Segni comuni di sistema compromesso e modi per reagire

Nell’attuale spettro di possibili minacce, i motori AV sono qualcosa che ci dà relax. Tuttavia, tali truffatori sono orribilmente imprecisi soprattutto quando gli exploit durano 24 ore o più. Gli hacker cercano sempre di cambiare le loro tattiche. Quindi, qualsiasi malware precedentemente riconosciuto potrebbe essere irriconoscibile con uno scambio di pochi byte.

Quello che dovresti fare in tal caso è rilasciare le applicazioni sospette sul VirusTotal di Google che ha oltre 60 scanner antimalware per vedere che i tassi di rilevamento non sono tutto ciò che viene pubblicizzato.

Per combattere questa situazione, molti strumenti AV monitorano i comportamenti dei programmi e altri utilizzano ambienti virtualizzati, monitoraggio del sistema, rilevamento del traffico di rete e tutto quanto sopra per la precisione. Tuttavia, se cadono, devi sapere come individuare l’infezione da malware. Qui, con questo articolo, forniamo 15 segnali che ti dicono che i tuoi PC sono stati hackerati. Inoltre, sarai guidato su come reagire in tali situazioni.

Segni comuni di infezione

  • Ricevi una richiesta di riscatto
  • Viene visualizzato un falso messaggio antivirus
  • Disponi di barre degli strumenti del browser indesiderate
  • Reindirizzamento alle ricerche su Internet
  • Pop-up casuali
  • I tuoi amici ricevono qualche tipo di invito dai tuoi account di social media senza che tu lo faccia effettivamente
  • La password in linea non funziona
  • Si osservano installazioni software impreviste
  • Il mouse si sposta tra i programmi ed effettua le selezioni
  • Gli strumenti Crucial Antivirus, Task Manager o Editor del registro vengono disabilitati
  • Perdita finanziaria dal tuo account
  • Notifiche che affermano di hackerare i sistemi
  • Perdita di dati riservati
  • Le credenziali si trovano in un dump della password
  • Strani schemi di traffico di rete

 I sistemi compromessi non diventano affidabili. È necessario ripristinare completamente il sistema. In precedenza, questo significava formattare il computer e ripristinare tutti i programmi e i dati. Ma oggi, potrebbe significare semplicemente fare clic sul pulsante Ripristina. Le guide menzionate di seguito ti aiuteranno a recuperare da tutte le situazioni sopra menzionate, tuttavia, il ripristino completo del sistema è sempre consigliato.

  1. Riceverai una richiesta di riscatto

Questo è uno dei peggiori messaggi che gli utenti vedono sullo schermo del computer. Il messaggio indica che la crittografia dei dati è avvenuta sul loro sistema, rendendo inaccessibili tutti i file. Agli utenti viene richiesta una certa quantità di denaro per sbloccarli. Le piccole imprese, le grandi imprese, gli ospedali, le stazioni di polizia e le città commerciali vengono arrestate da questo contagio. Oltre il 50% delle vittime invia il pagamento pensando che non andrà via presto. Il pagamento, tuttavia, non è la soluzione poiché la maggior parte delle vittime si ritrova con molti giorni di inattività e ulteriori passaggi di recupero anche se invia il pagamento.

Il modo in cui dovresti reagire in questa situazione: dovresti cercare backup offline validi, affidabili, testati. Stai correndo il rischio di non avere backup validi e testati inaccessibili a intrusi dannosi. Se stai utilizzando il servizio cloud di archiviazione file, probabilmente ha avuto copie di backup dei tuoi dati. Tuttavia, non tutti i servizi di archiviazione cloud hanno la capacità di recuperare da attacchi ransomware e alcuni servizi non coprono tutti i tipi di file. A volte, il supporto tecnico può aiutare nel recupero dei file. Infine, diversi siti possono aiutarti nel recupero dei file senza pagare il riscatto. Scoprono la crittografia segreta condivisa o qualche altro modo per decodificare il ransomware.

  1. Viene visualizzato un messaggio antivirus falso

Sul computer viene visualizzato un popup che informa dell’infezione del sistema. I motivi principali della comparsa di tali messaggi pop-up sono che il sistema è stato compromesso o è compromesso oltre il messaggio pop-up.

