Señales comunes de sistema comprometido y formas de defenderse

En el espectro actual de posibles amenazas, los motores AV son algo que nos brinda relajación. Sin embargo, estos estafadores son horriblemente inexactos, especialmente cuando los exploits duran 24 horas o más. Los hackers siempre intentan cambiar sus tácticas. Por lo tanto, cualquier malware previamente reconocido podría ser irreconocible con un intercambio de unos pocos bytes.

Lo que debe hacer en tal caso es eliminar las aplicaciones sospechosas en VirusTotal de Google que tiene más de 60 escáneres antimalware para ver que las tasas de detección no son todo lo que se anuncia.

Para combatir esta situación, muchas herramientas AV monitorean el comportamiento de los programas y otras utilizan entornos virtualizados, monitoreo del sistema, detección de tráfico de red y todo lo anterior para mayor precisión. Aún así, si caen, debe saber cómo detectar una infección de malware. Aquí, con este artículo, proporcionamos 15 señales que le informan que sus PC han sido pirateadas. Además, se le guiará sobre cómo debe defenderse en tales situaciones.

Signos comunes de infección

  • Recibe una nota de rescate
  • Ve un mensaje antivirus falso
  • Tiene barras de herramientas de navegador no deseadas
  • Redirección a búsquedas en Internet
  • Ventanas emergentes aleatorias
  • Tus amigos reciben algún tipo de invitaciones de tus cuentas de redes sociales sin que tú lo hagas.
  • La contraseña en línea no funciona
  • Observa instalaciones de software inesperadas
  • El mouse se mueve entre programas y realiza selecciones
  • Las herramientas antivirus cruciales, el administrador de tareas o el editor del registro se desactivan
  • Pérdida financiera de su cuenta
  • Notificaciones que reclaman sobre piratería de sistemas
  • Fuga de datos confidenciales
  • Las credenciales están en un volcado de contraseñas
  • Patrones de tráfico de red extraños

 Los sistemas comprometidos dejan de ser confiables. Necesita restaurar completamente el sistema. Anteriormente, esto significaba formatear la computadora y restaurar todos los programas y datos. Pero hoy, podría significar simplemente hacer clic en el botón Restaurar. Las guías mencionadas a continuación lo ayudarán a recuperarse de todas las situaciones mencionadas anteriormente, sin embargo, siempre se recomienda la restauración completa del sistema.

  1. Recibes una nota de rescate

Este es uno de los peores mensajes que ven los usuarios en la pantalla de su computadora. El mensaje informa que se ha realizado el cifrado de datos en su sistema, lo que hace que todos los archivos sean inaccesibles. A los usuarios se les exige cierta cantidad de dinero para desbloquearlos. Esta infección está frenando pequeñas empresas, grandes empresas, hospitales, comisarías de policía y entre ciudades. Más del 50% de las víctimas envían el pago pensando que no desaparecerá pronto. Sin embargo, el pago no es la solución, ya que la mayoría de las víctimas terminan con muchos días de inactividad y pasos de recuperación adicionales incluso si envían el pago.

La forma en que debe reaccionar en esta situación: debe buscar algunas copias de seguridad buenas, confiables, probadas y sin conexión. Usted corre el riesgo de no tener una buena copia de seguridad probada que sea inaccesible para intrusos malintencionados. Si está utilizando el servicio de almacenamiento de archivos en la nube, probablemente haya tenido copias de seguridad de sus datos. Sin embargo, no todos los servicios de almacenamiento en la nube tienen la capacidad de recuperarse de los ataques de ransomware y algunos servicios no cubren todos los tipos de archivos. A veces, el soporte técnico puede ayudar en la recuperación de archivos. Por último, varios sitios pueden ayudarlo en la recuperación de archivos sin pagar el rescate. Descubren el cifrado secreto compartido o alguna otra forma de aplicar ingeniería inversa al ransomware.

  1. Ves un mensaje antivirus falso

Aparece una ventana emergente en la computadora que informa sobre la infección del sistema. Las principales razones por las que aparecen estos mensajes emergentes son el sistema comprometido o está comprometido más allá del mensaje emergente.

