Signes courants d’un système compromis et moyens de riposter

Dans le spectre actuel des menaces possibles, les moteurs audiovisuels sont quelque chose qui nous détend. Cependant, ces escrocs sont terriblement inexacts, en particulier lorsque les exploits durent 24 heures ou plus. Les hackers essaient toujours de changer de tactique. Ainsi, tout malware précédemment reconnu pourrait être méconnaissable avec un échange de quelques octets autour.

Ce que vous devez faire dans un tel cas est de supprimer les applications suspectes sur le VirusTotal de Google qui dispose de plus de 60 scanners anti-programme malveillant pour voir que les taux de détection ne sont pas tout ce qui est annoncé.

Pour lutter contre cette situation, de nombreux outils audiovisuels surveillent les comportements des programmes et d’autres utilisent des environnements virtualisés, la surveillance du système, la détection du trafic réseau et tout ce qui précède pour la précision. Pourtant, s’ils tombent, vous devez savoir comment vous pouvez détecter une infection par un logiciel malveillant. Ici, avec cet article, nous fournissons 15 signes qui vous indiquent que vos PC ont été piratés. En outre, vous serez guidé sur la façon dont vous devez vous battre dans de telles situations.

Signes courants d’infection

  • Vous recevez une note de rançon
  • Vous voyez un faux message antivirus
  • Vous avez des barres d’outils de navigateur indésirables
  • Redirection vers les recherches Internet
  • Pop-ups aléatoires
  • Vos amis reçoivent certains types d’invitations de vos comptes de médias sociaux sans que vous le fassiez réellement
  • Le mot de passe en ligne ne fonctionne pas
  • Vous observez des installations logicielles inattendues
  • La souris se déplace entre les programmes et effectue des sélections
  • Les outils Crucial Antivirus, le gestionnaire de tâches ou l’éditeur de registre sont désactivés
  • Perte financière de votre compte
  • Notifications revendiquant le piratage des systèmes
  • Fuite de données confidentielles
  • Les informations d’identification sont dans un vidage de mot de passe
  • Modèles de trafic réseau étranges

 Les systèmes compromis ne deviennent pas dignes de confiance. Vous devez restaurer complètement le système. Auparavant, cela signifiait formater l’ordinateur et restaurer tous les programmes et données. Mais aujourd’hui, cela pourrait simplement signifier simplement cliquer sur le bouton Restaurer. Les guides mentionnés ci-dessous vous aideront à vous remettre de toutes les situations susmentionnées, cependant, une restauration complète du système est toujours recommandée.

  1. Vous recevez une note de rançon

C’est l’un des pires messages que les utilisateurs voient sur leur écran d’ordinateur. Le message informe que le cryptage des données a eu lieu sur leur système, rendant tous les fichiers inaccessibles. On demande aux utilisateurs une certaine somme d’argent pour les débloquer. Les petites entreprises, les grandes entreprises, les hôpitaux, les commissariats de police et les grandes villes sont arrêtés par cette infection. Plus de 50% des victimes soumettent le paiement en pensant qu’il ne disparaîtra pas de sitôt. Le paiement n’est cependant pas la solution car la plupart des victimes se retrouvent avec de nombreux jours d’indisponibilité et des étapes de récupération supplémentaires même si elles soumettent le paiement.

La façon dont vous devez réagir dans cette situation – Vous devriez rechercher des sauvegardes hors ligne fiables, testées et fiables. Vous prenez le risque de ne pas avoir de bonnes sauvegardes testées inaccessibles aux intrus malveillants. Si vous utilisez le service cloud de stockage de fichiers, il a probablement eu des copies de sauvegarde de vos données. Cependant, tous les services de stockage dans le cloud n’ont pas la capacité de récupérer des attaques de ransomware et certains services ne couvrent pas tous les types de fichiers. Parfois, le support technique peut aider à la récupération de fichiers. Enfin, plusieurs sites peuvent vous aider dans la récupération de fichiers sans payer la rançon. Ils découvrent le cryptage secret partagé ou un autre moyen de rétro-ingénierie du ransomware.

  1. Vous voyez un faux message antivirus

Une fenêtre contextuelle apparaît sur l’ordinateur indiquant une infection du système. Les principales raisons d’occurrence de ces messages contextuels sont que le système a été compromis ou il est compromis au-delà du message contextuel.

