilon malware.
- STAP 2. Controleer of je computer schoon is.
Hoe verwijder je malware handmatig?
Handmatig malware verwijderen is een ingewikkelde taak - meestal is het het beste om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen, raden we aan Combo Cleaner te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat wordt uitgevoerd op de computer van een gebruiker:
Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met task manager, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet je doorgaan met deze stappen:
Download een programma met de naam Autoruns. Dit programma toont auto-start toepassingen, register en bestandssysteem locaties:
Herstart je computer in de veilige modus:
Windows XP- en Windows 7-gebruikers: Start je computer op in Veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstarten van de computer meerdere keren op de F8-toets op je toetsenbord totdat je het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerken uit de lijst.
Video die laat zien hoe je Windows 7 opstart in "Veilige modus met netwerk":
Windows 8 gebruikers: Start Windows 8 op in Veilige modus met netwerk - Ga naar het Windows 8 Startscherm, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Je computer wordt nu opnieuw opgestart in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Je pc zal opnieuw opstarten in het scherm Opstartinstellingen. Druk op F5 om op te starten in Veilige modus met netwerk.
Video die laat zien hoe je Windows 8 start in "Veilige modus met netwerk":
Windows 10-gebruikers: Klik op het Windows-logo en selecteer het Power-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl je de "Shift"-toets op je toetsenbord ingedrukt houdt. Klik in het venster "een optie kiezen" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".
Selecteer in het menu met geavanceerde opties "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet je op de toets "F5" op je toetsenbord klikken. Hierdoor wordt je besturingssysteem opnieuw opgestart in de veilige modus met netwerken.
Video die laat zien hoe je Windows 10 start in "Veilige modus met netwerk":
Uitpakken van het gedownloade archief en uitvoeren van het Autoruns.exe bestand.
Klik in de Autoruns-toepassing bovenaan op "Opties" en schakel de opties "Lege locaties verbergen" en "Windows-items verbergen" uit. Klik na deze procedure op het pictogram "Vernieuwen".
Bekijk de lijst die wordt geleverd door de Autoruns-toepassing en zoek het malwarebestand dat je wilt verwijderen.
Je moet het volledige pad en de naam opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat je het verdachte programma hebt gevonden dat je wilt verwijderen, klik je met de rechtermuisknop op de naam en kies je "Verwijderen".
Nadat je de malware hebt verwijderd via de Autoruns-toepassing (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende keer opstarten van het systeem), moet je zoeken naar de naam van de malware op je computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, verwijder deze dan.
Start je computer opnieuw op in de normale modus. Als je deze stappen volgt, zou je alle malware van je computer moeten verwijderen. Houd er rekening mee dat voor het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist zijn. Als je deze vaardigheden niet hebt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om een infectie te voorkomen dan om malware later te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates van het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan uw computer te scannen met Combo Cleaner.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met PySilon-malware. Moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Voor het verwijderen van malware is formatteren meestal niet nodig.
Wat zijn de grootste problemen die PySilon-malware kan veroorzaken?
Welke bedreigingen een infectie vormt, hangt af van de functionaliteiten van de malware en de modus operandi van de cybercriminelen. PySilon is een RAT - een programma dat externe toegang tot/controle over apparaten mogelijk maakt, en het heeft verschillende mogelijkheden. PySilon kan meerdere systeeminfecties, verminderde systeemprestaties of uitval, gegevensverlies, ernstige privacyproblemen, financiële verliezen en identiteitsdiefstal veroorzaken.
Wat is het doel van PySilon-malware?
Malware wordt voornamelijk gebruikt voor financieel gewin. Cybercriminelen kunnen kwaadaardige software echter ook gebruiken om zichzelf te amuseren of om processen te verstoren (bijv. sites, diensten, bedrijven, enz.). Malwareaanvallen kunnen opportunistisch zijn of gemotiveerd worden door persoonlijke wrok, hacktivisme en zelfs politieke/geopolitieke redenen.
Hoe is PySilon-malware mijn computer binnengedrongen?
Malware wordt voornamelijk verspreid via drive-by downloads, spammail, onbetrouwbare downloadkanalen (bv. freeware en websites met gratis bestandshosting, Peer-to-Peer sharing-netwerken, enz.), illegale softwareactiveringsprogramma's ("cracks"), valse updaters, online zwendel en malvertising. Bovendien kunnen sommige kwaadaardige programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner is ontworpen om allerlei bedreigingen te verwijderen. Het kan praktisch alle bekende malware-infecties detecteren en elimineren. Houd er rekening mee dat het uitvoeren van een volledige systeemscan essentieel is, omdat geavanceerde kwaadaardige programma's zich meestal diep in systemen verstoppen.
▼ Toon discussie