Rimozione malware - Guida rapida

Negli ultimi anni, abbiamo sentito parlare di molte persone e grandi aziende che hanno perso i propri dati preziosi o si trovano in una situazione in cui i loro sistemi vengono violati. Queste attività indesiderate vengono causate, nella maggior parte dei casi, dall'utilizzo di un software inserito in un sistema di rete, server o personal computer. Questo software è noto comemalware.

Un malware può danneggiare direttamente un sistema o una rete o sovvertirli affinché vengano utilizzati da altri, piuttosto che come previsto dai proprietari. È una combinazione di due parole:Mal senso Bad e Ware senso Software.

Basato su www.av-test.org , le statistiche stanno crescendo enormemente. Si prega di guardare il grafico seguente per comprendere la crescita del malware.

Come puoi vedere, solo nel 2016 sono stati rilevati più di 600.000.000 di malware. Basato susecurelist.com, i paesi che hanno infettato i computer rispetto a quelli più puliti sono:

Rischio massimo (oltre il 60%) 22 paesi inclusi
Kirghizistan (60,77%) Afghanistan (60,54%).
Alto rischio (41-60%): 98 paesi inclusi
India (59,7%) Egitto (57,3%) Bielorussia (56,7%)
Turchia (56,2%) Brasile (53,9%) Cina (53,4%)
Emirati Arabi Uniti (52,7%) Serbia (50,1%) Bulgaria (47,7%)
Argentina (47,4%) Israele (47,3%) Lettonia (45,9%)
Spagna (44,6%) Polonia (44,3%) Germania (44%)
Grecia (42,8%) Francia (42,6%) Corea (41,7%),
Austria (41,7%)
Tasso di infezione locale moderato (21-40,99%): 45 paesi inclusi
Romania (40%) Italia (39,3%) Canada (39,2%)
Australia (38,5%) Ungheria (38,2%) Svizzera (37,2%)
USA (36,7%) Regno Unito (34,7%) Irlanda (32,7%)
Paesi Bassi (32,1%), Repubblica Ceca (31,5%) Singapore (31,4%)
Norvegia (30,5%) Finlandia (27,4%) Svezia (27,4%),
Danimarca (25,8%), Giappone (25,6%).

Il malware può essere progettato dagli hacker per scopi diversi come distruggere i dati, inviare i dati automaticamente in qualche altro luogo, alterare i dati o continuare a monitorarli fino al periodo di tempo specificato. Disabilitare le misure di sicurezza, danneggiare il sistema informativo o influire in altro modo sui dati e sull'integrità del sistema.

Sono inoltre disponibili in diversi tipi e forme, di cui parleremo in dettaglio nei prossimi capitoli di questo tutorial.

Per capire come funziona il malware, dovremmo prima vedere l'anatomia di un attacco malware, che è suddiviso in cinque passaggi come mostrato di seguito:

  • Punto d'entrata
  • Distribution
  • Exploit
  • Infection
  • Execution

Cerchiamo di capire i punti sopra menzionati in dettaglio.

Punto d'entrata

Un malware può entrare nel sistema in molti modi:

  • L'utente visita il suo sito Web preferito che è stato infettato di recente. Questo può essere un punto di ingresso per un malware.

  • Se un utente fa clic su un URL ricevuto in un'e-mail, dirotterà quel browser.

  • Il malware può anche entrare attraverso qualsiasi supporto esterno infetto come una USB o un disco rigido esterno.

Distribuzione

Il malware avvia un processo che reindirizza il traffico a un server di exploit che controlla il sistema operativo e le applicazioni come il browser, Java, Flash player, ecc.

Sfruttare

In questa fase, il exploit proverà a eseguire in base al sistema operativo e troverà un modo per aumentare il privilegio.

Infezione

Ora, l'exploit che è stato installato con successo caricherà un payload per mantenere l'accesso e per gestire la vittima come accesso remoto, caricamento / download di file, ecc.

Esecuzione

In questa fase, l'hacker che gestisce il Malware inizierà a rubare i tuoi dati, crittografare i tuoi file, ecc.

I malware sono diversi; provengono da funzioni diverse e si comportano in modo diverso in varie situazioni. Di seguito sono riportati alcuni dei tipi più famigerati e pericolosi di malware:

  • Virus
  • Adware
  • Spyware
  • Trojan
  • Rootkits
  • Botnets
  • Ransom Ware

Cerchiamo di capire ciascuno di questi in dettaglio.