Ce que vous devez faire – fermez simplement l’onglet et redémarrez votre navigateur, si vous êtes assez chanceux, vous trouverez que tout est configuré. Parfois, le redémarrage du navigateur recharge la page d’origine qui a forcé les fausses annonces. Dans de tels cas, vous devez redémarrer le navigateur en mode navigation privée car vous pouvez accéder à une page différente et empêcher le faux message AV d’apparaître. Dans le pire des cas, ces messages audiovisuels ont compromis votre ordinateur. Si tel est le cas, vous devez tout enregistrer, puis restaurer le système à l’image propre connue précédente.

Remarque: une arnaque connexe est une arnaque au support technique. Dans ce message, le message contextuel du navigateur indique que votre système a été compromis et vous demande d’appeler le numéro fourni pour obtenir de l’aide du support technique. Souvent, ces avertissements prétendent être de Microsoft ou d’Apple si vous l’utilisez. Les escrocs vous demandent d’installer un programme qui leur fournira plus tard un accès à distance. Ils exécuteront ensuite une fausse analyse antivirus qui détectera sans surprise de nombreux problèmes. Vous êtes ensuite invité à leur payer un certain montant de frais pour que l’application soit pleinement fonctionnelle. Heureusement, ce type d’arnaque peut généralement être vaincu en redémarrant le système ou en fermant le programme du navigateur et en évitant le site Web qui l’hébergeait sur vous.

  1. Vous avez des barres d’outils de navigateur indésirables

Vous pouvez voir plusieurs nouvelles barres d’outils qui semblent vous aider. C’est un signe courant d’exploitation. Vous devez exiger le vidage des barres d’outils de ces bogues, sauf si vous reconnaissez que la barre d’outils provient de fournisseurs bien connus.

 Ce que vous devez faire – Le plus souvent, les utilisateurs sont autorisés à consulter les barres d’outils installées et actives par les navigateurs. Ils peuvent les supprimer s’ils n’en veulent pas. En cas de doute, supprimez-le simplement. Si la fausse barre d’outils n’y figure pas ou si vous ne pouvez pas la supprimer facilement, voyez si le navigateur dispose d’une option pour réinitialiser le navigateur à ses paramètres par défaut. si cela ne fonctionne pas, suivez les instructions répertoriées dans la section Comment traiter les faux messages antivirus.

  1. Redirection vers les recherches Internet

De nombreux pirates sont monétisés en vous redirigeant vers des pages indésirables, ils sont payés par des clics apparaissant sur le site Web de quelqu’un d’autre. Ils n’ont souvent aucune idée que les c licks vers leurs sites proviennent d’une redirection malveillante. Pour arrêter ce type d’infection, saisissez quelques travaux comme des marionnettes ou des poissons rouges dans le moteur de recherche Internet et vérifiez si le même site Web apparaît dans les résultats – dans presque tous les cas, les résultats ne sont pas pertinents pour les recherches.

Si elles sont générales, de fausses barres d’outils provoquent de telles redirections. Les utilisateurs techniques qui souhaitent confirmer peuvent renifler leur navigateur ou leur trafic. Le trafic envoyé et renvoyé sera toujours nettement différent sur l’ordinateur compromis et sur un ordinateur sans compromis.

Que faire – vous devriez voir les recommandations fournies sur la façon de supprimer les faux outils. De plus, si vous utilisez un ordinateur Microsoft Windows, vérifiez le fichier C: \ Windows \ System32 \ drivers \ etc \ hosts pour voir s’il existe une configuration de redirection malveillante.

  1. Pop-ups aléatoires

Lorsque vous recevez des fenêtres contextuelles aléatoires de sites Web qui ne les génèrent normalement pas, cela indique que votre système a été compromis.

Que faire – Vous devez vous débarrasser de toutes les fausses barres d’outils et autres programmes si vous voyez constamment des fenêtres contextuelles sur des sites aléatoires. En règle générale, ces mécanismes malveillants précédents mentionnés ci-dessus génèrent ces pop-ups

  1. Vos amis reçoivent certains types d’invitations de vos comptes de réseaux sociaux sans que vous le fassiez réellement

Beaucoup d’entre nous ont déjà vu cela une fois qu’il y a une invitation «être un ami» à celui qui est déjà un ami sur la plateforme de médias sociaux. Dans de tels cas, nous commençons à réfléchir à pourquoi ils m’invitent à nouveau? Est-ce qu’ils m’ont désamorcé plus tôt sur le site de médias sociaux et maintenant ils me réinvitent. Ensuite, le site de réseau social de l’ami peut être dépourvu d’autres amis méconnaissables et tous les messages précédents supprimés. Ou cela pourrait être le cas, l’ami vous contacte pour savoir pourquoi vous envoyez une nouvelle demande d’ami. Ici, deux possibilités se présentent: soit les pirates contrôlent votre site de médias sociaux et ont créé une deuxième page bidon à peu près ressemblante, soit vous ou votre ami avez installé une application malveillante.

