Il riavvio di un computer infetto potrebbe peggiorare la situazione?

4

Mi sembra di ricordare che il riavvio di un PC Windows potenzialmente infetto prima di rimuovere il malware potrebbe consentire di sfruttare gli stati di avvio precoce che potrebbero essere vulnerabili se le misure di sicurezza vengono caricate dopo il core, approfondendo il livello di infezione o rendendo è più difficile da rimuovere. Non sono sicuro che ciò si riferisca a un rootkit in particolare o meno ... potrebbe aver descritto la trasformazione del malware in un cosiddetto rootkit.

DOMANDA: È vero e si applica ad Android e Windows 7/8/10? Che ne dici di Linux e Mac?


ALCUNI PENSIERI RAPIDI: D'altra parte, so che molte linee guida sulla risposta agli incidenti suggeriscono di disconnettere il cavo di rete E / O di spegnere il computer dopo aver scoperto o sospettato un'infezione da malware, il che è una contraddizione per punto precedente. In un ambiente aziendale, i tecnici potrebbero desiderare di mantenere il computer in vita per conservare prove forensi, ma so anche che la maggior parte dei tecnici lo spegnerà e lo riporterà al negozio per la scansione. Inoltre, il metodo di scansione più completo che utilizza un CD avviabile richiederebbe anche un riavvio per il caricamento.

Per essere chiari, questa domanda non riguarda la risposta agli incidenti, ma le funzionalità del malware e le conseguenze del riavvio del computer dopo l'infezione. Le linee guida per la risposta agli incidenti possono essere offerte in aggiunta alla risposta, ove appropriato.

    
posta user58446 28.07.2016 - 23:22
fonte

2 risposte

1

Dipende dal tipo di malware.

Se il ransomeware lo spegne il più velocemente possibile preferibilmente con hard reset in questo modo potrebbe non essere stato in grado di crittografare alcuni file e puoi prendere tutti i file che ti servono dal disco rigido.

Se si tratta di un rootkit, l'interruzione è un'idea orribile perché il rootkit ha impostato degli hook che gli consentono di superare gli anelli al successivo riavvio. Teoricamente, un rootkit non può raggiungere ring0 (livello kernel) senza un riavvio. (Contrariamente ad alcuni commenti sopra, dovresti essere pazzo per provare a modificare un kernel mentre è in uso.)

Usa come funziona il malware per determinare se è sicuro spegnere / riavviare.

    
risposta data 15.08.2016 - 19:01
fonte
0

Poiché questa domanda ha circa un miliardo di commenti e nessuna risposta, permettimi di proporne una. In generale, se il malware entra in un sistema, rimuovilo dalla rete, spegnilo, pulisci l'unità e sostanzialmente cancellala dall'orbita.

Anche se è vero che la chiusura potrebbe cancellare le informazioni che potrebbero essere utili per un'analisi forense, come i dati memorizzati nella ram, provare a rimuovere attivamente malware da un sistema mentre è in esecuzione è solo una cattiva idea. Il malware più lungo esiste sulla tua macchina, più a lungo un utente malintenzionato deve rubare / crittografare i dati, creare nuove backdoor, accedere a altre macchine sulla rete o peggio, specialmente se iniziano a ricevere bandiere rosse su cui il loro programma dannoso viene inserito la difensiva.

Per quanto riguarda il riavvio, ho scherzato su un altro post che il malware potrebbe installare un Linux iso su un usb collegato a un computer, e la prossima volta che il computer si riavvierebbe si avvierebbe da USB se era nella parte superiore del boot ordine. Onestamente questo è uno scenario piuttosto poco pratico, ma illustra il punto. Il malware può avere un accesso maggiore a un sistema se viene riavviato attraverso molti mezzi nefasti come boothook, rootkit, bootkits, ecc. (Guarda i commenti sulla tua domanda per idee più malvagie.)

L'opzione migliore è quella di eseguire uno spegnimento forzato (ad esempio, tenere premuto il pulsante di accensione, non dare al malware la possibilità di sapere che il computer si sta spegnendo (in generale dare meno informazioni possibili), scollegare la macchina dalla rete, cancella le unità collegate, ripristina i dati da un backup prima che il malware entrasse nel sistema o un'immagine predefinita della macchina aziendale, e scopri come il programma ha avuto sulla tua macchina per iniziare. Certo, potresti avere meno informazioni su andare fuori, ma il programma dannoso avrà anche raccolto meno informazioni di quanto sarebbe stato in grado di fare. E se vuoi davvero maggiori informazioni, spero che tu abbia ancora i registri server / router da sfogliare.

    
risposta data 04.08.2016 - 21:31
fonte

Leggi altre domande sui tag