Como remover o malware Phemedrone do seu computador
Escrito por Tomas Meskauskas a
Que tipo de malware é o Phemedrone?
Phemedrone é um ladrão de informação codificado na linguagem de programação C#. Esse software malicioso foi projetado para reunir informações do sistema, capturar arquivos e roubar dados de navegadores da Web e aplicativos. Os utilizadores que suspeitam que os seus computadores estão infectados com Phemedrone devem remover o malware imediatamente.
Mais sobre Phemedrone
O Phemedrone stealer foi concebido para funcionar tanto em sistemas x32 como x64. O stealer utiliza um host HTTP para enviar todos os registos, permitindo ao atacante recolher a informação roubada remotamente. O malware está equipado com funcionalidades configuráveis de anti-análise, máquina virtual, anti-depurador e mutex para evitar a deteção.
Tem a capacidade de obter vários dados sensíveis, incluindo cookies, palavras-passe, dados de preenchimento automático e detalhes de cartões de crédito de navegadores baseados em Chromium e Gecko. Além disso, pode obter sessões de plataformas populares como Telegram, Steam e Discord. Além disso, pode roubar ficheiros de sistemas infetados.
Além disso, Phemedrone pode recolher informações sensíveis de carteiras criptográficas e fornecer informações detalhadas do sistema, incluindo hardware, geolocalização, informações do sistema operativo e até capturar imagens de ecrã. Funciona recolhendo todos os dados diretamente na memória sem depender de bibliotecas externas.
As vítimas do Phemedrone podem encontrar vários problemas devido às atividades desse ladrão de informações. Estes podem incluir o acesso não autorizado aos seus dados sensíveis, tais como palavras-passe, informações de cartão de crédito e carteiras de criptomoedas, o que pode levar ao roubo de identidade, perdas financeiras e potencial utilização indevida de contas pessoais.
A capacidade do malware para recolher informações do sistema e capturar imagens de ecrã pode comprometer a privacidade e expor dados sensíveis a partes não autorizadas. Além disso, as caraterísticas anti-deteção do Phemedrone dificultam a sua deteção e remoção, prolongando o potencial impacto no sistema da vítima e aumentando o risco de roubo contínuo de dados.
| Nome | Ladrão de informações Phemedrone |
| Tipo de ameaça | Ladrão de informações |
| Nomes de deteção | Avast (Win32:SpywareX-gen [Trj]), Combo Cleaner (Gen:Variant.Lazy.358520), ESET-NOD32 (Uma variante de MSIL/Spy.Agent.ENP), Kaspersky (HEUR:Trojan-PSW.MSIL.Stealer.gen), Microsoft (Trojan:MSIL/FormBook.CD!MTB), Lista completa (VirusTotal) |
| Sintomas | É comum que os ladrões de informação sejam concebidos para se infiltrarem furtivamente no computador da vítima e permanecerem silenciosos, pelo que nenhum sintoma particular é claramente visível numa máquina infetada. |
| Métodos de distribuição | Anexos de correio eletrónico infectados, anúncios online maliciosos, engenharia social, 'cracks' de software. |
| Danos | Passwords e informações bancárias roubadas, roubo de identidade, perda de acesso a contas online, perdas monetárias e outros problemas. |
| Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Ladrões de informação em geral
Os ladrões de informação, incluindo o Phemedrone e malware semelhante, partilham várias caraterísticas comuns. São concebidos para recolher informações sensíveis de sistemas comprometidos, tais como palavras-passe, dados financeiros e dados pessoais. Empregam frequentemente técnicas para evitar a deteção, tais como funcionalidades anti-vírus ou anti-máquina virtual.
Os ladrões de informação têm normalmente a capacidade de exfiltrar os dados roubados para servidores remotos controlados por agentes de ameaças. Além disso, visam frequentemente aplicações e navegadores populares para maximizar as hipóteses de capturar informações valiosas das vítimas. Exemplos de diferentes stealers são Ladrão Meduza, ThirdEye Stealer, e RedEnergy Stealer.
Como é que Phemedrone se infiltrou no meu computador?
Os utilizadores podem infetar os seus computadores através de vários meios. Um método comum é através do descarregamento e execução de ficheiros ou anexos maliciosos, tais como anexos de correio eletrónico infectados ou ficheiros descarregados de fontes não fidedignas. Visitar sítios Web comprometidos ou maliciosos e clicar em ligações ou anúncios enganadores também pode levar a infecções por malware.
Além disso, software desatualizado ou sistemas operativos com vulnerabilidades não corrigidas podem ser explorados por atacantes para obter acesso não autorizado e infetar o sistema.
Como evitar a instalação de malware?
Mantenha o seu sistema operativo e programas actualizados com os últimos patches de segurança, uma vez que o malware pode explorar vulnerabilidades. Tenha cuidado ao abrir anexos de correio eletrónico ou ao clicar em ligações, especialmente de fontes desconhecidas ou suspeitas. Utilize software antivírus de boa reputação e mantenha-o atualizado para procurar e remover malware.