Lo que debe hacer: simplemente cierre la pestaña y reinicie su navegador, si tiene la suerte, encontrará que todo está configurado. A veces, reiniciar el navegador recarga la página original que forzó los anuncios falsos. En tales casos, debe reiniciar el navegador en modo incógnito, ya que puede navegar a una página diferente y evitar que aparezca el mensaje AV falso. En el peor de los casos, estos mensajes AV han comprometido su computadora. Si este es el caso, debe guardar todo y luego restaurar el sistema a la imagen limpia conocida anterior.

Nota: Una estafa relacionada es la estafa de soporte técnico. En este, el mensaje emergente del navegador dice que su sistema ha sido comprometido y le pide que llame al número proporcionado para obtener ayuda de soporte técnico. A menudo, tales advertencias afirman ser de Microsoft o Apple si lo está utilizando. Los estafadores te piden que instales un programa que luego les brinda acceso remoto. A continuación, ejecutarán un análisis antivirus falso que, como es lógico, encontrará muchos problemas. Luego se le solicita que les pague una cierta cantidad de tarifa para que la aplicación sea completamente funcional. Afortunadamente, este tipo de estafa generalmente se puede derrotar reiniciando el sistema o cerrando el programa del navegador y evitando el sitio web que lo alojó en usted.

  1. Tiene barras de herramientas de navegador no deseadas

Podrías ver varias barras de herramientas nuevas que supuestamente parecen ayudarte. Este es un signo común de explotación. Debe solicitar que se descarguen las barras de herramientas de errores, a menos que reconozca que la barra de herramientas proviene de proveedores conocidos.

 Qué debe hacer: la mayoría de las veces, los navegadores pueden revisar las barras de herramientas instaladas y activas. Pueden eliminarlos si no los quieren. Cuando tenga alguna duda, simplemente elimínela. Si la barra de herramientas falsa no aparece en la lista o no puede eliminarla fácilmente, vea si el navegador tiene una opción para restablecerlo a su configuración predeterminada. si esto no funciona, siga las instrucciones que se enumeran en cómo tratar los mensajes antivirus falsos.

  1. Redirección a búsquedas en Internet

Muchos piratas informáticos obtienen ingresos al redirigirlo a páginas no deseadas, se les paga por los clics que aparecen en el sitio web de otra persona. A menudo no tienen idea de que los c licks a sus sitios provienen de redirecciones maliciosas. Para detener este tipo de infección, escriba algunos trabajos como puppoy o goldfish en el motor de búsqueda de Internet y verifique si el mismo sitio web aparece en los resultados; en casi todos los casos, los resultados no son relevantes para las búsquedas.

Si es general, las barras de herramientas falsas causan tales redireccionamientos. Los usuarios técnicos que quieran confirmar pueden olfatear su navegador o tráfico. El tráfico enviado y devuelto siempre será claramente diferente en la computadora comprometida y en una computadora no comprometida.

Qué hacer: debería ver las recomendaciones proporcionadas sobre cómo eliminar herramientas falsas. Además, si está en una computadora con Microsoft Windows, verifique el archivo C: \ Windows \ System32 \ drivers \ etc \ hosts para ver si hay alguna configuración de redirecciones de aspecto malicioso dentro.

  1. Ventanas emergentes aleatorias

Cuando recibe ventanas emergentes aleatorias de sitios web que normalmente no las generan, esto es una indicación de que su sistema se vio comprometido.

Qué hacer: debe deshacerse de todas las barras de herramientas falsas y otros programas si constantemente ve ventanas emergentes en sitios aleatorios. Normalmente, estos mecanismos maliciosos anteriores mencionados anteriormente generan estas ventanas emergentes

  1. Tus amigos reciben algún tipo de invitaciones de tus cuentas de redes sociales sin que tú lo hagas.

Muchos de nosotros hemos visto esto una vez antes de que hay una invitación a “ser amigo” para quien ya es amigo en la plataforma de redes sociales. En tales casos, empezamos a pensar por qué me vuelven a invitar. ¿Me quitaron la amistad antes en el sitio de redes sociales y ahora me están invitando de nuevo? Entonces, el sitio de redes sociales del amigo puede estar desprovisto de otros amigos irreconocibles y todas las publicaciones anteriores pueden eliminarse. O podría ser el caso, el amigo se está comunicando contigo para averiguar por qué estás enviando nuevas solicitudes de amistad. Aquí surgen dos posibilidades: o los piratas informáticos controlan su sitio de redes sociales y han creado una segunda página falsa casi parecida o usted o su amigo han instalado una aplicación maliciosa.

