Typowe oznaki skompromitowanego systemu i sposoby walki

W dzisiejszym spektrum możliwych zagrożeń silniki AV są czymś, co daje nam relaks. Jednak tacy oszuści są przerażająco niedokładni, zwłaszcza gdy exploity trwają 24 godziny lub dłużej. Hakerzy zawsze próbują zmienić swoją taktykę. Tak więc każde wcześniej rozpoznane złośliwe oprogramowanie może być nierozpoznawalne po zamianie kilku bajtów.

W takim przypadku powinieneś umieścić podejrzane aplikacje na VirusTotal Google, który ma ponad 60 skanerów antymalware, aby zobaczyć, że współczynniki wykrywania to nie wszystko, co jest reklamowane.

Aby zwalczyć tę sytuację, wiele narzędzi antywirusowych monitoruje zachowanie programów, a inne używają zwirtualizowanych środowisk, monitorowania systemu, wykrywania ruchu sieciowego i wszystkich powyższych w celu zapewnienia dokładności. Jednak jeśli upadną, musisz wiedzieć, jak wykryć infekcję złośliwym oprogramowaniem. W tym artykule przedstawiamy 15 znaków informujących o włamaniu do komputera. Zostaniesz także wskazany, jak powinieneś walczyć w takich sytuacjach.

Typowe objawy infekcji

  • Otrzymujesz żądanie okupu
  • Widzisz fałszywą wiadomość antywirusową
  • Masz niechciane paski narzędzi przeglądarki
  • Przekierowanie do wyszukiwania w Internecie
  • Losowe wyskakujące okienka
  • Twoi znajomi otrzymują różnego rodzaju zaproszenia z Twoich kont w mediach społecznościowych, a Ty sam tego nie robisz
  • Hasło online nie działa
  • Obserwujesz nieoczekiwane instalacje oprogramowania
  • Mysz porusza się między programami i dokonuje wyborów
  • Kluczowe narzędzia antywirusowe, Menedżer zadań lub Edytor rejestru zostają wyłączone
  • Straty finansowe na koncie
  • Powiadomienia twierdzące o włamaniu do systemów
  • Wyciek poufnych danych
  • Poświadczenia znajdują się w zrzucie haseł
  • Dziwne wzorce ruchu sieciowego

 Zagrożone systemy nie są godne zaufania. Musisz w pełni przywrócić system. Wcześniej oznaczało to formatowanie komputera i przywracanie wszystkich programów i danych. Ale dzisiaj może to po prostu oznaczać po prostu kliknięcie przycisku Przywróć. Poniższe przewodniki pomogą Ci wyjść z wszystkich wyżej wymienionych sytuacji, jednak zawsze zaleca się pełne przywrócenie systemu.

  1. Otrzymujesz żądanie okupu

To jedna z najgorszych wiadomości, które użytkownicy widzą na ekranie komputera. Komunikat mówi, że w ich systemie zaszło szyfrowanie danych, przez co wszystkie pliki są niedostępne. Od użytkowników wymaga się określonej kwoty pieniędzy, aby je odblokować. Ta infekcja powstrzymuje małe firmy, duże firmy, szpitale, komisariaty policji i duże miasta. Ponad 50% ofiar dokonuje płatności, myśląc, że w najbliższym czasie nie zniknie. Płatność nie jest jednak rozwiązaniem, ponieważ większość ofiar kończy się po wielu dniach przestoju i dodatkowych czynnościach naprawczych, nawet jeśli dokonają płatności.

Sposób reagowania w tej sytuacji – Powinieneś szukać dobrych, niezawodnych, przetestowanych kopii zapasowych offline. Ryzykujesz, że nie masz dobrych, przetestowanych kopii zapasowych, które są niedostępne dla złośliwych intruzów. Jeśli korzystasz z usługi przechowywania plików w chmurze, prawdopodobnie zawiera ona kopie zapasowe Twoich danych. Jednak nie wszystkie usługi przechowywania danych w chmurze umożliwiają odzyskanie danych po atakach ransomware, a niektóre usługi nie obejmują wszystkich typów plików. Czasami pomoc techniczna może pomóc w odzyskaniu plików. Wreszcie, kilka witryn może pomóc w odzyskaniu plików bez płacenia okupu. Dowiadują się o wspólnym tajnym szyfrowaniu lub w inny sposób na inżynierię wsteczną oprogramowania ransomware.

