Sinais comuns de sistema comprometido e maneiras de contra-atacar

No espectro de possíveis ameaças de hoje, os motores AV são algo que nos dá relaxamento. No entanto, esses golpistas são terrivelmente imprecisos, especialmente quando os exploits duram 24 horas ou mais. Os hackers sempre tentam mudar suas táticas. Portanto, qualquer malware reconhecido anteriormente pode ser irreconhecível com uma troca de alguns bytes.

O que você deve fazer nesse caso é descartar os aplicativos suspeitos no VirusTotal do Google, que possui mais de 60 scanners antimalware, para ver se as taxas de detecção não são tudo o que é anunciado.

Para combater esta situação, muitas ferramentas AV monitoram o comportamento dos programas e outras usam ambientes virtualizados, monitoramento de sistema, detecção de tráfego de rede e todos os itens acima para a precisão. Ainda assim, se eles caírem, você deve saber como identificar a infecção por malware. Aqui, com este artigo, estamos fornecendo 15 sinais que informam sobre seus PCs foram hackeados. Além disso, você será orientado sobre como deve reagir em tais situações.

Sinais comuns de infecção

  • Você recebe uma nota de resgate
  • Você vê uma mensagem de antivírus falsa
  • Você tem barras de ferramentas do navegador indesejadas
  • Redirecionamento para pesquisas na Internet
  • Pop-ups aleatórios
  • Seus amigos recebem algum tipo de convite de suas contas de mídia social sem que você realmente faça isso
  • A senha online não está funcionando
  • Você observa instalações de software inesperadas
  • O mouse se move entre os programas e faz seleções
  • Ferramentas Crucial Antivirus, Gerenciador de Tarefas ou Editor do Registro são desativados
  • Perda financeira de sua conta
  • Notificações reclamando sobre hack de sistemas
  • Vazamento de dados confidenciais
  • As credenciais estão em um despejo de senha
  • Padrões de tráfego de rede estranhos

 Os sistemas comprometidos não se tornam confiáveis. Você precisa restaurar totalmente o sistema. Anteriormente, isso significava formatar o computador e restaurar todos os programas e dados. Mas hoje, pode significar simplesmente clicar no botão Restaurar. Os guias mencionados abaixo irão ajudá-lo a se recuperar de todas as situações acima mencionadas, no entanto, a restauração total do sistema é sempre recomendada.

  1. Você recebe uma nota de resgate

Esta é uma das piores mensagens que os usuários veem na tela do computador. A mensagem fala sobre a criptografia de dados ocorrida em seu sistema, tornando todos os arquivos inacessíveis. Os usuários precisam de certa quantia de dinheiro para desbloqueá-los. Pequenos negócios, grandes empresas, hospitais, delegacias de polícia e entre cidades estão sendo travados por esta infecção. Acima de 50% das vítimas enviam o pagamento pensando que ele não irá desaparecer tão cedo. O pagamento, no entanto, não é a solução, pois a maioria das vítimas acaba com muitos dias de inatividade e etapas adicionais de recuperação, mesmo se enviarem o pagamento.

A maneira como você deve reagir nesta situação – Você deve procurar alguns backups offline bons, confiáveis ​​e testados. Você está correndo o risco de não ter backups bons e testados, inacessíveis a invasores mal-intencionados. Se você estiver usando o serviço de armazenamento de arquivos em nuvem, provavelmente há cópias de backup de seus dados. No entanto, nem todos os serviços de armazenamento em nuvem têm a capacidade de se recuperar de ataques de ransomware e alguns serviços não cobrem todos os tipos de arquivos. Às vezes, o suporte técnico pode ajudar na recuperação de arquivos. Por último, vários sites podem ajudá-lo na recuperação de arquivos sem pagar o resgate. Eles descobrem a criptografia secreta compartilhada ou alguma outra maneira de fazer a engenharia reversa do ransomware.

  1. Você vê uma mensagem de antivírus falsa

Um pop-up aparece no computador informando sobre a infecção do sistema. As principais razões para a ocorrência de tais mensagens pop-up são o sistema foi comprometido ou está comprometido além da mensagem pop-up.