Cosa dovresti fare: chiudi la scheda e riavvia il browser, se sei abbastanza fortunato scoprirai che tutto è impostato. A volte, il riavvio del browser ricarica la pagina originale che ha forzato gli annunci falsi. In questi casi, è necessario riavviare il browser in modalità di navigazione in incognito poiché è possibile passare a una pagina diversa e impedire la visualizzazione del messaggio AV falso. Nella peggiore delle ipotesi, tali messaggi AV hanno compromesso il tuo computer. In tal caso, è necessario salvare tutto e quindi ripristinare il sistema all’immagine pulita nota precedente.

Nota: una truffa correlata è una truffa del supporto tecnico. In questo, il messaggio pop-up del browser dice che il tuo sistema è stato compromesso e ti chiede di chiamare il numero fornito per ottenere assistenza tecnica. Spesso tali avvisi affermano di provenire da Microsoft o Apple se li stai utilizzando. I truffatori ti chiedono di installare un programma che in seguito fornisca loro l’accesso remoto. Eseguiranno quindi una falsa scansione AV che non sorprendentemente trova molti problemi. Ti viene quindi chiesto di pagare loro una certa quota affinché l’app sia completamente funzionale. Fortunatamente, questo tipo di truffa di solito può essere sconfitto riavviando il sistema o chiudendo il programma del browser ed evitando il sito Web che lo ospitava su di te.

  1. Disponi di barre degli strumenti del browser indesiderate

Potresti vedere più nuove barre degli strumenti che sembrano presumibilmente aiutarti. Questo è un segno comune di sfruttamento. È necessario richiedere il dump delle barre degli strumenti di tali bug, a meno che non si riconosca che la barra degli strumenti proviene da fornitori noti.

 Cosa dovresti fare – Molto spesso, le persone sono autorizzate a rivedere le barre degli strumenti installate e attive dai browser. Possono rimuoverli se non li vogliono. Quando hai qualche dubbio, rimuovilo. Se la barra degli strumenti fasulla non è elencata lì o non puoi rimuoverla facilmente, controlla se il browser ha un’opzione per ripristinare le impostazioni predefinite del browser. se questo non funziona, segui le istruzioni elencate in come gestire i messaggi antivirus falsi.

  1. Reindirizzamento alle ricerche su Internet

Molti hacker vengono monetizzati reindirizzandoti a pagine indesiderate, vengono pagati con i clic che appaiono sul sito web di qualcun altro. Spesso non hanno idea che i collegamenti ai loro siti provengano da reindirizzamenti dannosi. Per fermare questo tipo di infezione, digita alcuni lavori come puppoy o goldfish nel motore di ricerca Internet e controlla se lo stesso sito web appare nei risultati – in quasi tutti i casi, i risultati non sono in alcun modo rilevanti per le ricerche.

Se generale, le barre degli strumenti fasulle causano tali reindirizzamenti. Gli utenti tecnici che desiderano confermare possono annusare il proprio browser o il traffico. Il traffico inviato e restituito sarà sempre nettamente diverso sul computer infetto e su un computer non compromesso.

Cosa fare: dovresti vedere i consigli forniti su come rimuovere strumenti fasulli. Inoltre, se su un computer Microsoft Windows, controlla il file C: \ Windows \ System32 \ drivers \ etc \ hosts per vedere se ci sono configurazioni di reindirizzamenti dannosi all’interno.

  1. Pop-up casuali

Quando si ricevono popup casuali da siti Web che normalmente non li generano, significa che il sistema è stato compromesso.

Cosa fare: dovresti sbarazzarti di tutte le barre degli strumenti fasulle e di altri programmi se vedi costantemente pop-up su siti casuali. In genere, questi precedenti meccanismi dannosi sopra indicati generano questi popup

  1. I tuoi amici ricevono qualche tipo di invito dai tuoi account di social media senza che tu lo faccia effettivamente

Molti di noi l’hanno già visto una volta che c’è un invito a “essere un amico” per colui che è già un amico sulla piattaforma dei social media. In questi casi, iniziamo a pensare al motivo per cui mi invitano di nuovo? Mi hanno tolto l’amicizia prima sul sito di social media e ora mi stanno invitando di nuovo. Quindi il sito di social media dell’amico potrebbe essere privo di altri amici irriconoscibili e tutti i post precedenti eliminati. Oppure potrebbe essere il caso, l’amico ti sta contattando per scoprire perché stai inviando una nuova richiesta di amicizia. Qui sorgono due possibilità: o gli hacker controllano il tuo sito di social media e hanno creato una seconda pagina fasulla simile o tu o l’amico avete installato un’applicazione canaglia.