  1. Widzisz fałszywą wiadomość antywirusową

Na komputerze pojawia się wyskakujące okienko z informacją o infekcji systemu. Głównymi przyczynami występowania takich wyskakujących wiadomości jest włamanie do systemu lub naruszenie bezpieczeństwa poza wyskakującą wiadomością.

Co powinieneś zrobić – po prostu zamknij kartę i uruchom ponownie przeglądarkę, jeśli masz szczęście, okaże się, że wszystko jest ustawione. Czasami ponowne uruchomienie przeglądarki powoduje ponowne załadowanie oryginalnej strony, która wymusiła fałszywe reklamy. W takich przypadkach musisz ponownie uruchomić przeglądarkę w trybie incognito, ponieważ możesz przejść do innej strony i zatrzymać wyświetlanie fałszywej wiadomości AV. W najgorszym przypadku takie wiadomości antywirusowe zaatakowały Twój komputer. W takim przypadku musisz zapisać wszystko, a następnie przywrócić system do poprzedniego znanego czystego obrazu.

Uwaga: powiązane oszustwo to oszustwo związane z pomocą techniczną. W tym wyskakującym okienku przeglądarki informuje, że system został naruszony i prosi o zadzwonienie pod podany numer w celu uzyskania pomocy technicznej. Często takie ostrzeżenia twierdzą, że pochodzą od firmy Microsoft lub Apple, jeśli ich używasz. Oszuści proszą Cię o zainstalowanie programu, który później zapewni do nich zdalny dostęp. Następnie przeprowadzą fałszywy skan antywirusowy, który nie jest zaskoczeniem, że wykryje wiele problemów. Następnie zostaniesz poproszony o uiszczenie określonej kwoty opłaty za pełną funkcjonalność aplikacji. Na szczęście tego rodzaju oszustwo można zwykle pokonać, ponownie uruchamiając system lub zamykając przeglądarkę i unikając witryny, na której go hostowano.

  1. Masz niechciane paski narzędzi przeglądarki

Możesz zobaczyć wiele nowych pasków narzędzi, które rzekomo Ci pomogą. To powszechna oznaka wyzysku. Musisz zażądać zrzutu takich pasków narzędzi błędów, chyba że rozpoznasz pasek narzędzi jako pochodzący od znanych dostawców.

 Co powinieneś zrobić – Najczęściej ludzie mogą przeglądać zainstalowane i aktywne paski narzędzi przez przeglądarki. Mogą je usunąć, jeśli ich nie chcą. Jeśli masz jakiekolwiek wątpliwości, po prostu je usuń. Jeśli fałszywego paska narzędzi nie ma tam na liście lub nie możesz go łatwo usunąć, sprawdź, czy przeglądarka ma możliwość zresetowania przeglądarki z powrotem do ustawień domyślnych. jeśli to nie zadziała, postępuj zgodnie z instrukcjami podanymi w artykule, jak postępować z fałszywymi wiadomościami antywirusowymi.

  1. Przekierowanie do wyszukiwania w Internecie

Wielu hakerów zarabia, przekierowując Cię na niechciane strony, zarabia na kliknięciach, które pojawiają się w czyichś witrynach. Często nie zdają sobie sprawy, że kliknięcia w ich witrynach pochodzą ze złośliwego przekierowania. Aby powstrzymać tego typu infekcję, wpisz kilka prac, takich jak marionetka lub złota rybka, do wyszukiwarki internetowej i sprawdź, czy w wynikach pojawia się ta sama witryna – prawie we wszystkich przypadkach wyniki nie są w żaden sposób powiązane z wyszukiwaniami.

Jeśli ogólnie rzecz biorąc, fałszywe paski narzędzi powodują takie przekierowania. Użytkownicy techniczni, którzy chcą potwierdzić, mogą węszyć przeglądarkę lub ruch. Ruch wysyłany i zwracany zawsze będzie wyraźnie różny na komputerze, na który została włamana, i na komputerze bezkompromisowym.

