¿Cuáles son los pasos adecuados para “poner en cuarentena” el malware?

4

Estoy escribiendo un script de powershell que pone en cuarentena a una computadora de manera efectiva después de que se detecte malware en el sistema. Hasta ahora tengo el script que desconecta los adaptadores Ethernet para garantizar que el dispositivo no pueda comunicarse con Internet. A continuación, el script inicia un análisis antivirus completo. ¿Es esto suficiente para poner en cuarentena con éxito el malware o debería estar haciendo más? ¿Quizás separar el dominio del directorio activo?

    
pregunta AckMan 02.03.2017 - 19:31
fuente

1 respuesta

3

Si tiene el programa malicioso ejecutable / exploit / doc con macro / ..., entonces lo que quiere asegurar es que nadie lo abra. Para esto es suficiente si eliminas la extensión. De todos modos, una buena manera de almacenar muestras es, por ejemplo, un archivo .zip protegido con contraseña con la contraseña 'infectada'.

Si aún no tiene la muestra, entonces sí, deshabilite su conexión con seguridad (no solo Internet, toda la red: imagine que un ransomware accede a un recurso compartido de red). Eso debería ser suficiente para una computadora en cuarentena. El análisis antivirus puede ayudar, pero si es una muestra aún desconocida o modificada, no puede garantizar la limpieza. Averigüe qué tipo de malware es y después de estar seguro de que está deshabilitado, puede habilitar la conexión a Internet.

    
respondido por el akg 02.03.2017 - 19:42
fuente

Lea otras preguntas en las etiquetas