Sto scrivendo uno script PowerShell che mette in quarantena in modo efficace un computer dopo che il malware ha rilevato sul sistema. Finora ho lo script di scollegare gli adattatori ethernet per garantire che il dispositivo non possa comunicare con Internet. Successivamente lo script avvia una scansione antivirus completa. È sufficiente per mettere in quarantena correttamente il malware o dovrei fare di più? Forse disgiungere il dominio della directory attiva?
Se hai il malware eseguibile / exploit / doc con macro / ..., allora quello che vuoi assicurarti è che nessuno lo apra. Per questo è sufficiente se si rimuove l'estensione. Ad ogni modo un buon modo per memorizzare i campioni è per esempio un file .zip protetto da password con la password 'infetto'.
Se non hai ancora il campione, allora sì, disabilita la sua connessione di sicuro (non solo Internet, l'intera rete - immagina un ransomware ottenere l'accesso a una condivisione di rete). Questo dovrebbe essere sufficiente per una quarantena del computer. La scansione anti-virus può essere d'aiuto, ma se si tratta di un campione ancora sconosciuto o modificato, non può garantire la pulizia. Scopri che tipo di malware è e dopo aver verificato che sia disabilitato, puoi abilitare la connessione Internet.
Leggi altre domande sui tag windows powershell malware antivirus