Qué hacer: en primer lugar, advierta a otros amigos que no acepten la solicitud de amistad inesperada. Luego, si no es el primero, comuníquese con el sitio de la red social e informe el sitio o la solicitud como falsa. Puede encontrar la forma de informar solicitudes de errores mediante la búsqueda en la ayuda en línea. A menudo, es una tarea fácil: se requiere hacer clic en uno o dos botones para completar el proceso. Si el sitio de redes sociales está realmente pirateado, deberá cambiar su contraseña.

Le recomendamos que no se tome el tiempo necesario para cambiar a la autenticación multifactor. De esta manera, las aplicaciones no autorizadas no pueden robar y apoderarse fácilmente de su presencia en las redes sociales. Por último, tenga cuidado al descargar e instalar aplicaciones de redes sociales. Debe inspeccionar la aplicación instalada asociada con su cuenta / página de redes sociales y eliminar todas menos las que desea descargar.

  1. La contraseña en línea no funciona

Si ha escrito las contraseñas correctamente y luego descubre que no funcionan, es probable que un pirata informático deshonesto haya iniciado sesión con su contraseña y la haya cambiado para mantenerlo fuera. Sin embargo, no debes apresurarte a meterte en este resultado ya que en muchos casos, lo que hemos observado es que diversas dificultades técnicas no permiten que la contraseña sea válida por poco tiempo. Por lo tanto, debe volver a intentarlo después de 10 a 30 minutos e incluso entonces encuentra el mismo problema, es probable que el caso anterior sea cierto.

En un escenario, las víctimas respondieron a un correo electrónico de phishing de apariencia auténtica que supuestamente afirma ser del servicio. Los actores maliciosos lo utilizan para recopilar la información de inicio de sesión, iniciar sesión, cambiar la contraseña y utilizar los servicios para robar dinero de las víctimas o de sus conocidos.

Qué hacer: en primer lugar, notifique a todos sus contactos cercanos sobre su cuenta comprometida. Esto minimizará cualquier daño a otros debido a su error. Después de esto, comuníquese con el servicio en línea para informar la cuenta comprometida. La mayoría de los servicios en línea ahora tienen métodos sencillos o direcciones de contacto de correo electrónico para informar sobre cuentas comprometidas. Si informa sobre el comprometido, el servicio lo ayudará a restaurar el acceso legítimo.

  1. Observa instalaciones de software inesperadas

La instalación de software no deseada e inesperada es una señal de que el sistema está comprometido. En los primeros días, la mayoría de los programas eran virus informáticos que modificaban otros programas legítimos para ocultarse en el sistema. La mayor parte del malware de estos días son troyanos y gusanos que normalmente se instalan como programas legítimos.

Qué hacer: hay varias aplicaciones que le permiten ver todas las aplicaciones instaladas y deshabilitar las deseadas. Autoruns o Process Explorer es uno de esos comprobadores que se proporcionan de forma gratuita. Esta aplicación basada en Microsoft le dirá cuáles se inician automáticamente cuando se reinicia el sistema (Autoruns) o las que se están ejecutando actualmente (Proces Explorer).

La mayor parte del malware informático se puede encontrar incrustado en una lista mucho mayor de programas legítimos en ejecución. Las partes difíciles te ayudan a determinar qué es legítimo y qué no. Puede habilitar las opciones de Comprobar VirusTotal.com para saber cuáles considera que son malware. En caso de duda, desactive todos los programas no reconocidos, reinicie el dispositivo y vuelva a activar el programa solo si algunas funciones necesarias ya no funcionan.

