Dopo lunghi sforzi per rimuovere più malware da 6 laptop, lo strano comportamento è una rappresentazione accurata di "badBios", qualcosa che non ho mai creduto vero. Le mie attuali esperienze hanno cambiato questa visione.
Puoi aiutarmi con le indicazioni per le informazioni in modo da poter sviluppare una strategia appropriata. L'economia impedisce la demolizione delle macchine infette.
Se il dispositivo è veramente infetto a livello di BIOS o inferiore, sarei restio a dire che potresti fidarti ancora del dispositivo. I metodi normali per la sostituzione del firmware implicano l'interazione con detto firmware. Cioè come fai a saperlo effettivamente lo fa? O che non ricollega l'infezione? Nel frattempo, la maggior parte degli scrittori di malware tradizionali non si preoccupano di infettare il firmware: l'economia dello sforzo richiesto rispetto al payoff non vale la pena. Quindi devi supporre che dietro ci sia una festa estremamente competente e motivata.
A meno che tu non sappia dove è stata infettata la macchina dovresti re-flashare ogni parte di storage sul dispositivo usando un metodo che non coinvolge il firmware esistente. Per alcune parti ci saranno dei pin hardware che possono essere usati per scrivere direttamente nella memoria. Per gli altri potrebbe essere necessario dissaldare il flash, scriverlo e ri-saldarlo. A meno che tu non abbia già l'attrezzatura necessaria per questo aspetto, ti aspetteresti che i tuoi aspetti economici ti riporterebbero alla sostituzione dell'hardware.
Tuttavia trovo estremamente improbabile che queste macchine siano infette a questo livello. Economia significa malware che questo sofisticato non ha senso per il targeting di infezioni di massa. E se fossi il tipo di partito che potrebbe essere preso di mira (attore statale, grande azienda, ecc.) Non avresti messo in dubbio l'economia della sostituzione delle macchine.
Suggerirei di ottenere il supporto per l'installazione del SO pulito, la formattazione dell'intero disco (/ s) e la reinstallazione del sistema operativo, l'aggiornamento completo e l'installazione di un prodotto anti-virus appropriato. Vorrei quindi rivedere completamente gli altri software che si stanno pensando di installare prima di fare ciò e non inserire alcun supporto che abbia toccato le macchine durante l'infezione. Se è necessario eseguire il backup e il ripristino dei file, avviare il ripristino su una singola macchina. Una volta confermato che non è stato infettato, puoi recuperare gli altri. Come ulteriore precauzione, è possibile utilizzare un live-USB con un sistema operativo diverso per copiare i file sulla macchina pulita. È anche possibile eseguire una scansione completa di virus / minacce informatiche sul backup da tale altro sistema operativo prima del ripristino.
A meno di un jtag o di altri mezzi diretti per scrivere direttamente sul chip che memorizza i dati del bios (senza passare attraverso il bios per eseguire l'aggiornamento), non sarebbe possibile correggerlo. Se il BIOS è compromesso, è improbabile che la funzionalità di aggiornamento attraverso il BIOS compromesso venga rimossa.
Detto questo, ciò sarebbe utile solo se fosse possibile isolare specificamente quale parte dell'hardware è compromessa. Qualsiasi parte programmabile del computer potrebbe essere compromessa e quindi potrebbe essere molto difficile rintracciare esattamente ciò che è compromesso se, in effetti, è un compromesso a livello di hardware.