Além disso, tenha em atenção as páginas que visita e transfira apenas software de fontes oficiais e fiáveis (por exemplo, sites oficiais e lojas verificadas). Não confie em anúncios que aparecem em sites suspeitos. Se acredita que o seu computador já está infetado, recomendamos executar uma verificação com Combo Cleaner para eliminar automaticamente o malware infiltrado.
Imagem usada para promover o Phemedrone:
Atualização de 16 de janeiro de 2024 - foi observada uma nova técnica utilizada para espalhar o Phemedrone stealer. Ela envolve a exploração de uma vulnerabilidade (rastreada como CVE-2023-36025), que afeta o Microsoft SmartScreen. A vulnerabilidade permite que ficheiros de atalho de Internet (.URL) especificamente criados se infiltrem no malware, evitando a deteção pelo SmartScreen. Embora tenham sido lançadas correcções para resolver este problema, muitas máquinas continuam vulneráveis.
Para elaborar uma das cadeias de infeção conhecidas do Phemedrone explorando o CVE-2023-36025, os ficheiros .URL maliciosos foram alojados no Discord, FileTransfer.io, e outros serviços. É provável que seja utilizado o encurtamento de URL.
Uma vez aberta, é estabelecida uma ligação ao servidor dos criminosos virtuais a partir do qual é descarregado e executado um Item do Painel de Controlo do Windows (.CPL). Isto deveria ser evitado pelo Microsoft SmartScreen, mas o processo é feito intencionalmente para evitar a deteção.
Além disso, os ficheiros .DLL são descarregados e executados; utilizam o PowerShell para obter (do GitHub) e lançar a fase seguinte do ataque. Inclui um carregador PowerShell bem ofuscado, que descarrega um arquivo ZIP do GitHub.
Este contém o WerFaultSecure.exe - um binário legítimo do Windows, e dois ficheiros maliciosos. Um é usado para a técnica de carregamento lateral de DLL, enquanto o outro é um carregador para outra fase. A infeção culmina com a infiltração do Phemedrone no sistema.
Captura de ecrã de um ficheiro de atalho que prolifera o Phemedrone usando o exploit descrito anteriormente:
Remoção automática instantânea do malware:
A remoção manual de ameaças pode ser um processo moroso e complicado que requer conhecimentos informáticos avançados. O Combo Cleaner é uma ferramenta profissional de remoção automática do malware que é recomendada para se livrar do malware. Descarregue-a clicando no botão abaixo:
▼ DESCARREGAR Combo Cleaner
O verificador gratuito faz uma verificação se o seu computador estiver infetado. Para usar a versão completa do produto, precisa de comprar uma licença para Combo Cleaner. 7 dias limitados para teste grátis disponível. O Combo Cleaner pertence e é operado por Rcs Lt, a empresa-mãe de PCRisk. Leia mais. Ao descarregar qualquer software listado no nosso website, concorda com a nossa Política de Privacidade e Termos de Uso.
Menu rápido:
- O que é a Phemedrone?
- PASSO 1. Remoção manual do malware Phemedrone.
- PASSO 2. Verifique se o seu computador está limpo.
Como remover malware manualmente?
A remoção manual de malware é uma tarefa complicada - normalmente é melhor permitir que os programas antivírus ou anti-malware façam isso automaticamente. Para remover esse malware, recomendamos o uso de Combo Cleaner.
Se desejar remover o malware manualmente, o primeiro passo é identificar o nome do malware que está a tentar remover. Aqui está um exemplo de um programa suspeito em execução no computador de um utilizador:
Se verificou a lista de programas em execução no seu computador, por exemplo, utilizando o gestor de tarefas, e identificou um programa que parece suspeito, deve continuar com estes passos:
Descarregar um programa chamado Autoruns. Este programa mostra as aplicações de arranque automático, o registo e as localizações do sistema de ficheiros:
Reiniciar o computador no modo de segurança:
Utilizadores do Windows XP e do Windows 7: Inicie o computador no modo de segurança. Clique em Iniciar, clique em Desligar, clique em Reiniciar e clique em OK. Durante o processo de arranque do computador, prima a tecla F8 no teclado várias vezes até ver o menu Opções avançadas do Windows e, em seguida, selecione Modo de segurança com ligação em rede na lista.
Vídeo que mostra como iniciar o Windows 7 no "Modo de segurança com rede":
Utilizadores do Windows 8: Iniciar o Windows 8 no modo de segurança com rede - Aceda ao ecrã Iniciar do Windows 8, escreva Avançadas e, nos resultados da pesquisa, selecione Definições. Clique em Opções de arranque avançadas, na janela aberta "Definições gerais do PC", selecione Arranque avançado.
Clique no botão "Reiniciar agora". O computador será reiniciado no menu "Opções avançadas de inicialização". Clique no botão "Resolução de problemas" e, em seguida, clique no botão "Opções avançadas". No ecrã de opções avançadas, clique em "Definições de arranque".
