Hoe Phemedrone malware van uw computer verwijderen
Geschreven door Tomas Meskauskas op
Wat voor soort malware is Phemedrone?
Phemedrone is een informatiediefstalprogramma gecodeerd in de programmeertaal C#. Deze kwaadaardige software is ontworpen om systeeminformatie te verzamelen, bestanden vast te leggen en gegevens te stelen van webbrowsers en -toepassingen. Gebruikers die vermoeden dat hun computer is geïnfecteerd met Phemedrone moeten de malware onmiddellijk verwijderen.
Meer over Phemedrone
Phemedrone stealer is ontworpen om te werken op zowel x32- als x64-systemen. De stealer gebruikt een HTTP host om alle logs te versturen, waardoor de aanvaller de gestolen informatie op afstand kan verzamelen. De malware is uitgerust met configureerbare anti-analyse, anti-virtuele machine, anti-debugger en mutex-functies om detectie te omzeilen.
Het is in staat om verschillende gevoelige gegevens te onderscheppen, waaronder cookies, wachtwoorden, autofill-gegevens en creditcardgegevens van Chromium-gebaseerde en Gecko-gebaseerde browsers. Het kan ook sessies van populaire platforms zoals Telegram, Steam en Discord buitmaken. Bovendien kan het bestanden stelen van geïnfecteerde systemen.
Daarnaast kan Phemedrone gevoelige informatie van cryptowallets verzamelen en gedetailleerde systeeminformatie geven, waaronder hardware, geolocatie, OS-informatie en zelfs schermafbeeldingen vastleggen. Het verzamelt alle gegevens direct in het geheugen zonder gebruik te maken van externe bibliotheken.
Slachtoffers van Phemedrone kunnen verschillende problemen tegenkomen door de activiteiten van deze informatiedief. Dit kan onder andere ongeautoriseerde toegang tot hun gevoelige gegevens zijn, zoals wachtwoorden, creditcardgegevens en cryptocurrency-portefeuilles, wat kan leiden tot identiteitsdiefstal, financiële verliezen en mogelijk misbruik van persoonlijke accounts.
Het vermogen van de malware om systeeminformatie te verzamelen en schermafbeeldingen te maken, kan de privacy in gevaar brengen en gevoelige gegevens blootstellen aan onbevoegde partijen. Bovendien maken de anti-opsporingsfuncties van Phemedrone het moeilijk om het te detecteren en te verwijderen, waardoor de potentiële impact op het systeem van het slachtoffer langer aanhoudt en het risico op gegevensdiefstal toeneemt.
| Naam | Phemedrone informatie stelen |
| Type bedreiging | Gegevensdiefstal |
| Namen van detectie | Avast (Win32:SpywareX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.358520), ESET-NOD32 (Een variant van MSIL/Spy.Agent.ENP), Kaspersky (HEUR:Trojan-PSW.MSIL.Stealer.gen), Microsoft (Trojan:MSIL/FormBook.CD!MTB), Volledige lijst (VirusTotal) |
| Symptomen | Het is gebruikelijk dat informatiedieven worden ontworpen om heimelijk de computer van het slachtoffer te infiltreren en stil te blijven, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
| Distributiemethoden | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, softwarekrakers. |
| Schade | Gestolen wachtwoorden en bankgegevens, identiteitsdiefstal, verlies van toegang tot online accounts, geldelijk verlies en andere problemen. |
| Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
Informatiedieven in het algemeen
Informatiedieven, waaronder Phemedrone en soortgelijke malware, hebben een aantal gemeenschappelijke kenmerken. Ze zijn ontworpen om gevoelige informatie te verzamelen van aangetaste systemen, zoals wachtwoorden, financiële gegevens en persoonlijke details. Ze maken vaak gebruik van technieken om detectie te omzeilen, zoals anti-antivirus- of anti-virtuele machinefuncties.
Informatiedieven kunnen de gestolen gegevens meestal exfiltreren naar externe servers die worden beheerd door bedreigingsactoren. Ook richten ze zich vaak op populaire toepassingen en browsers om de kans op het buitmaken van waardevolle informatie van de slachtoffers te maximaliseren. Voorbeelden van verschillende stealers zijn Meduza Stealer, ThirdEye Stealer, en RedEnergy Stealer.
Hoe is Phemedrone in mijn computer geïnfiltreerd?