Cosa fare – In primo luogo, avvisa gli altri amici di non accettare la richiesta di amicizia inaspettata. Successivamente, se non il primo, contatta il sito del social media e segnala il sito o la richiesta come fasullo. È possibile trovare il modo per segnalare le richieste di bug tramite la ricerca nella guida in linea. Spesso è un compito facile: è necessario fare clic su uno o due pulsanti per completare il processo. Se il sito di social media è veramente violato, dovrai cambiare la tua password.

Ti consigliamo di non perdere tempo a passare all’autenticazione a più fattori. In questo modo le app canaglia non possono facilmente rubare e prendere il controllo della tua presenza sui social media. Infine, fai attenzione durante il download e l’installazione di qualsiasi applicazione di social media. Dovresti controllare che abbia installato l’app associata al tuo account / pagina di social media e rimuovere tutto tranne quelli che desideri scaricare.

  1. La password in linea non funziona

Se hai digitato correttamente le password e poi scopri che non funziona, è probabile che un hacker disonesto abbia effettuato l’accesso utilizzando la tua password e l’abbia modificata per tenerti fuori. Tuttavia, non dovresti affrettarti ad entrare in questo risultato poiché in molti casi ciò che abbiamo osservato sono varie difficoltà tecniche che non consentono password valide per breve tempo. Quindi, dovresti riprovare dopo 10-30 minuti e anche in questo caso trovi lo stesso problema, è probabile che il caso precedente sia vero.

In uno scenario, le vittime hanno risposto a un’e-mail di phishing dall’aspetto autentico che presumibilmente afferma di provenire dal servizio. I malintenzionati lo utilizzano per raccogliere le informazioni di accesso, accedere, modificare la password e utilizzare i servizi per rubare denaro alle vittime o ai loro conoscenti.

Cosa fare: in primo luogo, avvisa tutti i tuoi contatti più stretti del tuo account compromesso. Ciò ridurrà al minimo eventuali danni ad altri a causa del tuo errore. Successivamente, contatta il servizio online per segnalare l’account compromesso. La maggior parte dei servizi online ora dispone di metodi semplici o indirizzi di contatto e-mail per segnalare gli account compromessi. Se segnali la compromissione, il servizio ti aiuterà a ripristinare l’accesso legittimo.

  1. Si osservano installazioni software impreviste

L’installazione di software indesiderata e inaspettata è un segno di compromissione del sistema. In passato, la maggior parte dei programmi erano virus informatici che modificano altri programmi legittimi in modo da nascondersi nel sistema. La maggior parte dei malware di questi tempi sono trojan e worm che in genere si installano come programmi legittimi.

Cosa fare – Esistono diverse app che ti consentono di vedere tutte le app installate e disabilitare quelle desiderate. Autoruns o Process Explorer è uno di questi controllori forniti gratuitamente. Questa applicazione basata su Microsoft ti dirà quelle che si avviano automaticamente quando il sistema viene riavviato (Autoruns) o quelle attualmente in esecuzione (Proces Explorer).

La maggior parte dei malware per computer può essere incorporata in un elenco molto più ampio di programmi legittimi in esecuzione. Le parti difficili ti aiutano a determinare cosa è legittimo e cosa no. Puoi abilitare le opzioni Controlla VirusTotal.com per sapere quali pensa come malware. In caso di dubbio, disabilitare tutti i programmi non riconosciuti, riavviare il dispositivo e riattivare il programma solo se alcune funzionalità necessarie non funzionano più.