  1. El mouse se mueve entre programas y realiza selecciones

El puntero se mueve mientras hace selecciones que funcionan indica una infección del sistema. Estos problemas surgen con mayor frecuencia debido a problemas de hardware. Si los movimientos implican tomar decisiones para ejecutar ciertos programas, habrá más posibilidades de que algunos malos actores se involucren detrás de ellos. La técnica que podrían usar no es tan común como otros ataques. Entrarán en una computadora, esperarán a que esté inactiva durante mucho tiempo y luego intentarán robar su dinero. Romperán cuentas bancarias, transferirán dinero, cambiarán tus zapatos y harán todo tipo de actividades deshonestas.

Qué debe hacer: debe cobrar vida una noche en particular y tomarse un momento antes de apagarlo para determinar en qué están realmente interesados ​​los intrusos. Será útil ver lo que están mirando y tratando de comprometerse. Tome algunas fotografías para documentar sus tareas. Cuando tenga algún sentido, encienda la computadora, desenchúfelo de todas las redes y llame a los profesionales.

Usando otra computadora, cambie sus nombres de inicio de sesión y contraseñas y verifique el historial de transacciones de la cuenta bancaria, las cuentas de acciones, etc. Si ha sido víctima del ataque, restaure completamente la computadora. Si ha perdido dinero, deje que el equipo forense haga una copia de esto y llame a la policía y presente un caso.

  1. Las herramientas cruciales antivirus, el administrador de tareas o el editor del registro se desactivan

Si nota que el software AV se desactiva, probablemente sea explotado, especialmente cuando intenta iniciar el Administrador de tareas o el Editor del registro y no puede iniciarlo o se inicia y desaparece o se inicia en un estado reducido.

Qué hacer: es necesario realizar una restauración completa del sistema aquí porque no se sabe qué ha sucedido. Si primero intenta algo menos drástico, intente ejecutar Microsoft Autoruns o Process Explorer para erradicar los programas maliciosos que causan los problemas. Por lo general, identificarán el programa problemático y le brindarán una opción para desinstalarlo o eliminarlo.

En caso de que el malware se defienda y no le permita desinstalarlo fácilmente, busque en Internet varios métodos para restaurar la funcionalidad perdida y luego reinicie su computadora en Modo seguro y luego siga los procedimientos sugeridos en los resultados del motor de búsqueda.

  1. Pérdida financiera de su cuenta

Los malos no suelen robar un poco de dinero. Exigen todo o casi todo, a menudo a un banco o cambio de moneda extranjera. Comienza cuando el sistema se ve comprometido o el suyo responde a un fraude falso de su banco o empresa de bolsa. Los malos inician sesión en la cuenta, cambian la información de contacto y luego se transfieren una gran suma de dinero.

Qué debe hacer: la mayoría de las instituciones financieras reemplazarán los fondos robados. Sin embargo, ha habido casos en los que los tribunales han dictaminado que es deber de los clientes cuidar sus cuentas y evitar que sean pirateadas y corresponde a las instituciones financieras decidir si quieren restituir o no.

Para evitar que esto suceda, debe activar la alerta de transacción que le envía alteraciones de texto cuando ocurre algo inusual. Muchas instituciones financieras le ofrecen establecer umbrales en los montos de las transacciones y si se excede este umbral o se envía a un país extranjero, se le advertirá. Desafortunadamente, muchas veces, los delincuentes restablecen dichas alertas o la información de contacto antes de robar el dinero. Por lo tanto, debe asegurarse de que su institución financiera o comercial le envíe alertas cada vez que se cambie su información de contacto o sus opciones de modificación.

  1. Notificaciones que reclaman sobre piratería de sistemas

El Informe de investigaciones sobre filtraciones de datos ha revelado que se notan más empresas que fueron pirateadas por terceros no relacionados que las organizaciones que reconocen a sus propias empresas. Microsoft reveló en 2019 que ha detectado ataques de noción-estado contra más de 10,000 de sus clientes desde principios de año.

