Τι είναι lsass.exe? Συνίσταται αφαίρεση?

lsass.exe — ένα αρχείο συστήματος που μπορεί να χρησιμοποιηθεί για “μεταμφίεση” malware 

Το lsass.exe είναι μια νόμιμη Windows διεργασία γνωστή ως Local Security Authority Service. Το εκτελέσιμο αρχείο lsass.exe βρίσκεται στη τοποθεσία “C:\WINDOWS\SYSTEM32\” και δε μπορεί να τερματιστεί μέσα από τη Διαχείριση Εργασιών (Windows Task Manager). Εάν τερματιστεί από τον χρήστη μπορεί να οδηγήσει σε πλήθος λειτουργικών προβλημάτων συστήματος. Επομένως, συνιστούμε να ΜΗΝ το κάνεις.

Ωστόσο, έχει διαπιστωθεί οτι το αρχείο μπορεί να χρησιμοποιηθεί για τη “μεταμφίεση” malware. Κατόπιν ερευνών και δοκιμών, φτάσαμε στο συμπέρασμα οτι το ίδιο όνομα αρχείου έχει χρησιμοποιηθεί σε κακόβουλες δραστηριότητες εξόρυξης κρυπτονομισμάτων (cryptocurrency mining). Το κακόβουλο λογισμικό εξόρυξης (miner) τρέχει το lsass.exe στο παρασκήνιο του συστήματος και προσποιείται οτι είναι νόμιμο εκτελέσιμο αρχείο. Απώτερος σκοπός του κακόβουλου miner είναι η δέσμευση του μεγαλύτερου μέρους ή ακόμα και του συνόλου των διαθέσιμων πόρων του συστήματος-στόχου για τη μέγιστη δυνατή εξόρυξη κρυπτονομισμάτων (cryptocurrency mining). Για να τσεκάρεις εάν το lsass.exe που τρέχει στο σύστημα του υπολογιστή σου είναι κακόβουλο ή όχι, επιβάλλεται διάγνωση συστήματος.

Θα πρέπει να σημειωθεί οτι το αυθεντικό νόμιμο αρχείο αποτελεί σημαντικό συστημικό αρχείο, το οποίο ΔΕΝ πρέπει να αφαιρεθεί ή να τερματιστεί η λειτουργία του, καθώς ευθύνεται για τη διαχείριση σημαντικών διεργασιών, όπως πχ.:

• εφαρμογή πολιτικών ασφαλείας
• επαλήθευση χρήστη κατά τη σύνδεση σε Windows υπολογιστή ή server
• διαχείριση αλλαγών σε κωδικούς πρόσβασης
• συμβολή στις παραμέτρους πρόσβασης.

Ωστόσο, εάν διαπιστώσεις οτι η τοποθεσία του συγκεκριμένου εκτελέσιμου αρχείου δε βρίσκεται σε C:\Windows\System32, αλλά σε κάποιο άλλο directory, ή εάν διαπιστώσεις οτι χρησιμοποιεί εξαιρετικά μεγάλο ποσοστό διαθέσιμων CPU πόρων, τότε ενδέχεται το σύστημα του υπολογιστή σου να έχει μολυνθεί με malware. Δυστυχώς, οι κυβερνο-εγκληματίες έχουν τη τάση να χρησιμοποιούν τα ονόματα δημοφιλών ή σημαντικών αρχείων για να “μεταμφιέζουν” τα malware τους ώστε αυτά τα κακόβουλα προγράμματα να μπορούν να διεισδύουν και να δρουν απαρατήρητα σε συστημάτα-στόχους. Επομένως, είναι εξαιρετικά σημαντικό να τσεκάρεις εάν πρόκειται για την νόμιμη ή την κακόβουλη έκδοση του συγκεκριμένου εκτελέσιμου αρχείου. Εάν πρόκειται για την κακόβουλη έκδοση, επιβάλλεται η άμεση και ολοκληρωτική αφαίρεση του κακόβουλου lsass.exe από το σύστημα του υπολογιστή σου.