Gebruikers kunnen hun computer op verschillende manieren infecteren. Een veelgebruikte methode is het downloaden en uitvoeren van schadelijke bestanden of bijlagen, zoals geïnfecteerde e-mailbijlagen of bestanden die zijn gedownload van onbetrouwbare bronnen. Het bezoeken van gecompromitteerde of schadelijke websites en het klikken op bedrieglijke koppelingen of advertenties kan ook leiden tot malware-infecties.
Daarnaast kunnen verouderde software of besturingssystemen met niet-gepatchte kwetsbaarheden worden misbruikt door aanvallers om ongeautoriseerde toegang te krijgen en het systeem te infecteren.
Hoe voorkomt u de installatie van malware?
Houd uw besturingssysteem en programma's up-to-date met de nieuwste beveiligingspatches, aangezien malware kwetsbaarheden kan uitbuiten. Wees voorzichtig met het openen van e-mailbijlagen of het klikken op links, vooral van onbekende of verdachte bronnen. Gebruik gerenommeerde antivirussoftware en houd deze up-to-date om te scannen op malware en deze te verwijderen.
Let ook op de pagina's die je bezoekt en download alleen software van officiële en betrouwbare bronnen (bijv. officiële sites en geverifieerde winkels). Vertrouw advertenties op verdachte websites niet. Als je denkt dat je computer al geïnfecteerd is, raden we je aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te elimineren.
Afbeelding gebruikt om Phemedrone te promoten:
Update 16 januari 2024 - er is een nieuwe techniek in gebruik waargenomen om de Phemedrone stealer te verspreiden. Hierbij wordt gebruikgemaakt van een kwetsbaarheid (getraceerd als CVE-2023-36025) die van invloed is op Microsoft SmartScreen. De kwetsbaarheid maakt het mogelijk voor specifiek ontworpen Internet Shortcut-bestanden (.URL) om malware te infiltreren terwijl detectie door SmartScreen wordt vermeden. Hoewel er patches zijn uitgebracht om dit probleem te verhelpen, blijven veel machines kwetsbaar.
Om dieper in te gaan op een van de bekende infectieketens van Phemedrone die gebruikmaakt van CVE-2023-36025: de schadelijke .URL-bestanden werden gehost op Discord, FileTransfer.io en andere services. Waarschijnlijk wordt URL-verkorting gebruikt.
Eenmaal geopend wordt er een verbinding tot stand gebracht met de server van de cybercriminelen vanwaar een Windows Control Panel Item (.CPL) wordt gedownload en uitgevoerd. Dit zou moeten worden voorkomen door Microsoft SmartScreen, maar het proces is opzettelijk gemaakt om detectie te omzeilen.
Daarnaast worden .DLL-bestanden gedownload en uitgevoerd; ze gebruiken PowerShell om (van GitHub) te verkrijgen en de volgende fase van de aanval te starten. Het bevat een goed versleutelde PowerShell loader, die een ZIP-archief downloadt van GitHub.
Het bevat WerFaultSecure.exe, een legitiem Windows-bestand, en twee schadelijke bestanden. Eén wordt gebruikt voor de DLL side-loading techniek, terwijl de andere een loader is voor een andere fase. De infectie culmineert met de infiltratie van Phemedrone in het systeem.
Screenshot van een snelkoppelingsbestand dat Phemedrone verspreidt met behulp van de eerder beschreven exploit:
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is Phemedrone?
- STAP 1. Handmatige verwijdering van Phemedrone malware.
- STAP 2. Controleer of je computer schoon is.
Hoe verwijder ik malware handmatig?
Het handmatig verwijderen van malware is een ingewikkelde taak - meestal is het het beste om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen, raden we aan Combo Cleaner te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat wordt uitgevoerd op de computer van een gebruiker:
Als je de lijst met programma's die op je computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet je doorgaan met deze stappen:
Download een programma genaamd Autoruns. Dit programma toont automatisch opstartende toepassingen, register- en bestandssysteemlocaties:
Start je computer opnieuw op in Veilige modus:
Gebruikers van Windows XP en Windows 7: Start je computer op in Veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten, klik op OK. Druk tijdens het opstarten van de computer meerdere keren op de F8-toets op je toetsenbord totdat je het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerken uit de lijst.
