Como evitar infectar um computador através de ficheiro de arquivo de auto-extracção
Escrito por Tomas Meskauskas a (atualizado)
O que é um ficheiro de auto-extracção malicioso (SFX)?
Os ficheiros de arquivo de auto-extracção (SFX) têm sido tradicionalmente utilizados para partilhar dados comprimidos com indivíduos que não têm o software para descompactar e visualizar o conteúdo de um ficheiro de arquivo padrão. No entanto, estes ficheiros podem conter funcionalidades maliciosas encobertas que não são facilmente visíveis para os utilizadores e podem escapar à detecção através de medidas de segurança baseadas na tecnologia.
Mais sobre os ficheiros de auto-extracção maliciosos
Os ficheiros executáveis SFX funcionam acrescentando o conteúdo destinado ao arquivo a um ficheiro descompressor, que é executado quando o ficheiro é corrido. Este ficheiro descompacta suavemente e exibe o conteúdo do ficheiro, eliminando a necessidade do utilizador possuir software especializado.
Enquanto os ficheiros SFX podem ser utilizados por instaladores de software para facilitar a instalação, as entidades maliciosas estão cada vez mais a utilizar estes ficheiros para contornar as medidas de segurança e executar código malicioso.
Vários tipos de ficheiros descompressores SFX estão actualmente a ser utilizados, dependendo do produto utilizado para gerar um ficheiro SFX, e nem todos os produtos oferecem a mesma funcionalidade. Muitos destes produtos são amplamente acessíveis e de fácil utilização.
Por exemplo, 7-Zip e WinRAR são dois programas que permitem a criação de um ficheiro SFX, cada um com a sua própria versão única de um ficheiro descompressor e características que podem ser utilizadas ou exploradas.
Os ficheiros SFX protegidos por palavra-passe são normalmente encontrados em ambientes comerciais onde um produto é utilizado para encriptar um ficheiro e necessita de uma palavra-passe para obter acesso. O ficheiro resultante é frequentemente um ficheiro SFX com uma extensão executável que só pode ser acedido se for fornecida a palavra-passe apropriada.
Esta mesma técnica de protecção de ficheiros foi também explorada para permitir o acesso não autorizado.
Uma campanha envolvendo o botnet Emotet ilustra como os arquivos SFX têm sido explorados. Neste caso, o botnet distribuiu um ficheiro SFX que, quando aberto por um utilizador, extraía automaticamente um segundo ficheiro SFX, que estava protegido por palavra-passe.
O ficheiro introduziu então a palavra-chave, extraiu o seu conteúdo e executou-o sem necessitar de mais informações por parte do utilizador. Além disso, foi apresentado um ficheiro de chamariz para evitar levantar suspeitas.
Outros exemplos de malware malicioso famigerado que ameaçam os intervenientes foram vistos a disseminar através dos ficheiros SFX incluem CoinMiner e TAR Quasar.
| Nome | Malicioso ficheiro de arquivo de auto-extracção |
| Tipo de Ameaça | Trojan, vírus que rouba palavras-passe, malware bancário, spyware, ou outro malware. |
| Nomes de Detecção (ficheiro yrqs.sfx.exe utilizado para distribuir malware) | Avast (Win32:Malware-gen), Combo Cleaner (Trojan.GenericKD.49033489), Emsisoft (Trojan.GenericKD.49033489 (B)), Kaspersky (Trojan-Dropper.Win32.Agent.teviwl), Microsoft (Trojan:Win32/Casdet!rfn), Lista Completa (VirusTotal) |
| Sintomas | Os sintomas de um ficheiro SFX malicioso podem variar dependendo do tipo específico de malware que está contido no ficheiro. |
| Métodos de Distribuição | Anexos de emails infectados, anúncios online maliciosos, engenharia social, páginas comprometidas ou não fidedignas, etc. |
| Danos | Palavras-chave e informações bancárias roubadas, roubo de identidade, o computador da vítima adicionado a um botnet, e muito mais. |
| Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Conclusão
Durante um período considerável, o ficheiro de auto-extracção tem facilitado a distribuição de ficheiros aos utilizadores finais. No entanto, apresenta uma vulnerabilidade de segurança, uma vez que o conteúdo dos ficheiros não é verificável sem esforço, e pode executar comandos e executáveis silenciosamente.