Co zrobić – powinieneś zapoznać się z zaleceniami dotyczącymi usuwania fałszywych narzędzi. Ponadto, jeśli korzystasz z komputera z systemem Microsoft Windows, sprawdź plik C: \ Windows \ System32 \ drivers \ etc \ hosts, aby zobaczyć, czy nie ma w nim złośliwie wyglądającej konfiguracji przekierowań.

  1. Losowe wyskakujące okienka

Gdy otrzymujesz losowe wyskakujące okienka ze stron internetowych, które normalnie ich nie generują, oznacza to, że system został naruszony.

Co zrobić – Powinieneś pozbyć się wszystkich fałszywych pasków narzędzi i innych programów, jeśli ciągle widzisz wyskakujące okienka w przypadkowych witrynach. Zazwyczaj te wyskakujące okienka są generowane przez poprzedni złośliwy mechanizm wspomniany powyżej

  1. Twoi znajomi otrzymują różnego rodzaju zaproszenia z Twoich kont w mediach społecznościowych bez Twojego faktycznego wykonywania tych czynności

Wielu z nas już kiedyś widziało, że istnieje zaproszenie „zostań przyjacielem” dla osoby, która jest już przyjacielem na platformie mediów społecznościowych. W takich przypadkach zaczynamy się zastanawiać, dlaczego znowu mnie zapraszają? Czy wcześniej nie zaprzyjaźnili się ze mną na portalu społecznościowym, a teraz ponownie mnie zapraszają. Wtedy witryna społecznościowa znajomego może być pozbawiona innych nierozpoznawalnych znajomych, a wszystkie wcześniejsze posty zostaną usunięte. Może się tak zdarzyć, że znajomy kontaktuje się z tobą, aby dowiedzieć się, dlaczego wysyłasz nowe zaproszenia do znajomych. Pojawiają się tutaj dwie możliwości – albo hakerzy kontrolują twoją witrynę społecznościową i utworzyli drugą, podobną do podobnej, fałszywą stronę, albo ty lub twój znajomy zainstalowaliście fałszywą aplikację.

Co robić – Po pierwsze, ostrzeż innych znajomych, aby nie akceptowali nieoczekiwanej prośby o dodanie do znajomych. Następnie, jeśli nie pierwszy, skontaktuj się z serwisem społecznościowym i zgłoś witrynę lub prośbę jako fałszywą. Sposób zgłaszania próśb o błędy można znaleźć w pomocy online. Często jest to łatwe zadanie – do zakończenia procesu wymagane jest kliknięcie jednego lub dwóch przycisków. Jeśli witryna mediów społecznościowych została naprawdę zhakowana, musisz zmienić swoje hasło.

Radzimy nie tracić czasu na przejście na uwierzytelnianie wieloskładnikowe. W ten sposób nieuczciwe aplikacje nie mogą łatwo ukraść i przejąć Twojej obecności w mediach społecznościowych. Na koniec zachowaj ostrożność podczas pobierania i instalowania aplikacji społecznościowych. Powinieneś sprawdzić, czy zainstalował aplikację powiązaną z Twoim kontem / stroną w mediach społecznościowych i usunąć wszystkie oprócz tych, które chcesz pobrać.

  1. Hasło online nie działa

Jeśli hasło zostało wpisane poprawnie, a następnie okazało się, że nie działa, prawdopodobnie nieuczciwy haker zalogował się przy użyciu Twojego hasła i zmienił je, aby Cię chronić. Nie należy jednak spieszyć się z uzyskaniem takiego wyniku, ponieważ w wielu przypadkach zaobserwowaliśmy różne trudności techniczne, które uniemożliwiają prawidłowe hasło przez krótki czas. Powinieneś więc spróbować ponownie po 10 do 30 minutach, a nawet wtedy znajdziesz ten sam problem, prawdopodobnie poprzedni przypadek jest prawdziwy.