O que você deve fazer – apenas feche a guia e reinicie seu navegador, se você tiver sorte, verá que tudo está configurado. Às vezes, reiniciar o navegador recarrega a página original que forçou os anúncios falsos. Nesses casos, é necessário reiniciar o navegador no modo de navegação anônima, pois você pode navegar para uma página diferente e impedir que a mensagem AV falsa apareça. Na pior das hipóteses, essas mensagens AV comprometeram seu computador. Se for esse o caso, você precisará salvar tudo e, em seguida, restaurar o sistema para a imagem limpa conhecida anterior.

Nota: Um golpe relacionado é o golpe de suporte técnico. Nesse caso, a mensagem pop-up do navegador informa que seu sistema foi comprometido e solicita que você ligue para o número fornecido para obter ajuda de suporte técnico. Freqüentemente, esses avisos afirmam ser da Microsoft ou da Apple, se você o estiver usando. Os golpistas pedem que você instale um programa que mais tarde forneça acesso remoto a eles. Eles então executarão uma varredura de AV falsa que, não surpreendentemente, encontrará muitos problemas. Em seguida, é solicitado que você pague uma determinada quantia de taxa para que o aplicativo funcione totalmente. Felizmente, esse tipo de golpe geralmente pode ser derrotado reiniciando o sistema ou fechando o programa do navegador e evitando o site que o hospedou em você.

  1. Você tem barras de ferramentas indesejadas do navegador

Você pode ver várias novas barras de ferramentas que parecem ajudá-lo. Este é um sinal comum de exploração. Você deve exigir o dump dessas barras de ferramentas de bugs, a menos que reconheça a barra de ferramentas como proveniente de fornecedores conhecidos.

 O que você deve fazer – na maioria das vezes, as pessoas têm permissão para revisar as barras de ferramentas instaladas e ativas dos navegadores. Eles podem removê-los se não quiserem. Quando você tiver alguma dúvida, basta retirá-lo. Se a barra de ferramentas falsa não estiver listada lá ou você não puder removê-la facilmente, veja se o navegador tem uma opção para redefinir o navegador de volta às suas configurações padrão. se isso não funcionar, siga as instruções listadas em como lidar com mensagens antivírus falsas.

  1. Redirecionamento para pesquisas na Internet

Muitos hackers geram receita redirecionando você para páginas indesejadas e são pagos por cliques que aparecem no site de outra pessoa. Muitas vezes, eles não têm ideia de que as cliques em seus sites são de redirecionamento malicioso. Para impedir esse tipo de infecção, digite alguns trabalhos como puppoy ou goldfish no mecanismo de busca da Internet e verifique se o mesmo site aparece nos resultados – em quase todos os casos, os resultados não são relevantes para as pesquisas.

Se forem gerais, barras de ferramentas falsas causam esses redirecionamentos. Os usuários técnicos que desejam confirmar podem farejar seu navegador ou tráfego. O tráfego enviado e retornado sempre será distintamente diferente no computador comprometido e em um computador não comprometido.

O que fazer – você deve ver as recomendações fornecidas sobre como remover ferramentas falsas. Além disso, se estiver em um computador Microsoft Windows, verifique o arquivo C: \ Windows \ System32 \ drivers \ etc \ hosts para ver se há alguma configuração de redirecionamento com aparência maliciosa.

  1. Pop-ups aleatórios

Quando você está recebendo pop-ups aleatórios de sites que normalmente não os geram, isso é uma indicação de que seu sistema foi comprometido.

