Neptunus RAT -haittaohjelma Windowsissa: Varokaa YouTube- ja Telegram-linkkejä

Neptune RAT on vaarallinen haittaohjelma, joka hyökkää Windows-laitteisiin. Se salaa tiedostoja, varastaa salasanoja ja kiertää suojausohjelmat. Suojaaminen on kuitenkin helppoa oikeilla toimenpiteillä.

Neptune RAT on yksi älykkäimmistä haittaohjelmista, jotka kohdistuvat Windows-laitteisiin. Se hyödyntää sivustoja, kuten YouTube ja Telegram, ohittaakseen Windows Defenderin ja muut virustorjuntatyökalut. Sen vaikutuksiin kuuluu tiedostojen salaaminen lunnailla, salasanojen varastaminen ja Windows 11:n Master Boot Recordin (MBR) poistaminen. Huolimatta sen vakavuudesta, Windows-laitteen suojaaminen Neptune RAT:lta on yllättävän helppoa.

Miksi Neptune RAT on niin vaarallinen

Neptune RAT -haittaohjelma löydettiin ensimmäisen kerran tietoturvayritys Cyfirmalta. “RAT” tarkoittaa etäyhteys Troijalaista. Se on tiedosto, joka avattaessa antaa hyökkääjälle kontrollin tietokoneeseesi kaukaa. Tyypillisesti Windows estää nämä yritykset. Sitä vartenhan virustorjuntaohjelmat ovat olemassa.

Kuitenkin Neptune RAT on äärimmäisen kekseliäs, peittäen haitallisen koodinsa arabian kielellä ja emotikoilla, kiertäen palomuurisi, Windows Defenderisi ja muut virustorjuntatyökalut. Se jopa tietää, käytätkö virtuaalikonetta (VM). Käyttäjän puolella se kutsuu kahta yksinkertaista PowerShell-komentoa tartuttaakseen PC:si:

• irm (Invoke-RestMethod): tuo sisältöä, kuten ohjelmistoja verkkosivustoilta, kuten GitHub.
• iex (Invoke-Expression): suorittaa ladatun materiaalin skripti-ohjelmana.

Kiteytettynä eräät skriptit päätyvät Windows-kansioihisi. Tämän jälkeen tietokoneesi muodostaa yhteyden hyökkääjän palvelimeen.

Niinkin vaarallista ja sitkeää haittaohjelmaa ei ole nähty Windowsissa pitkään aikaan. Se käyttää monia DLL-tiedostoja häiritäkseen järjestelmääsi. Ne voivat lukita PC-tietosi (lunnaat), varastaa salasanoja yli 270 ohjelmasta, kuten Chrome- ja Brave-selaimista, napata kaiken, mitä kopioit ja liität, muuttaa rekisteriasetuksiasi ja jopa pyyhkiä Master Boot Recordisi (MBR).

Huonoin osa? Neptune RAT leviää tällä hetkellä sosiaalisen median kautta: YouTube, GitHub, Telegram ja muut linkit. Useimmat ihmiset luottavat luonnostaan YouTubeen, ja ensimmäistä kertaa tämä luottamus on rikottu. Nyt on erittäin helppoa hakkerien julkaista video, jossa sanotaan: “Klikkaa alla olevaa linkkiä saadaksesi 500 dollaria käteisenä”, ja sitten tarjota Neptune RAT -suoritettava tiedosto, joka voidaan naamioida tavalliseksi tekstiksi.

Ratkaisuja Neptune RAT -haittaohjelmalle

Neptune RAT:n vaarat ovat monet. Se livahtaa ohi kaikista haittaohjelmatiheikkelytyökaluista, eikä vaadi edes tiedostojen lataamista. Huolimatta suuresta haavoittuvuudesta, ratkaisut Windows-käyttäjille ovat melko yksinkertaisia.

Windows-käyttäjille, jotka tietävät PowerShellista

PowerShell hyödyntää ominaisuutta nimeltä “Rajoitettu kielitila”, joka rajoittaa sovellusta suorittamaan vain perustoimintoja. Kun se määrätään, se ei voi enää käyttää verkkosivustoresursseja irm ja iex -komentojen avulla, joten Neptune RAT:n käyttö estyy.

$ExecutionContext.SessionState.LanguageMode = "ConstrainedLanguage"

Jos haluat pakottaa rajoitetun kieliasetuksen kaikille tietokoneesi käyttäjille, käytä seuraavaa komentoa:

Set-ExecutionPolicy -Scope LocalMachine -ExecutionPolicy Restricted -Force

Jos haluat peruuttaa yllä olevan asetuksen, paluu takaisin “Täyteen kielen” -tilaan, ja voit alkaa lataamaan irm- ja iex-komentojasi jälleen.

$ExecutionContext.SessionState.LanguageMode = "FullLanguage"

Kunnes Windows julkaisee asianmukaisen ratkaisun, on parasta pitää ne pois päältä.

On olemassa toinen vaihtoehto. Jos et käytä PowerShellia paljon, voit täysin estää PowerShellin pääsyn Internetiin. Tämän jälkeen, kun yrität suorittaa irm/iex-komentoja, se aiheuttaa virheen PowerShellissa.

New-NetFirewallRule -Name "BlockPowerShellOutbound" -DisplayName "Estä PowerShellin ulospäinsuuntautuvat yhteydet" -Enabled True -Direction Outbound -Program "%SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe" -Action Block

Poista verkkotason estosääntö seuraavalla komennolla:

Remove-NetFirewallRule -Name "BlockPowerShellOutbound"

Se, että PowerShellia ei voi käyttää verkkotoimintaan, on pieni haitta, ottaen huomioon Neptune RAT -uhkan vakavuuden. Näen tämän parhaana ratkaisuna.

Ei-tekniikan asiantuntijoille

Jos käytät YouTubea tai Telegramia Windows-tietokoneella, voit pysyä turvassa Neptune RATilta välttämällä linkkien klikkaamista videon kuvauksissa – vaikka videon tekijät pyytäisivätkin niin. He saattavat tarjota alennuksia tai lupaavat ratkaista turvallisuusongelmia. Tällaisia pyyntöjä esiintyy usein pelivideoissa tai eettisen hakkeroinnin aiheissa, mutta ne voivat olla myös elokuvaklippejä tai muissa aiheissa. Sinun tulisi lopettaa tuntemattomien linkkien klikkaaminen, vaikka ystävät tai perheesi jakaisivat niitä sosiaalisessa mediassa.

Muita suosituksia satunnaisille Windows-käyttäjille, jotka kamppailevat Neptune RATin kanssa:

• Käytä todennusappia: Windows-laitteella todennusappi on paras tapa suojautua tunkeutujilta, jotka yrittävät päästä käsiksi arkaluontoisiin tiliin.
• Käytä päätepisteen suojausratkaisuja: Ainoa tapa havaita tiedostottomia haittaohjelmia, kuten Neptune RAT, on käyttää päätepisteen suojausohjelmistoa, kuten Microsoft Defender, joka on erilainen kuin Windowsin suojaus. Ne tekevät paljon parempaa työtä epäilyttävään toimintaan reagoimisessa PowerShellissä.

Nyt kun olet lukenut Neptunus RAT -haittaohjelma Windowsissa: Varokaa YouTube- ja Telegram-linkkejä loppuun, kutsumme sinut tutustumaan lisää Windows-kategoriaan. Löydät sieltä muita mielenkiintoisia artikkeleita, jotka laajentavat tietojasi ja pitävät sinut ajan tasalla. Älä lopeta lukemista ja löytämistä!