  1. Il mouse si sposta tra i programmi ed effettua le selezioni

Il puntatore si sposta durante le selezioni che funzionano indica un’infezione del sistema. Tali problemi si verificano molto spesso a causa di problemi hardware. Se i movimenti implicano la scelta di eseguire determinati programmi, ci saranno maggiori possibilità che dietro di esso siano coinvolti alcuni cattivi attori. La tecnica che potrebbero usare non è affatto comune come altri attacchi. Entreranno in un computer, aspetteranno che rimanga inattivo per molto tempo e poi cercheranno di rubare i tuoi soldi. Romperanno conti bancari, trasferiranno denaro, scambieranno le tue scarpe e faranno ogni sorta di attività canaglia.

Cosa dovresti fare – Dovresti prendere vita una notte in particolare e prenderti un momento prima di spegnerlo per determinare a cosa sono effettivamente interessati gli intrusi. Sarà utile vedere cosa stanno guardando e cercando di scendere a compromessi. Scatta alcune foto per documentare le loro attività. Quando ha un senso, potenza del computer, sganciarlo da tutte le reti e chiamare i professionisti.

Utilizzando un altro computer, modificare i nomi e le password di accesso e controllare le cronologie delle transazioni del conto bancario, i conti di magazzino e così via. Se sei stato vittima dell’attacco, ripristina completamente il computer. Se hai perso denaro, lascia che il team di medicina legale ne faccia una copia e chiami le forze dell’ordine e presenti un caso.

  1. Gli strumenti Crucial Antivirus, Task Manager o Editor del registro vengono disabilitati

Se noti che il software AV viene disabilitato, probabilmente sei sfruttato, specialmente quando provi ad avviare Task Manager o Editor del Registro di sistema e non sei in grado di avviarsi o si avviano e scompaiono o si avviano in uno stato ridotto.

Cosa fare: è necessario eseguire il ripristino completo del sistema qui perché non è possibile sapere cosa è successo. Se provi prima qualcosa di meno drastico, prova a eseguire Microsoft Autoruns o Process Explorer per sradicare i programmi dannosi che causano i problemi. Di solito identificheranno il programma problematico e ti forniranno un’opzione per disinstallarlo o eliminarlo.

Nel caso in cui il malware reagisca e non ti permetta di disinstallarlo facilmente, trova su internet vari metodi per ripristinare la funzionalità persa e poi riavvia il computer in modalità provvisoria e poi segui le procedure suggerite dai risultati sul motore di ricerca.

  1. Perdita finanziaria dal tuo account

I cattivi di solito non rubano un po ‘di soldi. Chiedono tutto o quasi tutto, spesso a una banca o una banca estera. Inizia con il sistema che viene compromesso o il tuo risponde a qualche falso phishing dalla tua banca o società di compravendita di azioni. I cattivi attori accedono all’account, cambiano le informazioni di contatto e poi trasferiscono a se stessi una grande somma di denaro.

Cosa dovresti fare – La maggior parte delle istituzioni finanziarie sostituirà i fondi rubati. Tuttavia, ci sono stati casi in cui i tribunali hanno stabilito che è dovere dei clienti prendersi cura dei propri conti e impedire che vengano hackerati e spetta alle istituzioni finanziarie decidere se vogliono effettuare la restituzione o meno.

Per evitare che ciò accada, è necessario attivare l’avviso di transazione che invia modifiche di testo quando si verifica qualcosa di insolito. Molte istituzioni finanziarie ti offrono di impostare soglie sugli importi delle transazioni e se questa soglia viene superata o va in un paese straniero, sarai avvisato. Sfortunatamente, molte volte, i cattivi attori resettano tali avvisi o le informazioni di contatto prima di rubare i soldi. Pertanto, dovresti assicurarti che il tuo istituto finanziario o commerciale ti invii avvisi ogni volta che le tue informazioni di contatto o le modifiche delle scelte vengono modificate.

  1. Notifiche che affermano di hackerare i sistemi

Il rapporto sulle indagini sulla violazione dei dati ha rivelato che più aziende si accorgono di essere state violate da terze parti non correlate rispetto alle organizzazioni che riconoscono le proprie aziende. Microsoft ha rivelato nel 2019 di aver rilevato attacchi di stato-nozione contro oltre 10.000 dei suoi clienti dall’inizio dell’anno.