Virus

Virus è un programma malware che agisce in modo interessante. Questo programma esegue o replica se stesso inserendo alcune copie di se stesso in altri programmi per computer, settore di avvio, file di dati, disco rigido, ecc. Quando il processo di replica è terminato, si dice che le aree interessate siano quelle infette .

I virus sono progettati per eseguire alcune delle attività più dannose sugli host quando vengono infettati. Possono rubare il tempo della CPU o anche lo spazio nel disco rigido. Possono anche danneggiare i dati e possono inserire alcuni messaggi divertenti sullo schermo del sistema.

Adware

Questo software è principalmente il software di supporto pubblicitario. Un pacchetto che viene fornito automaticamente con gli annunci all'interno. Quindi, può generare un buon reddito per il proprietario.

Spyware

Lo spyware è un software che viene utilizzato principalmente per la raccolta di informazioni su un'organizzazione o una persona. Quelle informazioni vengono raccolte senza che nessuno sappia che le informazioni sono state generate dal proprio sistema.

Trojan

Trojan è un tipo di malware che non si replica automaticamente. Contiene un codice dannoso, che esegue alcune azioni determinate dalla natura di quello specifico Trojan. Questo accade solo durante l'esecuzione. Il risultato dell'azione è normalmente la perdita di dati e può anche danneggiare il sistema in molti modi.

Rootkit

I rootkit sono il tipo di malware nascosto. Sono progettati in un modo speciale che possono effettivamente nascondersi molto bene ed è abbastanza difficile rilevarli in un sistema. I normali metodi di rilevamento non funzionano su di essi.

Botnet

Botnet è un software installato su un computer connesso tramite Internet e può aiutare a comunicare con l'altro stesso tipo di programmi, in modo che alcune azioni possano essere eseguite. Possono essere come mantenere il controllo di alcuni IRC, che sono grafici relativi a Internet. Inoltre, può essere utilizzato per inviare alcune e-mail di spam o per partecipare a qualche distribuzione di attacchi di negazione dei servizi.

Ransom Ware

Ransom ware è un software che crittografa i file che si trovano sui dischi rigidi. Alcuni di loro possono anche finire per mostrare semplicemente un messaggio sul pagamento di denaro alla persona che ha implementato questo programma.

In genere, se un computer è infetto ci sono alcuni sintomi, che anche gli utenti più semplici possono notare.

Tecniche comuni di rilevamento del malware

Alcune delle tecniche di rilevamento malware più comunemente utilizzate sono elencate di seguito.

  • Il computer mostra un messaggio pop-up e di errore.

  • Il tuo computer si blocca frequentemente e non sei in grado di lavorarci.

  • Il computer rallenta all'avvio di un programma o di un processo. Questo può essere notato nel task manager che il processo del software è iniziato, ma non si è ancora aperto per funzionare.

  • Terze parti si lamentano di ricevere inviti sui social media o tramite e-mail da te.

  • Le modifiche alle estensioni dei file vengono visualizzate o i file vengono aggiunti al sistema senza il tuo consenso.

  • Internet Explorer si blocca troppo spesso anche se la velocità di Internet è molto buona.

  • Il tuo disco rigido è accessibile la maggior parte del tempo, come puoi vedere dalla luce LED lampeggiante del tuo computer.

  • I file del sistema operativo sono danneggiati o mancanti.

  • Se il tuo computer consuma troppa larghezza di banda o risorse di rete, è il caso di un worm.

  • Lo spazio su disco rigido è sempre occupato, anche se non stai eseguendo alcuna operazione. Ad esempio, l'installazione di un programma Mew.

  • I file e le dimensioni dei programmi cambiano rispetto alla versione originale.

Errori non correlati a malware

I seguenti errori sono not related to Malware Attività -

  • Errore durante l'avvio del sistema nella fase Bios, come il display della cella della batteria del Bios, la visualizzazione dell'errore del timer.

  • Errori hardware come segnali acustici, masterizzazione RAM, HDD, ecc.

  • Se un documento non si avvia normalmente come un file danneggiato, ma gli altri file possono essere aperti di conseguenza.

  • La tastiera o il mouse non rispondono ai tuoi comandi; devi controllare i plug-in.

  • Monitorare l'accensione e lo spegnimento troppo spesso, come il lampeggiamento o la vibrazione, questo è un guasto hardware.

Nel prossimo capitolo capiremo come prepararci alla rimozione del malware.