W scenariuszu ofiary odpowiedziały na autentycznie wyglądającą wiadomość phishingową, która rzekomo pochodzi od usługi. Złośliwi aktorzy używają go do zbierania danych logowania, logowania, zmiany hasła i używania usług do kradzieży pieniędzy ofiar lub znajomych ofiar.

Co robić – Po pierwsze, powiadom wszystkie swoje bliskie kontakty o zagrożonym koncie. Pozwoli to zminimalizować wszelkie szkody wyrządzone innym osobom z powodu Twojego błędu. Następnie skontaktuj się z usługą online, aby zgłosić przejęte konto. Większość usług online ma teraz łatwe metody lub adresy e-mail do zgłaszania naruszonych kont. Jeśli zgłosisz zagrożenie, usługa pomoże Ci przywrócić legalny dostęp.

  1. Obserwujesz nieoczekiwane instalacje oprogramowania

Niechciana i nieoczekiwana instalacja oprogramowania jest oznaką naruszenia bezpieczeństwa systemu. Wcześniej większość programów była wirusami komputerowymi, które modyfikowały inne legalne programy, aby ukryć się w systemie. Większość dzisiejszych złośliwych programów to trojany i robaki, które zazwyczaj instalują się jako legalne programy.

Co robić – istnieje kilka aplikacji, które pozwalają zobaczyć wszystkie zainstalowane aplikacje i wyłączyć te, które są poszukiwane. Autoruns lub Process Explorer jest jednym z takich programów sprawdzających, dostarczanych bezpłatnie. Ta oparta na Microsoft aplikacja powie Ci, które programy uruchamiają się automatycznie po ponownym uruchomieniu systemu (Autoruns) lub te, które są aktualnie uruchomione (Proces Explorer).

Większość złośliwego oprogramowania komputerowego można znaleźć na znacznie większej liście legalnie działających programów. Trudne części pomagają określić, co jest legalne, a co nie. Możesz włączyć opcje Sprawdź VirusTotal.com, aby dowiedzieć się, które z nich uważa za złośliwe oprogramowanie. W razie wątpliwości wyłącz wszystkie nierozpoznane programy, zrestartuj urządzenie i włącz ponownie program tylko wtedy, gdy niektóre potrzebne funkcje już nie działają.

  1. Mysz porusza się między programami i dokonuje wyborów

Wskaźnik porusza się, gdy zaznaczenia działają, co wskazuje na infekcję systemu. Takie problemy pojawiają się najczęściej z powodu problemów sprzętowych. Jeśli ruchy będą obejmować dokonywanie wyborów w celu uruchomienia określonych programów, będzie większa szansa, że ​​za tym stoją złych aktorów. Technika, której mogliby użyć, nie jest tak powszechna, jak niektóre inne ataki. Włamują się do komputera, czekają, aż będzie bezczynny przez długi czas, a następnie spróbują ukraść twoje pieniądze. Będą łamać konta bankowe, przelewać pieniądze, handlować butami i wykonywać wszelkiego rodzaju nieuczciwe działania.

Co powinieneś zrobić – Powinieneś ożyć pewnej nocy i poświęcić chwilę, zanim ją wyłączysz, aby określić, czym właściwie interesują się intruzi. Warto zobaczyć, na co patrzą i spróbować pójść na kompromis. Zrób kilka zdjęć, aby udokumentować ich zadania. Kiedy ma to jakiś sens, moc komputera, odłącz go od wszystkich sieci i wezwij fachowców.

Korzystając z innego komputera, zmień nazwy logowania i hasła oraz sprawdź historię transakcji na kontach bankowych, kontach magazynowych i tak dalej. Jeśli byłeś ofiarą ataku, całkowicie przywróć komputer. Jeśli straciłeś pieniądze, pozwól zespołowi medycyny sądowej wykonać kopię tego, wezwać organy ścigania i złożyć sprawę.

  1. Kluczowe narzędzia antywirusowe, Menedżer zadań lub Edytor rejestru zostaną wyłączone

Jeśli zauważysz, że oprogramowanie antywirusowe zostaje wyłączone, prawdopodobnie jesteś wykorzystany – zwłaszcza gdy próbujesz uruchomić Menedżera zadań lub Edytora rejestru i nie możesz się uruchomić lub one się uruchamiają i znikają lub uruchamiają się w zmniejszonym stanie.