Cosa fare: scopri se il tuo dispositivo è stato realmente violato. Assicurati che tutto rallenti finché non confermi di essere stato compromesso. Se confermato, seguire il piano di risposta agli incidenti predefinito. Se lo hai fatto, allora ok o, altrimenti creane uno ora e fai pratica con le parti interessate. Dovresti assicurarti che tutti sappiano che il tuo piano IR è un piano premuroso che deve essere seguito. Non devi volere che qualcuno esca dalle proprie battute di caccia o che inviti più persone alla festa. La tua sfida più grande sarebbe avere persone che seguano il piano in caso di emergenza.

  1. Perdita di dati riservati

In caso di pirateria informatica, i dati riservati della tua organizzazione sarebbero sul dark web. Se non l’hai notato per primo, sarai informato dai media e da altre parti interessate.

Cosa fare: in primo luogo, dovresti scoprire se è vero che i tuoi dati riservati sono disponibili. In più di pochi casi, gli hacker affermano di aver compromesso i dati di un’azienda ma in realtà non avevano nulla di riservato. Nel caso in cui i dati della tua organizzazione siano davvero compromessi, è tempo di dirlo al senior management, iniziare il processo IR e capire cosa deve essere comunicato quando e quando. In molti paesi e stati, è necessario un rapporto legale sui dati compromessi entro 72 ore. Entro il tempo, se non sei in grado di confermare la perdita o come è avvenuta, è ovvio che devi essere coinvolto legalmente.

  1. Le credenziali si trovano in un dump della password

Miliardi di credenziali di accesso valide sono sul dark web che sono state compromesse da malware di phishing o violazioni del database di siti web. Di solito, in questo caso, non sarai avvisato da terzi. Devi cercare in modo proattivo questo tipo di minaccia. Prima lo sai meglio è per te.

Per verificare se le tue credenziali sono state compromesse contemporaneamente, puoi chiedere aiuto a vari siti Web come “Have I Been Pwned”, controllare più account utilizzando vari strumenti di intelligence open source gratuiti come Harvester, strumenti commerciali gratuiti come Test di esposizione password o altri servizi commerciali .

Cosa fare: dopo la conferma del compromesso, reimposta tutte le credenziali di accesso, avvia un processo IR per vedere se riesci a capire come le credenziali di accesso della tua organizzazione escono dall’azienda. Inoltre, usa MFA.

  1. Strani modelli di traffico di rete

Molte volte, il compromesso viene notato per la prima volta da schemi di traffico di rete strani e inaspettati. Potrebbe esserci un brutto attacco DDoS contro i server web della tua azienda o trasferimenti di file di grandi dimensioni e previsti nei paesi in cui non sei in grado di interagire nell’azienda. Se si desidera che l’azienda comprenda i propri schemi di traffico di rete legittimi, sarebbe meno necessario che una terza parte dica che è stata compromessa. È bene sapere che la maggior parte dei servizi della tua azienda non parla con altri server della tua azienda. La maggior parte dei server della tua azienda non parla con tutte le workstation della tua azienda e viceversa. Le workstation della tua azienda non dovrebbero utilizzare protocolli non HTTP / non HTTP per parlare direttamente con altri luoghi su Internet.

Cosa fare: se vedi del traffico strano e inaspettato, probabilmente è meglio interrompere la connessione di rete e avviare un’indagine IR. C’è stato un tempo in cui probabilmente avremmo detto di sbagliare sul lato della cautela operativa. Adesso, oggi, non puoi rischiare. Elimina tutti i trasferimenti sospetti finché non si dimostrano legittimi. Se non comprendi il traffico di rete valido, sono disponibili dozzine di strumenti per comprendere e documentare meglio il tuo traffico di rete.

È necessaria la precauzione

Non puoi fare affidamento al 100% su nessuno strumento AV. È necessario prestare molta attenzione a tutti i segni e sintomi comuni sul computer di un attacco di hacker. Se sei avverso al rischio, dovresti eseguire un ripristino completo del sistema in caso di violazione. Poiché gli hacker possono fare qualsiasi cosa e nascondersi ovunque, è meglio iniziare da zero.