I malware si attaccano ai programmi e si trasmettono ad altri programmi facendo uso di alcuni eventi. Hanno bisogno che questi eventi accadano perché non possono avviarsi da soli, trasmettersi utilizzando file non eseguibili e infettare altre reti o un computer.

Per prepararci alla fase di rimozione, dovremmo prima capire quali tutti i processi del computer vengono utilizzati dal malware per ucciderli. Quali porte di traffico vengono utilizzate da loro per bloccarli? Quali sono i file relativi a questi malware, quindi possiamo avere la possibilità di ripararli o eliminarli. Tutto ciò include una serie di strumenti che ci aiuteranno a raccogliere queste informazioni.

Processo di indagine

Dalle suddette conclusioni, dovremmo sapere che quando alcuni processi o servizi insoliti vengono eseguiti da soli, dovremmo indagare ulteriormente sulle loro relazioni con un possibile virus. Il processo di indagine è il seguente:

Per indagare sui processi, dovremmo iniziare utilizzando i seguenti strumenti:

  • fport.exe
  • pslist.exe
  • handle.exe
  • netstat.exe

Il Listdll.exe mostra tutti i file dll filesche vengono utilizzati. Ilnetstat.execon le sue variabili mostra tutti i processi in esecuzione con le rispettive porte. L'esempio seguente mostra come un processo diKaspersky Antivirusè mappato a un comando netstat-ano per vedere i numeri di processo. Per verificare a quale numero di processo appartiene, utilizzeremo il task manager.

Per Listdll.exe, è necessario scaricarlo dal seguente collegamento: https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx e possiamo eseguirlo per verificare quali processi sono collegati alla DLL che viene utilizzata.

Apriamo CMD e andiamo al percorso di Listdll.exe come mostrato nello screenshot seguente, quindi lo eseguiamo.

Otterremo il risultato come mostrato nello screenshot seguente.

Ad esempio, PID 16320 viene utilizzato da dllhost.exe, che ha una descrizione COM Surrogateea sinistra. Ha mostrato tutte le DLL mostrate da questo processo, che possiamo cercare su Google e controllare.

Ora useremo l'Fport, che può essere scaricato dal seguente link - https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# mappare i servizi e il PID con le porte.

Un altro strumento per monitorare i servizi e per vedere quante risorse stanno consumando si chiama “Process Explorer”, che può essere scaricato dal seguente link - https://download.sysinternals.com/files/ProcessExplorer.zip e dopo averlo scaricato, devi eseguire il file exe e vedrai il seguente risultato:

In questo capitolo, capiremo come eseguire il processo di pulizia di un computer che è stato infettato da qualsiasi tipo di malware. Seguiamo i passaggi indicati di seguito.

Step 1- Per cominciare, dobbiamo scollegare il computer dalla rete, che può essere una connessione via cavo o una connessione wireless. Questo viene fatto in modo che il processo di hacking perda la connessione con l'hacker, quindi non possono continuare a fuoriuscire ulteriori dati.

Step 2 - Avvia il computer in Safe Mode, vengono caricati solo i programmi ei servizi minimi richiesti. Se un malware è impostato per caricarsi automaticamente all'avvio di Windows, entrare in questa modalità potrebbe impedirgli di farlo. Questo è importante perché consente di rimuovere più facilmente i file, poiché non sono effettivamente in esecuzione o attivi.

Avvio di un computer in modalità provvisoria

L'avvio di un computer in modalità provvisoria può variare da Windows 7 a Windows 10. Per il sistema operativo Windows 10, i passaggi sono i seguenti:

Step 1 - Premi il pulsante Windows logo key + Isulla tastiera per aprire le Impostazioni. Se non funziona, seleziona il pulsante Start nell'angolo inferiore sinistro dello schermo, quindi seleziona Impostazioni. Seleziona Aggiornamento e sicurezza → Ripristino.

Step 2 - Nella sezione Avvio avanzato, seleziona Riavvia ora.

Step 3 - Dopo il riavvio del PC nella schermata Scegli un'opzione, selezionare Risoluzione dei problemi → Opzioni avanzate → Impostazioni di avvio → Riavvia.

Step 4- Dopo il riavvio del PC, vedrai un elenco di opzioni. Seleziona 4 o F4 per avviare il PC in modalità provvisoria. Se è necessario utilizzare Internet, selezionare 5 o F5 per la modalità provvisoria con rete.