Qué hacer: averigua si tu dispositivo está realmente pirateado. Asegúrese de que todo se ralentice hasta que confirme que ha sido comprometido. Si se confirma, siga el plan de respuesta a incidentes predefinido. Si lo ha hecho, entonces está bien o, de lo contrario, haga uno ahora y practique con las partes interesadas. Debe asegurarse de que todos sepan que su plan de RI es un plan reflexivo que debe seguirse. No debes querer que nadie salga de sus propias partidas de caza ni que nadie invite a más gente a la fiesta. Su mayor desafío sería que la gente siguiera el plan en caso de emergencia.

  1. Fuga de datos confidenciales

Cuando se piratea, los datos confidenciales de su organización estarán en la web oscura. Si no lo notó primero, los medios de comunicación y otras partes interesadas le informarán.

Qué hacer: en primer lugar, debe averiguar si es cierto que sus datos confidenciales están disponibles. En más de unos pocos casos, los piratas informáticos afirman haber comprometido los datos de una empresa, pero en realidad no tenían nada confidencial. En caso de que los datos de su organización se vean realmente comprometidos, es hora de informar a la alta dirección, comenzar el proceso de RI y averiguar qué se debe comunicar cuándo y cuándo. En muchos países y estados, se requiere un informe legal sobre los datos comprometidos dentro de las 72 horas. Dentro del tiempo, si no puede confirmar la filtración o cómo sucedió, no hace falta decir que debe involucrarse legalmente.

  1. Las credenciales están en un volcado de contraseñas

Miles de millones de credenciales de inicio de sesión válidas están en la web oscura y están comprometidas por malware de phishing o violaciones de bases de datos de sitios web. Generalmente, terceros no le notificarán en tal caso. Debe estar atento de manera proactiva a este tipo de amenaza. Cuanto antes lo sepa, mejor para usted.

Para verificar si sus credenciales se vieron comprometidas a la vez, puede obtener ayuda de varios sitios web como “Have I Been Pwned”, verificar varias cuentas utilizando varias herramientas de inteligencia de código abierto gratuitas como Harvester, herramientas comerciales gratuitas como la prueba de exposición de contraseñas o cualquier otro servicio comercial .

Qué hacer: después de la confirmación sobre el compromiso, restablezca todas sus credenciales de inicio de sesión, inicie un proceso de IR para ver si puede averiguar cómo las credenciales de inicio de sesión de su organización salen de la empresa. Además, use MFA.

  1. Patrones de tráfico de red extraños

Muchas veces, los patrones de tráfico de red extraños e inesperados notan el compromiso por primera vez. Podría haber un mal ataque DDoS contra los servidores web de su empresa o grandes transferencias de archivos esperadas a los sitios en países con los que no puede interactuar en el negocio. Si desea que la empresa comprenda sus patrones de tráfico de red legítimos, sería menos necesario que un tercero le diga que están comprometidos. Es bueno saber que la mayoría de los servicios de su empresa no se comunican con otros servidores de su empresa. La mayoría de los servidores de su empresa no se comunican con todas las estaciones de trabajo de su empresa y viceversa. Las estaciones de trabajo de su empresa no deberían utilizar protocolos que no sean HTTP / no HTTP para comunicarse directamente con otros lugares de Internet.

Qué hacer: si ve un tráfico extraño e inesperado, probablemente sea mejor interrumpir la conexión de red e iniciar una investigación de infrarrojos. Hubo un tiempo en el que probablemente hubiéramos dicho que nos equivocáramos por el lado de la operación de precaución. Ahora, hoy, no puedes arriesgarte. Elimine todas las transferencias sospechosas hasta que se demuestre que son legítimas. Si no comprende el tráfico de red válido, hay decenas de herramientas disponibles para que comprenda y documente mejor su tráfico de red.

La precaución es necesaria

No puede confiar al 100% en ninguna herramienta AV. Debe prestar mucha atención a todos los signos y síntomas comunes de piratería en su computadora. Si es adverso al riesgo, debe realizar una restauración completa del sistema en caso de una infracción. Como los piratas informáticos pueden hacer cualquier cosa y esconderse en cualquier lugar, es mejor empezar desde cero.