Clique no botão "Reiniciar". O PC será reiniciado no ecrã Definições de arranque. Prima F5 para iniciar no modo de segurança com ligação em rede.
Vídeo que mostra como iniciar o Windows 8 no "Modo de segurança com rede":
Utilizadores do Windows 10: Clique no logótipo do Windows e selecione o ícone Energia. No menu aberto, clique em "Reiniciar" mantendo premido o botão "Shift" do teclado. Na janela "escolher uma opção", clique em "Resolução de problemas" e, em seguida, selecione "Opções avançadas".
No menu de opções avançadas selecione "Definições de arranque" e clique no botão "Reiniciar". Na janela seguinte, deve clicar no botão "F5" do seu teclado. Isto irá reiniciar o seu sistema operativo em modo de segurança com rede.
Vídeo que mostra como iniciar o Windows 10 no "Modo de segurança com rede":
Extraia o ficheiro descarregado e execute o ficheiro Autoruns.exe.
Na aplicação Autoruns, clique em "Options" (Opções) na parte superior e desmarque as opções "Hide Empty Locations" (Ocultar locais vazios) e "Hide Windows Entries" (Ocultar entradas do Windows). Após este procedimento, clique no ícone "Refresh" (Atualizar).
Verifique a lista fornecida pela aplicação Autoruns e localize o ficheiro de malware que pretende eliminar.
Deve anotar o seu caminho e nome completos. Note que alguns malwares escondem nomes de processos sob nomes de processos legítimos do Windows. Nesta fase, é muito importante evitar a remoção de ficheiros de sistema. Depois de localizar o programa suspeito que deseja remover, clique com o botão direito do rato sobre o seu nome e escolha "Eliminar".
Depois de remover o malware através da aplicação Autoruns (isto assegura que o malware não será executado automaticamente no próximo arranque do sistema), deve procurar o nome do malware no seu computador. Certifique-se de que ativa os ficheiros e pastas ocultos antes de continuar. Se encontrar o nome do ficheiro do malware, certifique-se de que o remove.
Reinicie o computador no modo normal. Seguir estes passos deverá remover qualquer malware do seu computador. Tenha em atenção que a remoção manual de ameaças requer conhecimentos informáticos avançados. Se não tiver esses conhecimentos, deixe a remoção de malware para os programas antivírus e anti-malware.
Estes passos podem não funcionar com infecções avançadas de malware. Como sempre, é melhor prevenir a infeção do que tentar remover o malware mais tarde. Para manter o seu computador seguro, instale as últimas actualizações do sistema operativo e utilize software antivírus. Para ter a certeza de que o seu computador está livre de infecções por malware, recomendamos que o analise com Combo Cleaner.
Perguntas Frequentes (FAQ)
O meu computador está infetado com o malware Phemedrone, devo formatar o meu dispositivo de armazenamento para me livrar dele?
A formatação deve ser considerada como último recurso se outros métodos, tais como a utilização de software antivírus como o Combo Cleaner, não tiverem sido bem sucedidos na remoção do malware.
Quais são os maiores problemas que o malware pode causar?
O malware pode levar a violações de dados, comprometendo informações sensíveis e pessoais, como detalhes financeiros, palavras-passe, etc. Além disso, o malware pode perturbar a funcionalidade do sistema, causando falhas no sistema, desempenho lento e perda de dados. Além disso, pode facilitar o acesso não autorizado ao sistema infetado, permitindo que os criminosos virtuais controlem o dispositivo comprometido e potencialmente lancem outros ataques.
Qual é o objetivo do Phemedrone?
O Phemedrone, um malware que rouba informações, tem como objetivo recolher dados sensíveis dos sistemas infectados. Tem como objetivo recolher vários tipos de informação, tais como detalhes do sistema, ficheiros, dados de navegadores e aplicações, cookies, palavras-passe, dados de preenchimento automático, detalhes de cartões de crédito e até informações de sessão de plataformas específicas como Telegram, Steam e Discord.
Como é que um malware se infiltrou no meu computador?
Os métodos mais comuns incluem clicar em links maliciosos ou descarregar ficheiros infectados de fontes não fidedignas, abrir anexos de correio eletrónico de remetentes desconhecidos ou suspeitos, visitar sites comprometidos ou maliciosos ou explorar vulnerabilidades em software ou sistemas operativos desactualizados. Além disso, o malware pode ser espalhado através de dispositivos externos infectados, como unidades USB, ou através de ataques baseados em rede que visam sistemas desprotegidos ou pouco seguros.
O Combo Cleaner protege-me do malware?
O Combo Cleaner detecta e remove eficazmente quase todas as infecções de malware conhecidas. O malware sofisticado muitas vezes esconde-se profundamente dentro do sistema. Por isso, a realização de uma verificação abrangente do sistema é essencial para garantir a deteção completa e a erradicação desse malware topo de gama.
Excelente!
▼ Mostrar comentários