Que faire – Tout d’abord, avertissez les autres amis de ne pas accepter la demande d’amitié inattendue. Ensuite, si ce n’est pas le premier, contactez le site de médias sociaux et signalez le site ou la demande comme étant faux. Vous pouvez trouver le moyen de signaler les demandes de bogues en effectuant une recherche dans l’aide en ligne. C’est souvent une tâche facile – il faut cliquer sur un ou deux boutons pour terminer le processus. Si le site de réseau social est vraiment piraté, vous devrez changer votre mot de passe.

Nous vous conseillons de ne pas prendre le temps de passer à l’authentification multifacteur. De cette façon, les applications malveillantes ne peuvent pas facilement voler et prendre le contrôle de votre présence sur les réseaux sociaux. Enfin, soyez prudent lorsque vous téléchargez et installez des applications de médias sociaux. Vous devez inspecter l’application installée associée à votre compte / page de médias sociaux et supprimer tout sauf celles que vous souhaitez télécharger.

  1. Le mot de passe en ligne ne fonctionne pas

Si vous avez saisi correctement les mots de passe et que vous constatez que cela ne fonctionne pas, il est probable qu’un pirate informatique malveillant s’est connecté à l’aide de votre mot de passe et l’a modifié pour vous empêcher d’entrer. Cependant, ne vous pressez pas d’entrer dans ce résultat car dans de nombreux cas, ce que nous avons observé, ce sont diverses difficultés techniques qui ne laissent pas un mot de passe valide pendant une courte période. Donc, vous devriez réessayer après 10 à 30 minutes et même dans ce cas, vous trouvez le même problème, il est probable que le cas précédent soit vrai.

Dans un scénario, les victimes ont répondu à un e-mail de phishing d’apparence authentique qui prétend provenir du service. Les acteurs malveillants l’utilisent pour collecter les informations de connexion, se connecter, changer le mot de passe et utiliser les services pour voler de l’argent aux victimes ou aux connaissances des victimes.

Que faire – Tout d’abord, informez tous vos contacts proches de votre compte compromis. Cela minimisera les dommages causés à d’autres en raison de votre erreur. Après cela, contactez le service en ligne pour signaler le compte compromis. La plupart des services en ligne proposent désormais des méthodes simples ou des adresses e-mail pour signaler les comptes compromis. Si vous signalez le compromis, le service vous aidera à restaurer l’accès légitime.

  1. Vous observez des installations logicielles inattendues

Une installation de logiciel indésirable et inattendue est un signe que le système est compromis. Dans les premiers temps, la plupart des programmes étaient des virus informatiques qui modifiaient d’autres programmes légitimes afin de se cacher sur le système. La plupart des logiciels malveillants de nos jours sont des chevaux de Troie et des vers qui s’installent généralement en tant que programmes légitimes.

Que faire – Il existe plusieurs applications qui vous permettent de voir toutes les applications installées et de désactiver celles que vous souhaitez. Autoruns ou Process Explorer est l’un de ces vérificateurs fournis gratuitement. Cette application basée sur Microsoft vous indiquera celles qui démarrent automatiquement au redémarrage du système (Autoruns) ou celles en cours d’exécution (Proces Explorer).

La plupart des logiciels malveillants informatiques peuvent être trouvés intégrés dans une liste beaucoup plus grande de programmes en cours d’exécution légitimes. Les parties difficiles vous aident à déterminer ce qui est légitime et ce qui ne l’est pas. Vous pouvez activer les options Check VirusTotal.com pour savoir lesquels il considère comme des logiciels malveillants. En cas de doute, désactivez tous les programmes non reconnus, redémarrez l’appareil et réactivez le programme uniquement si certaines fonctionnalités nécessaires ne fonctionnent plus.

