Qualcuno ha chiamato un numero da un pop-up sul proprio computer MacOS e ha installato un programma chiamato GoToAssist. Qual è la migliore linea d'azione ora? [duplicare]

1

Qualcuno che conosco ha visto un pop-up sul proprio iMac con Sierra (10.13.5) che li ha avvisati di chiamare 877-336-5833.

Hannochiamatoilnumeroeilrappresentantehaavvisatocheinstallanounprogrammachiamato"GoToAssist" per ottenere l'accesso remoto. Hanno fatto.

A questo punto, vorrei ripulire tutto ciò che potrebbe essere stato installato.

Ho controllato i file che sono stati modificati nella data in cui hanno chiamato il numero.

Un possibile file di interesse era: /Library/Logs/DiagnosticReports/GoToAssist Customer_2018-06-28-181403_Irwins-iMac.wakeups_resource.diag

... creato su Jun 28 18:14 .

Un altro, trovato nella directory dell'utente era: ./Library/Logs/com.logmein.g2a.rs/Customer/20180628_181221/GoToAssist Remote Support Customer_00.log

che mi ha mostrato che la sessione di GoToAssist era esattamente tra 2018-06-28 18:12:19.403450 e 2018-06-28 18:28:09.964376

Con ciò, posso restringere le modifiche ai file: $ sudo find / -newermt "2018-06-28 18:12" ! -newermt "2018-06-28 18:29" > /tmp/changed.txt

Ma non sono sicuro di cosa cercare.

E mi rendo conto che se sono subdoli, possono comunque modificare le date modificate.

Ho notato che la .bash_history dell'utente è stata modificata in quel momento, ma l'ultima cosa che c'è è qualcosa che ho fatto una settimana prima. Quindi, questo mi fa pensare che qualcosa è stato cancellato da .bash_history ??

Sarebbe meglio reinstallare semplicemente tutto?

Strumenti come MacKeeper funzionano bene per trovare cose come questa? O qualche particolare software anti-virus?

O l'approccio più intelligente sarebbe semplicemente reinstallare il sistema operativo e ripristinare i loro file personali?

Probabilmente è quello che finirò per fare, ma sono anche io e non voglio perdere tempo se riesco a trovare qualsiasi applicazione che potrebbero aver installato e rimosso.

Non voglio essere paranoico, ma mi rendo conto che con una truffa come questa, si può facilmente installare ciò che vogliono e io voglio essere cauto.

    
posta chaimp 09.07.2018 - 05:56
fonte

1 risposta

3

Le date di creazione / modifica dei file non vengono applicate per essere accurate in alcun modo e non possono essere utilizzate in modo affidabile per rilevare modifiche dannose.

Probabilmente hanno usato il vero GoToAssist per il suo ambiente di credibilità ... questo non è il software di cui sei preoccupato, e non quello che ti interessa rimuovere.

Questo sistema è stato completamente compromesso, nessuna utilità ti aiuterà ad essere certo che non rimarranno parti dannose.

Reinstallare il sistema operativo e pulire l'unità è l'unico modo per fidarsi ancora di questo computer. Questo non è affatto paranoia , solo buone pratiche. Assicurarsi che nessun file eseguibile venga ripristinato. Una delle possibili truffe qui è ransomware ... Spegnere la macchina e lasciarla fuori. Non avviare nuovamente l'installazione del sistema compromesso.

Esegui il backup dei file che contano davvero su qualcosa che è offline e non aggiornato con modifiche, come un disco rigido esterno che viene lasciato disconnesso. Cambia tutte le password che potrebbero essere disponibili su quella macchina.

Paranoia si starà chiedendo se la macchina è stata caricata con un cattivo firmware o qualche altro compromesso di sicurezza permanente a livello hardware .... Apple probabilmente è abbastanza buono per la sicurezza qui, ma ci sono "jailbroken" iPhone .

    
risposta data 09.07.2018 - 08:46
fonte

Leggi altre domande sui tag