Co zrobić – Musisz tutaj przeprowadzić pełne przywrócenie systemu, ponieważ nie wiadomo, co się stało. Jeśli najpierw spróbujesz czegoś mniej drastycznego, spróbuj uruchomić Microsoft Autoruns lub Process Explorer, aby wykorzenić złośliwe programy powodujące problemy. Zazwyczaj będą to programy problematyczne z tożsamością i umożliwią odinstalowanie lub usunięcie go.

W przypadku, gdy złośliwe oprogramowanie walczy i nie pozwoli ci łatwo go odinstalować, znajdź w Internecie różne metody przywrócenia utraconej funkcjonalności, a następnie uruchom ponownie komputer w trybie awaryjnym, a następnie postępuj zgodnie z procedurami sugerowanymi na podstawie wyników w wyszukiwarce.

  1. Strata finansowa na Twoim koncie

Źli faceci zwykle nie kradną trochę pieniędzy. Żądają wszystkiego lub prawie wszystkiego, często do obcego banku lub banku. Rozpoczyna się włamaniem do systemu lub odpowiedzią na fałszywe phishing z banku lub firmy giełdowej. Źli aktorzy logują się na konto, zmieniają dane kontaktowe, a następnie przekazują sobie dużą sumę pieniędzy.

Co powinieneś zrobić – Większość instytucji finansowych zastąpi skradzione środki. Zdarzały się jednak przypadki, gdy sądy orzekały, że obowiązkiem klientów jest dbanie o swoje konta i zapobieganie włamaniom, a instytucje finansowe decydują, czy chcą dokonać zwrotu, czy nie.

Aby temu zapobiec, powinieneś włączyć alert transakcji, który wysyła do ciebie zmiany tekstowe, gdy dzieje się coś niezwykłego. Wiele instytucji finansowych oferuje ustawienie progów kwot transakcji, a jeśli ten próg zostanie przekroczony lub trafi do innego kraju, zostaniesz ostrzeżony. Niestety, często źli aktorzy resetują takie alerty lub dane kontaktowe, zanim ukradną pieniądze. Dlatego powinieneś upewnić się, że instytucja finansowa lub handlowa wysyła ci alerty za każdym razem, gdy Twoje dane kontaktowe lub zmiany wyborów ulegną zmianie.

  1. Powiadomienia twierdzące o włamaniu do systemów

Raport z dochodzeń w sprawie naruszenia danych ujawnił, że więcej firm zauważa, że ​​zostały zaatakowane przez niepowiązane strony trzecie niż organizacje, które rozpoznają własne firmy. Microsoft ujawnił w 2019 r., Że od początku roku wykrył ataki typu „stan pojęć” na ponad 10000 swoich klientów.

Co zrobić – dowiedz się, czy Twoje urządzenie naprawdę zostało zhakowane. Upewnij się, że wszystko zwalnia, dopóki nie potwierdzisz, że zostałeś naruszony. Jeśli zostanie to potwierdzone, postępuj zgodnie z predefiniowanym planem reagowania na incydenty. Jeśli tak, to ok lub w innym przypadku zrób to teraz i przećwicz z interesariuszami. Powinieneś upewnić się, że wszyscy wiedzą, że twój plan IR jest przemyślanym planem, którego należy przestrzegać. Nie możesz chcieć, aby ktokolwiek wychodził z własnych polowań lub zapraszał więcej osób na imprezę. Twoim największym wyzwaniem byłoby wykonanie planu przez ludzi w nagłych przypadkach.

  1. Wyciek poufnych danych

Po włamaniu poufne dane Twojej organizacji znalazłyby się w ciemnej sieci. Jeśli nie zauważyłeś tego pierwszy, zostaniesz poinformowany przez media i inne zainteresowane strony.