  1. La souris se déplace entre les programmes et effectue des sélections

Le pointeur se déplace tout en effectuant des sélections qui fonctionnent indique une infection du système. Ces problèmes surviennent le plus souvent en raison de problèmes matériels. Si les mouvements impliquent de faire des choix pour exécuter certains programmes, il y aura plus de chances que certains mauvais acteurs soient impliqués. La technique qu’ils pourraient utiliser n’est pas courante comme certaines autres attaques. Ils entreront par effraction dans un ordinateur, attendront qu’il soit inactif pendant longtemps, puis essaieront de voler votre argent. Ils casseront les comptes bancaires, transféreront de l’argent, échangeront vos chaussures et feront toutes sortes d’activités malveillantes.

Ce que vous devez faire – Vous devriez prendre vie une nuit en particulier et prendre un moment avant de l’éteindre pour déterminer ce qui intéresse réellement les intrus. Il sera utile de voir ce qu’ils regardent et d’essayer de faire des compromis. Prenez quelques photos pour documenter leurs tâches. Quand ça a du sens, puissance de l’ordinateur, décrocher de tous les réseaux et faire appel aux professionnels.

À l’aide d’un autre ordinateur, modifiez vos noms et mots de passe de connexion et vérifiez l’historique des transactions du compte bancaire, les comptes de stock, etc. Si vous avez été victime de l’attaque, restaurez complètement l’ordinateur. Si vous avez perdu de l’argent, laissez l’équipe médico-légale en faire une copie, appelez les forces de l’ordre et déposez une plainte.

  1. Les outils Crucial Antivirus, le gestionnaire de tâches ou l’éditeur de registre sont désactivés

Si vous remarquez que le logiciel AV est désactivé, vous êtes probablement exploité – en particulier lorsque vous essayez de démarrer le Gestionnaire des tâches ou l’Éditeur du Registre et que vous ne parvenez pas à démarrer ou qu’ils démarrent et disparaissent ou démarrent dans un état réduit.

Que faire – Vous devez effectuer ici une restauration complète du système car on ne sait pas ce qui s’est passé. Si vous essayez d’abord quelque chose de moins radical, essayez d’exécuter Microsoft Autoruns ou Process Explorer pour éliminer les programmes malveillants à l’origine des problèmes. Ils identifieront généralement le programme problématique et vous fourniront une option pour le désinstaller ou le supprimer.

Au cas où le logiciel malveillant riposterait et ne vous permettrait pas de le désinstaller facilement, trouvez sur Internet diverses méthodes pour restaurer la fonctionnalité perdue, puis redémarrez votre ordinateur en mode sans échec, puis suivez les procédures suggérées dans les résultats du moteur de recherche.

  1. Perte financière de votre compte

Les méchants ne volent généralement pas un peu d’argent. Ils exigent tout ou presque tout, souvent à un bureau de change ou à une banque étrangère. Cela commence par un système compromis ou le vôtre répondant à un faux hameçonnage de la part de votre banque ou société de bourse. Les mauvais acteurs se connectent au compte, modifient les informations de contact puis se transfèrent une grosse somme d’argent.

Ce que vous devez faire – La plupart des institutions financières remplaceront les fonds volés. Cependant, il y a eu des cas où les tribunaux ont jugé qu’il était du devoir des clients de prendre soin de leurs comptes et d’éviter qu’ils ne soient piratés et qu’il appartenait aux institutions financières de décider si elles souhaitaient ou non effectuer une restitution.

Pour éviter que cela ne se produise, vous devez activer l’alerte de transaction qui vous envoie des modifications de texte lorsqu’un événement inhabituel se produit. De nombreuses institutions financières vous proposent de fixer des seuils sur les montants des transactions et si ce seuil est dépassé ou qu’il va dans un pays étranger, vous en serez averti. Malheureusement, souvent, les mauvais acteurs réinitialisent ces alertes ou les informations de contact avant de voler l’argent. Vous devez donc vous assurer que votre institution financière ou commerciale vous envoie des alertes à chaque fois que vos coordonnées ou vos choix de modification sont modifiés.

  1. Notifications prétendant au piratage des systèmes

Le rapport d’enquête sur les violations de données a révélé que plus d’entreprises se sont aperçues qu’elles avaient été piratées par des tiers indépendants que d’organisations qui reconnaissent leurs propres entreprises. Microsoft a révélé en 2019 avoir détecté des attaques d’état de la notion contre plus de 10000 de ses clients depuis le début de l’année.