O nosso método de ataque delineado necessita apenas de um clique e nenhuma palavra-passe introduzida para comprometer um alvo, permitindo que os actores da ameaça realizem vários ataques, incluindo o roubo cripto, roubo de dados, e ransomware.
Como é que o malware num ficheiro de auto-extracção (SFX) se infiltrou no meu computador?
Os intervenientes ameaçam distribuir ficheiros SFX maliciosos ao agregar o malware dentro de um ficheiro SFX e seduzir as vítimas a descarregá-lo e abri-lo. Podem utilizar várias técnicas, tais como disfarçar o ficheiro como um ficheiro legítimo ou ocultá-lo num email de phishing ou numa actualização de software falso.
Em alguns casos, podem também utilizar arquivos SFX protegidos por palavra-passe que extraem e executam automaticamente a sua carga útil maliciosa sem necessitarem de qualquer contributo por parte do utilizador. Estas técnicas permitem aos intervenientes da ameaça distribuir malware através de ficheiros SFX e comprometer os sistemas das suas vítimas.
Como evitar a instalação de malware?
Certifique-se de que o seu sistema operativo, aplicações, e software antivírus estão actualizados. Tenha cuidado com os anexos de emails (e as ligações nos emails). Não abra anexos de emails a partir de endereços desconhecidos ou emails que pareçam suspeitos. O malware pode ser oculto em anexos tais como documentos Word, PDFs, ou ficheiros ZIP.
Evite clicar em ligações de fontes desconhecidas ou ligações que pareçam suspeitas. Descarregue apenas software de fontes respeitáveis e verifique se o site é legítimo antes de descarregar qualquer coisa. Instale software antivírus de boa reputação e mantenha-o actualizado para detectar e remover malware do seu dispositivo.
Se acredita que o seu computador já está infectado, recomendamos a execução de uma análise com Combo Cleaner para eliminar automaticamente o malware infiltrado.
SFX gerado protegido por palavra-chave utilizando WinRAR:
SFX gerado protegido por palavra-chave utilizando 7zip:
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é um ficheiro malware de auto-extracção (SFX)?
- PASSO 1. Remoção manual do malware ficheiro malware de auto-extracção (SFX).
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - geralmente é melhor permitir que programas antivírus ou anti-malware façam isso automaticamente. Para remover este malware, recomendamos o uso de Combo Cleaner.
Se deseja remover malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, a usar o gestor de tarefas e identificou um programa que parece suspeito, deve continuar com estes passos:
Descarregue um programa denominado Autoruns. Este programa mostra as aplicações de inicialização automática, o Registo e os locais do sistema de ficheiros:
Reinicie o computador no Modo de Segurança:
Utilizadores Windows XP e Windows 7: Inicie o seu computador no Modo de Segurança. Clique em Iniciar, Clique em Encerrar, clique em Reiniciar, clique em OK. Durante o processo de início do seu computador, prima a tecla F8 no seu teclado várias vezes até ver o menu Opções Avançadas do Windows e, em seguida, seleccione Modo de Segurança com Rede da lista.
O vídeo demonstra como iniciar o Windows 7 "Modo de Segurança com Rede":
Utilizadores Windows 8: Inicie o Windows 8 com Modo Segurança com Rede - Vá para o ecrã de início Windows 8, escreva Avançadas, nos resultados da pesquisa, selecione Configurações. Clique em opções de inicialização avançadas, na janela aberta "Definições Gerais de PC", seleccione inicialização Avançada.
Clique no botão "Reiniciar agora". O seu computador será reiniciado no "Menu de opções de inicialização avançadas". Clique no botão "Solucionar Problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de inicialização".
Clique no botão "Reiniciar". O seu PC será reiniciado no ecrã de Definições de Inicialização. Prima F5 para iniciar no Modo de Segurança com Rede.
