Aktualizacja umiejętności czyszczenia złośliwego oprogramowania

11

Widziałem niektóre witryny oferujące „Uniwersytet Malware”, szkolenia dotyczące usuwania szkodliwego oprogramowania. Czy uważasz, że od czasu do czasu konieczna jest aktualizacja umiejętności usuwania złośliwego oprogramowania (lub arsenału)? W jaki sposób skuteczniej radzisz sobie z tym rosnącym, bardzo skomplikowanym zagrożeniem?

Terry
źródło

Odpowiedzi:

32

Nie „czyścisz złośliwego oprogramowania”. Poziomujesz maszyny i zaczynasz od nowa. Wszystko, co mniej, jest uszczerbkiem dla klienta i prośbą o kłopoty.

Jeśli chodzi o „zagrożenie”, nie zezwalasz użytkownikom na uruchamianie kont na poziomie administratora (w systemie Windows) i nie instalujesz niezaufanego oprogramowania (o ile to możliwe). Wydaje mi się to dość proste. Moi klienci i ja nie mamy problemu ze złośliwym oprogramowaniem.

Evan Anderson
źródło
11
Głosy negatywne, co? Śmiało - oddaj mi głos. Nadal mam rację. uśmiech „Czyszczenie złośliwego oprogramowania” to liga krzaków. Po zaatakowaniu komputera przez złośliwą firmę zewnętrzną utrzymywanie niezaufanego systemu operacyjnego i aplikacji jest złym pomysłem.
Evan Anderson
4
+1 za proste powiedzenie. Myślę jednak, że dobrze jest zrozumieć, jak działa złośliwe oprogramowanie - więc warto rzetelnie wyszkolić takie osoby jak Mark Russinovich lub SANS.
Ben Dunlap,
1
Jak definiujesz złośliwe oprogramowanie? Czy naprawdę wolisz ponownie zainstalować system operacyjny, ponieważ masz coś tak niewinnego jak to? viruslist.com/en/viruses/encyclopedia?virusid=18321 Rozumiem ponowną instalację, jeśli zamówiłeś niektóre z bardziej nikczemnych szkodliwych programów .....
Josh Brower
2
Jestem zwolennikiem wyrównywania systemu operacyjnego i przywracania tylko plików danych z kopii zapasowej, jeśli zależy Ci na poufności, integralności i dostępności danych obsługiwanych przez komputer z uruchomionym złośliwym kodem innej firmy. Jeśli autor złośliwego oprogramowania musi tylko sprawić, by jego oprogramowanie wyglądało na uproszczone, abyś mógł uwierzyć, że maszyna jest „czysta” po tym, jak sami ją zmodyfikowali, zrobią to autorzy złośliwego oprogramowania.
Evan Anderson
1
+1 za ciężką naukę.
cop1152,
6

Poza praktykami sysadmin polegającymi na nie pozwalaniu użytkownikom na uruchamianie kont na poziomie administratora, i tak spoczywa na tobie duża odpowiedzialność za to, że jesteś na bieżąco z zagrożeniami na wolności. Przeczytaj ostrzeżenia wyskakujące po znalezieniu nowego zagrożenia. Przygotuj zasady aktualizacji oprogramowania.

Nic nie może zniszczyć bezpieczeństwa szybciej niż zdeterminowany użytkownik, dlatego poinformuj ich o niebezpieczeństwach związanych z klikaniem losowych łączy w wiadomości e-mail lub instalowaniem aplikacji, chyba że są oni pewni źródła (itp.), Upewniając się, że jest to związane z bezpieczeństwem sieci i ich komputerów domowych.

Jeśli będziesz na bieżąco z wiadomościami i będziesz wiedział o tym swoich użytkowników, drastycznie zmniejszysz swoją widoczność.

RascalKing
źródło
5

Jeśli chodzi o „szkolenie w zakresie szkodliwego oprogramowania”, sama nazwa jest nieco zbyt modnym hasłem marketingowym, aby wzbudzić wiarę. Być może jestem zbyt sceptyczny, ale uważam, że wszelkie konkretne „tematy związane ze złośliwym oprogramowaniem” będą przestarzałe, zanim sesja się rozpocznie.

Pewnie, zastosowanie mają pewne podstawowe umiejętności, ale jeśli administrator (lub technik wsparcia) jeszcze tego nie wie, wolałbym sformatować maszynę (z powodów wskazanych przez Evana Andersona), zamiast ryzykować umiejętności czyszczenia .

Kara Marfia
źródło
4

Autoruns i Process Explorer z Sysinternals (obecnie własnością MS) są twoimi najlepszymi przyjaciółmi. 1-2 infekcje, które widzę w tygodniu, w których użytkownik otworzył załącznik lub odwiedził stronę, której nie powinien mieć, a (aktualne!) AV nie zablokowało go całkowicie, ogólnie można je usunąć w 30m-1h wysiłku za pomocą tylko tych dwóch narzędzi. Są dość proste, a po kilku pierwszych oczyszczeniach zyskasz talent do wiedzieć, co należy zabić / usunąć, aby pozbyć się złośliwego oprogramowania.

To powiedziawszy, co jakiś czas natkniesz się na kawałek złośliwego oprogramowania, które nie zostało napisane przez idiotę, więc jeśli nie możesz zrobić żadnego postępu po 30 minutach, czas na całkowite wyczyszczenie / przeładowanie.

Pamiętaj, że jest to bardziej odpowiednie dla małych i średnich firm, w których sprzęt nie jest znormalizowany. Jeśli masz obraz systemu i utworzono kopię zapasową plików użytkownika, szybciej wyczyścisz / przeładujesz przy pierwszym znaku infekcji.

Skawt
źródło
Uważam się za dość biegłego w procexp i autoruns. Ostatnim razem, gdy użyłem tych narzędzi do usunięcia wirusa, wszystko wydawało się piskliwie czyste, ale okazało się, że komputer nadal przesyła wiadomości spamowe - wystarczy, aby umieścić nasze IP na kilku czarnych listach SMTP. Jedynym sposobem, aby upewnić się, że czyste pudełko jest przebudować.
Nic