Co robić – Po pierwsze, powinieneś dowiedzieć się, czy to prawda, że ​​Twoje poufne dane są tam. W więcej niż kilku przypadkach hakerzy twierdzą, że włamali się do danych firmy, ale w rzeczywistości nie mieli nic poufnego. W przypadku, gdy dane Twojej organizacji są naprawdę zagrożone, nadszedł czas, aby powiadomić kierownictwo wyższego szczebla, rozpocząć proces IR i dowiedzieć się, co należy przekazać, kiedy i kiedy. W wielu krajach i stanach wymagany jest prawny raport o naruszonych danych w ciągu 72 godzin. Z upływem czasu, jeśli nie jesteś w stanie potwierdzić wycieku lub tego, jak to się stało, oczywiste jest, że musisz zaangażować się prawnie.

  1. Poświadczenia znajdują się w zrzucie haseł

W ciemnej sieci znajdują się miliardy ważnych danych logowania, które są narażone na atak złośliwego oprogramowania wyłudzającego informacje lub naruszenia baz danych witryn. W takim przypadku zazwyczaj nie zostaniesz o tym powiadomiony przez osoby trzecie. Musisz aktywnie uważać na tego rodzaju zagrożenie. Im szybciej się dowiesz, tym lepiej dla Ciebie.

Aby sprawdzić, czy Twoje dane uwierzytelniające zostały naraz naruszone, możesz skorzystać z pomocy różnych witryn internetowych, takich jak „Have I Been Pwned”, sprawdzić wiele kont za pomocą różnych bezpłatnych narzędzi analitycznych typu open source, takich jak Harvester, bezpłatnych narzędzi komercyjnych, takich jak test ujawniania haseł lub innych usług komercyjnych .

Co należy zrobić – Po potwierdzeniu, że ktoś się włamał, zresetuj wszystkie swoje poświadczenia logowania, rozpocznij proces IR, aby sprawdzić, czy możesz dowiedzieć się, w jaki sposób dane logowania Twojej organizacji wychodzą do firmy. Użyj również MFA.

  1. Dziwne wzorce ruchu sieciowego

Niejednokrotnie naruszenie bezpieczeństwa jest najpierw zauważane przez dziwne, nieoczekiwane wzorce ruchu sieciowego. Może dojść do złego ataku DDoS na serwery internetowe Twojej firmy lub spodziewanych dużych transferów plików do krajów, z którymi nie masz możliwości interakcji w firmie. Jeśli chcesz, aby firma zrozumiała swoje uzasadnione wzorce ruchu sieciowego, osoba trzecia nie musiałaby powiedzieć, że została naruszona. Warto wiedzieć, że większość usług w Twojej firmie nie komunikuje się z innymi serwerami w Twojej firmie. Większość serwerów w Twojej firmie nie komunikuje się z każdą stacją roboczą w Twojej firmie i odwrotnie. Stacje robocze w Twojej firmie nie powinny używać protokołów innych niż HTTP / HTTPs do bezpośredniej komunikacji z innymi miejscami w Internecie.

Co należy zrobić – jeśli zauważysz nieoczekiwany, dziwny ruch, prawdopodobnie najlepiej jest wyłączyć połączenie sieciowe i rozpocząć badanie IR. Był czas, kiedy prawdopodobnie powiedzielibyśmy, że popełnili błąd po stronie ostrożności operacyjnej. Teraz, dzisiaj, nie możesz ryzykować. Zabij wszystkie podejrzane transfery, dopóki nie zostaną udowodnione, że są legalne. Jeśli nie rozumiesz prawidłowego ruchu sieciowego, masz do dyspozycji dziesiątki narzędzi, które pozwolą Ci lepiej zrozumieć i udokumentować ruch w sieci.

Środki ostrożności są konieczne

Nie możesz w 100% polegać na żadnych narzędziach antywirusowych. Musisz zwrócić szczególną uwagę na wszystkie typowe oznaki i symptomy włamania na komputer. Jeśli jesteś nastawiony na ryzyko, powinieneś wykonać pełne przywrócenie systemu w przypadku naruszenia. Ponieważ hakerzy mogą zrobić wszystko i ukryć się w dowolnym miejscu, lepiej zacząć od zera.