O que fazer – você deve se livrar de todas as barras de ferramentas falsas e outros programas se estiver vendo pop-ups constantemente em sites aleatórios. Normalmente, esses mecanismos maliciosos anteriores observados acima geram esses pop-ups

  1. Seus amigos recebem algum tipo de convite de suas contas de mídia social sem que você realmente faça isso

Muitos de nós já vimos isso antes que existe um convite “seja um amigo” para quem já é um amigo na plataforma de mídia social. Nesses casos, começamos a pensar por que eles estão me convidando novamente? Eles me cancelaram anteriormente no site de mídia social e agora estão me convidando novamente. Então, o site de mídia social do amigo pode estar sem outros amigos irreconhecíveis e todas as postagens anteriores excluídas. Ou pode ser o caso, o amigo está entrando em contato com você para descobrir por que você está enviando um novo pedido de amizade. Aqui surgem duas possibilidades – ou os hackers controlam seu site de mídia social e criaram uma segunda página falsa quase idêntica ou você ou o amigo instalou um aplicativo nocivo.

O que fazer – Em primeiro lugar, avise outros amigos para não aceitarem o pedido inesperado de amizade. Em seguida, se não for o primeiro, entre em contato com o site de mídia social e denuncie o site ou pedido como falso. Você pode descobrir como relatar solicitações de bugs pesquisando na ajuda online. Freqüentemente, é uma tarefa fácil – clicar em um ou dois botões é necessário para concluir o processo. Se o site de mídia social for realmente hackeado, você precisará alterar sua senha.

Aconselhamos você a não perder tempo mudando para a autenticação multifator. Dessa forma, aplicativos desonestos não podem roubar e assumir facilmente sua presença nas redes sociais. Por último, tenha cuidado ao baixar e instalar qualquer aplicativo de mídia social. Você deve inspecionar o aplicativo instalado associado à sua conta / página de mídia social e remover todos, exceto aqueles que deseja baixar.

  1. A senha online não está funcionando

Se você digitou a senha corretamente e depois descobriu que não está funcionando, é provável que um hacker desonesto tenha feito login usando sua senha e a alterado para mantê-lo fora. Porém, você não deve se apressar em chegar a este resultado, pois em muitos casos, o que observamos são várias dificuldades técnicas em não permitir senha válida por pouco tempo. Portanto, você deve tentar novamente após 10 a 30 minutos e mesmo assim encontrar o mesmo problema, é provável que o caso anterior seja verdadeiro.

Em um cenário, as vítimas responderam a um e-mail de phishing de aparência autêntica que supostamente afirma ser do serviço. Os agentes mal-intencionados usam para coletar as informações de login, logar, alterar a senha e usar os serviços para roubar dinheiro das vítimas ou de seus conhecidos.

O que fazer – em primeiro lugar, notifique todos os seus contatos próximos sobre sua conta comprometida. Isso minimizará quaisquer danos a outros devido ao seu erro. Depois disso, entre em contato com o serviço online para relatar a conta comprometida. A maioria dos serviços online agora tem métodos fáceis ou endereços de contato de e-mail para relatar sobre contas comprometidas. Se você relatar sobre o comprometido, o serviço o ajudará a restaurar o acesso legítimo.

  1. Você observa instalações de software inesperadas

A instalação indesejada e inesperada de software é um sinal de comprometimento do sistema. Antigamente, a maioria dos programas eram vírus de computador que modificavam outros programas legítimos de forma a se esconder no sistema. A maioria dos malwares hoje em dia são cavalos de Troia e worms que normalmente se instalam como programas legítimos.

O que fazer – Existem vários aplicativos que permitem que você veja todos os aplicativos instalados e desative os desejados. Autoruns ou Process Explorer é um desses verificadores fornecidos gratuitamente. Este aplicativo baseado na Microsoft irá lhe dizer quais são os que iniciam automaticamente quando o sistema é reiniciado (Autoruns) ou os que estão em execução (Proces Explorer).

A maioria dos malwares de computador pode ser encontrada em uma lista muito maior de programas legítimos em execução. As partes difíceis ajudam a determinar o que é legítimo e o que não é. Você pode ativar as opções de Check VirusTotal.com para saber quais são considerados malware. Em caso de dúvida, desative todos os programas não reconhecidos, reinicie o dispositivo e reative o programa apenas se alguma funcionalidade necessária não estiver mais funcionando.