Υπάρχουν ορισμένες περιπτώσεις όπου το εκτελέσιμο αρχείο lsass.exe δρούσε ουσιαστικά ως κακόβουλη διεργασία εξόρυξης κρυπτονομισμάτων (crypto mining). Η συγκεκριμένη κακόβουλη έκδοση έχει ως απώτερο στόχο να τρέχει παρασκηνιακά την εξόρυξη κρυπτονομισμάτων κάτω από τη “μεταμφίεση” του νόμιμου αυτού αρχείου. Να υπενθυμίσουμε οτι το νόμιμο αρχείο είναι ουσιαστικά η τοπική διεργασία ασφαλούς ταυτοποίησης των Windows (local security authentication Windows process). Φυσικά, η κακόβουλη έκδοση δεν έχει καμία απολύτως σχέση με τη νόμιμη. 

Ο ιός lsass.exe virus στοχεύει στην εξόρυξη κρυπτονομισμάτων χρησιμοποιώντας κρυφά και παράνομα τους διαθέσιμους πόρους των συστημάτων-στόχων. Κατά τη διάρκεια της εξόρυξης παρατηρείται υπερ-εκμετάλλευση των διαθέσιμων CPU και GPU πόρων του συστήματος. Έτσι, ο υπολογιστής αρχίζει να δυσλειτουργεί και παρατηρούνται ολοένα και συχνότερα κρασαρίσματα προγραμμάτων και συστήματος. Εξαιτίας αυτής της κακόβουλης δραστηριότητας, ενδέχεται να αρχίσουν να εμφανίζονται ακόμα και μηνύματα σφάλματος ή blue screen σφάλματα. 

Διαπιστώθηκε οτι οι κυβερνο-εγκληματίες έχουν τη τάση να γράφουν το κακόβουλο αρχείο lsass.exe με “ι” αντί για “Ι”. Χάρις σε αυτή την πολύ διακριτική διαφοροποίηση, οι περισσότεροι χρήστες δεν αντιλαμβάνονται τη διαφορά. Ορισμένες σημαντικές ενδείξεις που δείχνουν οτι ο υπολογιστής σου μπορεί να έχει μολυνθεί, είναι οι εξής:

• γενική επιβράδυνση συστήματος υπολογιστή
• προγράμματα που κρασάρουν ή δεν ανταποκρίνονται
• πολλές εμφανίσεις διαφημίσεων
• browser ανακατευθύνσεις προς αμφιβόλου αξιοπιστίας / ασφάλειας sites
• εμφάνιση ειδοποιήσεων σφάλματος
• αυθαίρετες / κρυφές εγκαταστάσεις άγνωστων προγραμμάτων ή browser επεκτάσεων.

Όσες περισσότερες από τις παραπάνω ενδείξεις διαπιστώσεις τόσο μεγαλύτερες οι πιθανότητες το σύστημα του υπολογιστή σου να έχει μολυνθεί με ιό, ο οποίος θα τρέχει κρυφά και παρασκηνιακά διάφορες κακόβουλες διεργασίες. Παρόλο που η αυθεντική έκδοση του εκτελέσιμου αρχείου είναι ασφαλής, ωστόσο, φυσικά, δεν ισχύει το ίδιο για την κακόβουλη παραλλαγή του.

Για τη σωστή λειτουργία συστήματος και προγραμμάτων επιβάλλεται να προβαίνεις τακτικά σε όλες τις απαραίτητες ενημερώσεις των εγκαταστημένων προγραμμάτων και drivers του συστήματος. Για να τσεκάρεις την κατάσταση ασφαλείας του υπολογιστή σου, επιβάλλεται να προβείς σε σάρωση συστήματος με κάποιο πλήρως ενημερωμένο κι αξιόπιστο λογισμικό ασφαλείας anti-malware. Προτείνουμε το εξαιρετικό και πολυδοκιμασμένο RestoroIntego ή το Malwarebytes. Η αναφορά διάγνωσης που θα εμφανίσει το λογισμικό ασφαλείας θα δείξει εάν είναι απαραίτητη η ολοκληρωτική αφαίρεση του lsass.exe ή όχι.