O vídeo demonstra como iniciar Windows 8 "Modo de Segurança com Rede"::
Utilizadores Windows 10: Clique no logótipo do Windows e seleccione o ícone Energia. No menu aberto, clique em "Reiniciar", mantendo o botão "Shift" premido no seu teclado. Na janela "escolher uma opção", clique em "Solucionar Problemas" e selecione "Opções avançadas".
No menu de opções avançadas, selecione "Configurações de Início" e clique no botão "Reiniciar". Na janela seguinte deve clicar no botão "F5" do seu teclado. Isso irá reiniciar o sistema operativo no Modo de Segurança com Rede.
O vídeo demonstra como iniciar o Windows 10 "Modo de Segurança com Rede":
Extraia o ficheiro descarregue e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Opções" na parte superior e desmarque as opções "Ocultar locais vazios" e "Ocultar entradas do Windows". Após este procedimento, clique no ícone "Atualizar"..
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que deseja eliminar.
Deve anotar o caminho completo e o nome. Note que alguns malwares ocultam os seus nomes de processos com nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros do sistema. Depois de localizar o programa suspeito que deseja remover clique com o rato sobre o nome e escolha "Excluir".
Depois de remover o malware através da aplicação Autoruns (isso garante que o malware não seja executado automaticamente na próxima inicialização do sistema), deve procurar o nome malware no seu computador. Certifique-se de ativar ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de o eliminar.
Inicie o seu computador no Modo de Segurança. Seguir estes passos deve ajudar a remover qualquer malware do seu computador. Note que a remoção manual de ameaças requer capacidades avançadas de computação. Se não tiver essas capacidades, deixe a remoção de malware para programas antivírus e anti-malware.
Estes passos podem não funcionar com infecções avançadas por malware. Como sempre, é melhor prevenir a infecção do que tentar remover o malware posteriormente. Para manter o seu computador seguro, certifique-se de instalar as atualizações mais recentes do sistema operativo e de usar o software antivírus. Para garantir que o seu computador está livre de infecções por malware, recomendamos analisá-lo com Combo Cleaner.
Perguntas Frequentes (FAQ)
O meu computador está infectado com o malware, devo formatar o meu dispositivo de armazenamento para me livrar dele?
Embora a formatação do seu dispositivo de armazenamento possa eliminar eficazmente o malware, é melhor utilizá-lo como última opção. Antes de recorrer a esta medida drástica, é recomendado que tente remover o malware utilizando software antivírus de confiança.
Quais são os maiores problemas que o malware pode causar?
O malware pode causar muitos problemas, incluindo o roubo ou a corrupção de informação sensível. Além disso, pode abrandar ou danificar os sistemas, perturbando significativamente as operações diárias e a produtividade. O malware pode ser utilizado para distribuir ransomware, criar botnets que possam ser controlados remotamente e utilizados para lançar ataques cibernéticos em grande escala, e muito mais.
Qual é o objetivo de um malware?
O malware pode ser utilizado para roubar informação sensível, como dados pessoais e informação financeira, danificar ou destruir ficheiros, perturbar as operações normais do sistema, e assumir o controlo de dispositivos infectados. O malware também pode ser utilizado para actividades fraudulentas, tais como ataques de phishing ou para distribuir correio electrónico não solicitado (spam). As motivações por trás da criação e distribuição de malware podem variar.
Como é que o malware se infiltrou no meu computador?
O malware pode infiltrar-se num computador através de vários meios, tais como emails de phishing, descarregamentos maliciosos, e sites infectados. Além disso, o malware pode ser disseminado através de meios removíveis, tais como unidades USB ou CDs e através de vulnerabilidades de rede.
O Combo Cleaner vai proteger-me contra o malware?
O Combo Cleaner pode identificar e remover quase todos os tipos conhecidos de malware, mas deve-se notar que o malware avançado pode ocultar-se frequentemente profundamente no sistema. Por conseguinte, é necessário uma análise completa (completa) do sistema para assegurar uma detecção e remoção eficazes.
Excelente!
▼ Mostrar comentários