  1. O mouse se move entre os programas e faz seleções

O ponteiro se move ao fazer seleções que indicam infecção do sistema. Esses problemas surgem com mais frequência devido a problemas de hardware. Se os movimentos envolverem fazer escolhas para executar determinados programas, haverá maior chance de envolvimento de alguns malfeitores por trás disso. A técnica que eles poderiam usar não é comum como alguns outros ataques. Eles vão invadir um computador, esperar que ele fique ocioso por um longo tempo e então tentar roubar seu dinheiro. Eles quebrarão contas bancárias, transferirão dinheiro, trocarão seus sapatos e farão todo tipo de atividades fraudulentas.

O que você deve fazer – você deve ganhar vida em uma noite específica e parar um pouco antes de desligá-lo para determinar no que realmente os intrusos estão interessados. Será útil ver o que eles estão olhando e tentando comprometer. Tire algumas fotos para documentar suas tarefas. Quando fizer sentido, potência do computador, desligue-o de todas as redes e chame os profissionais.

Usando outro computador, altere os nomes e senhas de seus logins e verifique o histórico de transações de contas bancárias, contas de ações e assim por diante. Se você foi vítima do ataque, restaure completamente o computador. Se você perdeu dinheiro, deixe que a equipe forense faça uma cópia, ligue para as autoridades policiais e abra um processo.

  1. Ferramentas Crucial Antivirus, Gerenciador de Tarefas ou Editor do Registro são desativados

Se notar que o software AV é desativado, provavelmente você está sendo explorado – especialmente quando tenta iniciar o Gerenciador de Tarefas ou o Editor do Registro e não consegue iniciar ou eles começam e desaparecem ou iniciam em um estado reduzido.

O que fazer – você precisa executar a restauração completa do sistema aqui porque não há como dizer o que aconteceu. Se você tentar algo menos drástico primeiro, tente executar o Microsoft Autoruns ou o Process Explorer para eliminar os programas maliciosos que estão causando os problemas. Eles geralmente identificam o programa problemático e fornecem a opção de desinstalá-lo ou excluí-lo.

No caso, o malware revida e não deixa você desinstalá-lo facilmente, encontre na internet vários métodos para restaurar a funcionalidade perdida e reinicie o computador no Modo de Segurança e siga os procedimentos sugeridos a partir dos resultados do mecanismo de busca.

  1. Perda financeira de sua conta

Os bandidos geralmente não roubam um pouco de dinheiro. Eles exigem tudo ou quase tudo, muitas vezes para uma bolsa de banco estrangeiro ou banco. Ele começa com o sistema sendo comprometido ou o seu respondendo a algum phishing falso do seu banco ou empresa de negociação de ações. Os malfeitores fazem logon na conta, alteram as informações de contato e, em seguida, transferem uma grande quantia em dinheiro para eles próprios.

O que você deve fazer – A maioria das instituições financeiras substituirá os fundos roubados. No entanto, já houve casos em que os tribunais decidiram que é dever dos clientes zelar pelas suas contas e evitar que sejam hackeadas, cabendo às instituições financeiras decidir se querem fazer a restituição ou não.

Para evitar que isso aconteça, você deve ativar o alerta de transação que envia alterações de texto para você quando algo incomum está acontecendo. Muitas instituições financeiras oferecem a você a definição de limites nos valores das transações e, se esse limite for excedido ou for para um país estrangeiro, você será avisado. Infelizmente, muitas vezes, os malfeitores redefinem esses alertas ou as informações de contato antes de roubarem o dinheiro. Portanto, você deve garantir que sua instituição financeira ou comercial envie alertas sempre que suas informações de contato ou escolhas alteradas forem alteradas.

  1. Notificações reclamando sobre hack de sistemas

O Relatório de investigações de violação de dados revelou que mais empresas são notadas que foram hackeadas por terceiros não relacionados do que organizações que reconhecem suas próprias empresas. A Microsoft revelou em 2019 que detectou ataques de estado de noção contra mais de 10.000 de seus clientes desde o início do ano.