Elimina i file temporanei

Elimina i tuoi file temporanei. In questo modo accelererai la scansione antivirus, libererai spazio su disco e potrai persino eliminare alcuni malware. Per utilizzareDisk Cleanup Utility, incluso con Windows 10 basta digitare Disk Cleanup nella barra di ricerca o dopo aver premuto il pulsante Start e selezionare lo strumento che appare - Pulizia disco.

Interrompi il processo malware che potrebbe essere correlato ad esso

Tenteremo di terminare tutti i processi dannosi associati. Per fare ciò, utilizzeremo Rkill, che può essere facilmente scaricato dal seguente link - www.bleepingcomputer.com/download/rkill/

Scarica Malware Scanner e avvia una scansione

Se hai già un programma antivirus attivo sul tuo computer, dovresti usare uno scanner diverso per questo controllo del malware, poiché il tuo attuale software antivirus potrebbe non aver rilevato il malware. La maggior parte dei noti software antivirus sono riportati nello screenshot seguente.

Dobbiamo capire che i virus infettano macchine esterne solo con l'assistenza di un utente di computer, il che può essere come fare clic su un file allegato a un'e-mail da una persona sconosciuta, collegare una USB senza eseguire la scansione, aprire URL non sicuri, ecc. Per tali motivi , noi amministratori di sistema dobbiamo rimuovere le autorizzazioni di amministratore degli utenti nei loro computer.

Alcune delle cose da non fare più comuni per consentire al malware di entrare in un sistema sono le seguenti:

  • Non aprire allegati di posta elettronica provenienti da persone sconosciute o anche da persone note che contengono testo sospetto.

  • Non accettare alcun invito da persone sconosciute nei social media.

  • Non aprire alcun URL inviato da persone sconosciute o persone conosciute che siano in una forma strana.

Alcuni altri importanti suggerimenti per mantenere aggiornato il sistema sono i seguenti:

  • Continuare ad aggiornare il sistema operativo a intervalli regolari.

  • Installa e aggiorna il software antivirus.

Qualsiasi archivio rimovibile prelevato da terze parti deve essere scansionato con un software antivirus aggiornato. Inoltre, tieni presente di controllare anche i seguenti aspetti.

  • Controlla se il tuo monitor utilizza uno screen saver.

  • Controlla se il firewall del computer è attivo.

  • Controlla se stai facendo backup regolarmente.

  • Controlla se ci sono condivisioni che non sono utili.

  • Controlla se il tuo account ha diritti completi o limitati.

  • Aggiorna altri software di terze parti.

Gestione dei rischi di malware

La gestione dei rischi di malware è principalmente per quelle aziende, che non rispettano i singoli utenti di computer. Per gestire il rischio che proviene dai malware, ci sono alcuni fattori chiave che accettano le tecnologie che vengono utilizzate, c'è anche un fattore umano. La gestione del rischio ha a che fare con l'analisi che identifica i rischi di malware e assegna loro priorità in base all'impatto che possono avere sui processi aziendali.

Per ridurre i rischi di malware in un ambiente aziendale di medie dimensioni, dovremmo considerare i seguenti punti:

  • Risorse comuni del sistema informativo
  • Minacce comuni
  • Vulnerabilities
  • Formazione degli utenti
  • Bilanciare la gestione del rischio e le esigenze aziendali

Nel prossimo capitolo impareremo alcuni importanti strumenti di rimozione del malware.

Nei capitoli precedenti, abbiamo discusso cosa sono i malware, come funzionano e come pulirli. Tuttavia, in questo capitolo, vedremo l'altro lato della protezione automatica, classificata come antimalware o antivirus. L'utilizzo di questo software è molto importante in questi giorni perché, come abbiamo visto nei capitoli precedenti, il numero di malware sta aumentando in modo esponenziale di conseguenza, è impossibile rilevarli.

Ogni produttore di antimalware ha le proprie tecnologie e tecniche su come rilevare i malware, ma vale la pena ricordare che sono molto veloci da rilevare perché ricevono aggiornamenti quasi ogni giorno con i nuovi rilevamenti di malware.

Di seguito sono menzionati alcuni degli anti-malware o antivirus più rinomati ed efficaci a livello mondiale:

  • McAfee Stinger

  • HijackThis

  • Malwarebytes

  • Kaspersky Endpoint Security 10

  • Panda Free Anti-virus

  • Spybot Search & Destroy

  • Antivirus gratuito Ad-Aware +

  • AVG Antivirus 2016

  • SUPERAntiSpyware

  • Microsoft Security Essentials