Video die laat zien hoe je Windows 7 start in "Veilige modus met netwerk":
Windows 8 gebruikers: Start Windows 8 op in Veilige modus met netwerk - Ga naar het Windows 8 Startscherm, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Je computer wordt nu opnieuw opgestart in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Je pc zal opnieuw opstarten in het scherm Opstartinstellingen. Druk op F5 om op te starten in Veilige modus met netwerk.
Video die laat zien hoe je Windows 8 opstart in "Veilige modus met netwerk":
Windows 10-gebruikers: Klik op het Windows-logo en selecteer het Power-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl je de toets "Shift" op je toetsenbord ingedrukt houdt. Klik in het venster "Een optie kiezen" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".
Selecteer in het menu "Geavanceerde opties" "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet je op de toets "F5" op je toetsenbord klikken. Hierdoor wordt je besturingssysteem opnieuw opgestart in de veilige modus met netwerken.
Video die laat zien hoe je Windows 10 start in "Veilige modus met netwerk":
Pak het gedownloade archief uit en voer het bestand Autoruns.exe uit.
Klik in de Autoruns-toepassing op "Options" (Opties) bovenaan en schakel de opties "Hide Empty Locations" (Lege locaties verbergen) en "Hide Windows Entries" (Windows items verbergen) uit. Klik na deze procedure op het pictogram "Vernieuwen".
Controleer de lijst van de Autoruns-toepassing en zoek het malwarebestand dat je wilt verwijderen.
Je moet het volledige pad en de naam opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".
Nadat u de malware hebt verwijderd via de toepassing Autoruns (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende keer opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als je de bestandsnaam van de malware vindt, verwijder deze dan.
Start je computer opnieuw op in de normale modus. Als je deze stappen volgt, zou je alle malware van je computer moeten verwijderen. Houd er rekening mee dat voor het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist zijn. Als je deze vaardigheden niet hebt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om een infectie te voorkomen dan om malware later te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste updates van het besturingssysteem en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties, raden we u aan uw computer te scannen met Combo Cleaner.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met Phemedrone malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Formatteren moet worden beschouwd als een laatste redmiddel als andere methoden, zoals het gebruik van antivirussoftware zoals Combo Cleaner, niet succesvol zijn geweest in het verwijderen van de malware.
Wat zijn de grootste problemen die malware kan veroorzaken?
Malware kan leiden tot datalekken, waarbij gevoelige en persoonlijke informatie zoals financiële gegevens, wachtwoorden, enz. in gevaar wordt gebracht. Daarnaast kan malware de functionaliteit van het systeem verstoren, waardoor het systeem vastloopt, de prestaties vertragen en gegevens verloren gaan. Bovendien kan het ongeautoriseerde toegang tot het geïnfecteerde systeem vergemakkelijken, waardoor cybercriminelen het gecompromitteerde apparaat kunnen controleren en mogelijk verdere aanvallen kunnen uitvoeren.
Wat is het doel van Phemedrone?
Phemedrone, een malware die informatie steelt, is gericht op het verzamelen van gevoelige gegevens van geïnfecteerde systemen. Het is gericht op het verzamelen van verschillende soorten informatie, zoals systeemgegevens, bestanden, gegevens van webbrowsers en -toepassingen, cookies, wachtwoorden, automatisch ingevulde gegevens, creditcardgegevens en zelfs sessiegegevens van specifieke platforms zoals Telegram, Steam en Discord.
Hoe is malware mijn computer binnengedrongen?
Veel voorkomende methoden zijn het klikken op kwaadaardige links of het downloaden van geïnfecteerde bestanden van onbetrouwbare bronnen, het openen van e-mailbijlagen van onbekende of verdachte afzenders, het bezoeken van gecompromitteerde of kwaadaardige websites of het misbruik maken van kwetsbare plekken in verouderde software of besturingssystemen. Daarnaast kan malware worden verspreid via geïnfecteerde externe apparaten, zoals USB-stations, of via netwerkaanvallen gericht op onbeschermde of slecht beveiligde systemen.
Beschermt Combo Cleaner mij tegen malware?
Combo Cleaner detecteert en verwijdert effectief bijna alle bekende malware-infecties. Geavanceerde malware verbergt zich vaak diep in het systeem. Daarom is het uitvoeren van een uitgebreide systeemscan essentieel om ervoor te zorgen dat dergelijke high-end malware grondig wordt opgespoord en verwijderd.
Uitmuntend!
▼ Toon discussie