Que faire – Déterminez si votre appareil est vraiment piraté. Assurez-vous que tout ralentit jusqu’à ce que vous confirmiez que vous avez été compromis. S’il est confirmé, suivez le plan de réponse aux incidents prédéfini. Si vous avez, alors ok ou, faites-en un maintenant et pratiquez avec les parties prenantes. Vous devez vous assurer que tout le monde sait que votre plan IR est un plan réfléchi qui doit être suivi. Vous ne devez pas vouloir que quiconque organise ses propres parties de chasse ou que quiconque invite plus de personnes à la fête. Votre plus grand défi serait que les gens suivent le plan en cas d’urgence.

  1. Fuite de données confidentielles

En cas de piratage, les données confidentielles de votre organisation se trouveraient sur le dark web. Si vous ne l’avez pas remarqué au préalable, vous en serez informé par les médias et d’autres parties prenantes intéressées.

Que faire – Tout d’abord, vous devez savoir s’il est vrai que vos données confidentielles existent. Dans plus de quelques cas, les pirates prétendent avoir compromis les données d’une entreprise, mais en réalité, ils n’avaient rien de confidentiel. Dans le cas où les données de votre organisation seraient vraiment compromises, il est temps d’en informer la haute direction, de commencer le processus de RI et de déterminer ce à quoi il faut communiquer quand et quand. Dans de nombreux pays et états, il faut un rapport légal sur les données compromises dans les 72 heures. Dans le délai imparti, si vous n’êtes pas en mesure de confirmer la fuite ou comment elle s’est produite, il va sans dire que vous devez vous impliquer légalement.

  1. Les informations d’identification sont dans un vidage de mot de passe

Des milliards d’informations d’identification valides se trouvent sur le Dark Web et sont compromises par des logiciels malveillants de phishing ou des violations de bases de données de sites Web. En règle générale, vous ne serez pas averti par des tiers dans un tel cas. Vous devez rechercher de manière proactive ce type de menace. Le plus tôt vous le saurez, mieux ce sera pour vous.

Pour vérifier si vos informations d’identification ont été compromises à la fois, vous pouvez demander de l’aide à divers sites Web tels que « Have I Been Pwned », vérifier plusieurs comptes à l’aide de divers outils de renseignement open source gratuits comme Harvester, des outils commerciaux gratuits comme test d’exposition de mot de passe ou tout autre service commercial .

Que faire – Après confirmation de la compromission, réinitialisez toutes vos informations de connexion, démarrez un processus IR pour voir si vous pouvez comprendre comment les informations de connexion de votre organisation sortent de l’entreprise. Utilisez également MFA.

  1. Modèles de trafic réseau étranges

Souvent, le compromis est d’abord remarqué par des modèles de trafic réseau étranges et inattendus. Il peut y avoir une mauvaise attaque DDoS contre les serveurs Web de votre entreprise ou des transferts de fichiers importants et attendus vers les sties dans des pays avec lesquels vous n’interagissez pas dans l’entreprise. Si vous voulez que l’entreprise comprenne ses modèles de trafic réseau légitimes, il serait moins nécessaire qu’un tiers vous dise qu’ils sont compromis. Il est bon de savoir que la plupart des services de votre entreprise ne communiquent pas avec d’autres serveurs de votre entreprise. La plupart des serveurs de votre entreprise ne communiquent pas avec tous les postes de travail de votre entreprise et vice-versa. Les postes de travail de votre entreprise ne doivent pas utiliser de protocoles non HTTP / non HTTP pour communiquer directement avec d’autres endroits sur Internet.

Que faire – Si vous voyez un trafic inattendu et étrange, il est probablement préférable de couper la connexion réseau et de lancer une enquête IR. Il fut un temps où nous aurions probablement dit de faire preuve de prudence dans les opérations. Aujourd’hui, vous ne pouvez prendre aucun risque. Tuez tous les transferts suspects jusqu’à ce qu’ils soient prouvés légitimes. Si vous ne comprenez pas le trafic réseau valide, des dizaines d’outils sont disponibles pour vous permettre de mieux comprendre et documenter votre trafic réseau.

La précaution est nécessaire

Vous ne pouvez pas compter à 100% sur des outils audiovisuels. Vous devez exiger une attention particulière pour tous les signes et symptômes courants sur votre ordinateur de piratage. Si vous êtes peu enclin à prendre des risques, vous devez effectuer une restauration complète du système en cas de violation. Comme les hackers peuvent tout faire et se cacher n’importe où, il vaut mieux partir de zéro.