O que fazer – descubra se o seu dispositivo foi realmente hackeado. Certifique-se de que tudo desacelere até que você confirme que foi comprometido. Se confirmado, siga o plano de respostas a incidentes predefinido. Se sim, ok ou então faça um agora e pratique com as partes interessadas. Você deve garantir que todos saibam que seu plano de RI é um plano bem pensado que deve ser seguido. Você não deve querer ninguém saindo de seus próprios grupos de caça ou convidando mais pessoas para a festa. Seu maior desafio seria fazer com que as pessoas seguissem o plano em caso de emergência.

  1. Vazamento de dados confidenciais

Quando hackeado, os dados confidenciais da sua organização ficariam na dark web. Se você não percebeu primeiro, será informado pela mídia e outras partes interessadas.

O que fazer- Em primeiro lugar, você deve descobrir se é verdade que seus dados confidenciais estão lá fora. Em mais do que alguns casos, os hackers afirmam ter comprometido os dados de uma empresa, mas na realidade eles não tinham nada confidencial. No caso de os dados de sua organização realmente estarem comprometidos, é hora de dizer à alta administração, começar o processo de RI e descobrir o que precisa ser comunicado, quando e quando. Em muitos países e estados, é necessário um relatório legal sobre dados comprometidos em 72 horas. Dentro de algum tempo, se você não for capaz de confirmar o vazamento ou como aconteceu, nem é preciso dizer que você precisa se envolver com o jurídico.

  1. As credenciais estão em um despejo de senha

Bilhões de credenciais de logon válidas estão na dark web, comprometidas por malware de phishing ou violações de banco de dados de sites. Normalmente, você não será notificado por terceiros nesse caso. Você deve procurar proativamente por esse tipo de ameaça. Quanto mais cedo você souber, melhor para você.

Para verificar se suas credenciais foram comprometidas de uma vez, você pode ajudar vários sites como “Have I Been Pwned”, verificar várias contas usando várias ferramentas de inteligência de código aberto gratuitas como Harvester, ferramentas comerciais gratuitas como teste de exposição de senha ou quaisquer outros serviços comerciais .

O que fazer – após a confirmação sobre o comprometido, redefina todas as suas credenciais de logon, inicie um processo de IR para ver se você consegue descobrir como as credenciais de logon da sua organização saem da empresa. Além disso, use o MFA.

  1. Padrões de tráfego de rede estranhos

Muitas vezes, o comprometimento é percebido pela primeira vez por padrões de tráfego de rede estranhos e inesperados. Pode haver um ataque DDoS ruim contra os servidores da web da sua empresa ou grandes transferências de arquivos esperados para os países em que você não tem como interagir no negócio. Se você quiser que a empresa entenda seus padrões legítimos de tráfego de rede, não será necessário que terceiros informem que eles estão comprometidos. É bom saber que a maioria dos serviços da sua empresa não se comunica com outros servidores da sua empresa. A maioria dos servidores em sua empresa não se comunica com todas as estações de trabalho em sua empresa e vice-versa. As estações de trabalho em sua empresa não devem usar protocolos não HTTP / não HTTPs para se comunicarem diretamente com outros locais na Internet.

O que fazer – se você vir um tráfego estranho e inesperado, provavelmente é melhor interromper a conexão de rede e iniciar uma investigação de infravermelho. Houve um tempo em que provavelmente teríamos dito para errar no lado da operação com cautela. Agora, hoje, você não pode correr nenhum risco. Elimine todas as transferências suspeitas até que sejam comprovadas como legítimas. Se você não entende o tráfego de rede válido, dezenas de ferramentas estão disponíveis para você entender e documentar melhor o tráfego de rede.

Precaução é necessária

Você não pode confiar 100% em nenhuma ferramenta AV. Você deve exigir atenção especial a todos os sinais e sintomas comuns de invasão em seu computador. Se você é avesso a riscos, deve realizar uma restauração completa do sistema no caso de uma violação. Como os hackers podem fazer qualquer coisa e se esconder em qualquer lugar, é melhor começar do zero.