Ένα μόνο κλικ σε κάποια μολυσμένη email επισύναψη μπορεί να εκθέσει το σύστημα σε κυβερνο-μολύνσεις

Το αυθεντικό αρχείο εμφανίζεται στο σύστημα καθώς συμπεριλαμβάνεται στα Windows OS. Ωστόσο, το κακόβουλο αρχείο μπορεί να διεισδύσει στο σύστημα του υπολογιστή εφαρμόζοντας διάφορες κακόβουλες / παραπλανητικές μεθόδους διαδικτυακής εξάπλωσης, όπως πχ.:

• όταν ο χρήστης ανοίξει κάποια κακόβουλη email επισύναψη
• όταν κάποια παραπλανητική διαφήμιση πείσει τον χρήστη να εγκαταστήσει κάποιο “μαϊμού” λογισμικό ή παραπλανητική ενημέρωση
• όταν ο χρήστης κατεβάζει παράνομο ή κρακαρισμένο λογισμικό
• όταν ο χρήστης περιηγείται σε αμφιβόλου αξιοπιστίας / ασφάλειας websites.

ΜΗΝ κατεβάζεις ή ανοίγεις ύποπτες email επισυνάψεις, κυρίως αν αυτές έχουν σταλθεί στον φάκελο με τα Ανεπιθύμητα (Spam). Σε αυτό τον φάκελο στέλνονται αυτόματα emails που το σύστημα του browser έχει χαρακτηρίσει ως άχρηστα / ενοχλητικά / μολυσμένα / παραπλανητικά. ΜΗΝ ξεχνάς οτι οι cryptominers δεν αστειεύονται. Αν ένα τέτοιο κακόβουλο πρόγραμμα διείσδυσει στο σύστημα του υπολογιστή σου είναι πολύ άσχημα νέα.

Επομένως, συμβουλεύουμε τους χρήστες να είναι ιδιαιτέρως προσεκτικοί όταν περιηγούνται στο διαδίκτυο, κυρίως όταν κατεβάζουν προγράμματα κι αρχεία από άγνωστες πηγές. Θα πρέπει να κατεβάζεις λογισμικό ή ενημερώσεις μόνο από τα επίσημα websites του εκάστοτε προγράμματος. Μη βιάζεσαι κατά την λήψη / εγκατάσταση, θέλει πολύ μεγάλη προσοχή καθόλη τη διάρκεια. 

Εάν επιβεβαιωθεί οτι είναι κακόβουλο, επιβάλλεται η άμεση κι ολοκληρωτική αφαίρεση του lsass.exe 

Πριν προχωρήσεις με την αφαίρεση του lsass.exe, θα πρέπει να σιγουρευτείς ότι πρόκειται για κακόβουλη παραλλαγή. Για να έχεις το κεφάλι σου ήσυχο, συνιστούμε να προβείς σε σάρωση συστήματος με κάποιο πλήρως ενημερωμένο κι αξιόπιστο λογισμικό ασφαλείας anti-malware, όπως πχ. το RestoroIntego ή το Malwarebytes. Προσοχή! Εάν κατά λάθος διαγράψεις το αυθεντικό εκτελέσιμο αρχείο, αυτό θα επηρεάσει πολύ αρνητικά τη γενικότερη λειτουργία κι ευστάθεια του συστήματος.

Έτσι, το λογισμικό ασφαλείας αποτελεί μια αποτελεσματική κι ασφαλή επιλογή. Θα προβεί αυτόματα σε εντοπισμό, εξακρίβωση, και ολοκληρωτική διαγραφή του lsass.exe (εάν πρόκειται για κακόβουλη παραλλαγή), συμπ. και όλων των βοηθητικών αρχείων που τυχόν κατάφεραν να διεισδύσουν κρυφά στο σύστημα του υπολογιστή. Τέλος, είναι πολύ σημαντικό το λογισμικό ασφαλείας antivirus / anti-malware να ενημερώνεται τακτικά ώστε να είναι πάντα “ετοιμοπόλεμο” και αποτελεσματικό εναντίον ακόμα και των πιο πρόσφατων κυβερνο-απειλών.