¿Se puede empeorar el reinicio de una computadora infectada?

4

Me parece recordar que reiniciar una PC con Windows potencialmente infectada antes de eliminar el malware puede permitirle aprovechar los estados de arranque temprano que pueden ser vulnerables si las medidas de seguridad se cargan después del núcleo, lo que profundiza su nivel de infección o hace que Es más difícil de eliminar. No estoy seguro de si esto se refiere a un rootkit en particular o no ... puede haber estado describiendo la transformación de malware en lo que se conoce como rootkit.

PREGUNTA: ¿Esto es cierto y se aplica a Android y Windows 7/8/10? ¿Qué hay de Linux y Mac?


ALGUNOS PENSAMIENTOS RÁPIDOS: Por otro lado, sé que muchas pautas de respuesta a incidentes sugieren desconectar el cable de red Y / O apagar la computadora después de descubrir o sospechar una infección de malware, lo que es una contradicción con el Punto anterior. En un entorno empresarial, los técnicos pueden desear mantener la computadora con vida para preservar la evidencia forense, pero también sé que la mayoría de los técnicos simplemente la apagarán y la devolverán a la tienda para el análisis. También es de destacar que el método de escaneo más completo que utiliza un CD de arranque también requiere un reinicio para cargar.

Para ser claros, esta pregunta no se trata de la respuesta al incidente, sino de las capacidades del malware y las consecuencias de reiniciar la computadora después de la infección. Se pueden ofrecer pautas de respuesta a incidentes además de su respuesta cuando corresponda.

    
pregunta user58446 28.07.2016 - 23:22
fuente

2 respuestas

1

Depende del tipo de malware.

Si se trata de ransomeware, apáguelo lo más rápido que pueda, preferiblemente, con reinicio por hardware de esta manera, puede que no haya sido capaz de encriptar algunos archivos y puedes tomar cualquier archivo que necesites del disco duro.

Si se trata de un rootkit, apagarlo es una idea horrible porque el rootkit ha establecido ganchos que le permiten escalar a través de anillos en el siguiente reinicio. Teóricamente, un rootkit no puede alcanzar ring0 (nivel de kernel) sin reiniciar. (Al contrario de algunos comentarios anteriores. Debería estar loco para tratar de modificar un kernel mientras está en uso).

Use cómo funciona el malware para determinar si es seguro apagar / reiniciar.

    
respondido por el Chad Baxter 15.08.2016 - 19:01
fuente
0

Como esta pregunta tiene alrededor de mil millones de comentarios y ninguna respuesta, permítame proponer uno. En general, si el malware ingresa a un sistema, sáquelo de la red, apáguelo, limpie la unidad y, en esencia, elimine la órbita.

Aunque es cierto que el cierre puede eliminar información que podría ser útil para un análisis forense, como los datos almacenados en RAM, tratar de eliminar activamente el malware de un sistema mientras se está ejecutando es solo una mala idea. Cuanto más malware existe en su máquina, más tiempo tiene un atacante para robar / cifrar datos, crear nuevas puertas traseras, obtener acceso a otras máquinas en la red o, lo que es peor, especialmente si comienzan a tener señales de alerta de que su programa malicioso está siendo puesto en marcha. la defensiva.

En cuanto al reinicio, en otra publicación mencioné en broma que el malware podría instalar una Linux iso en un dispositivo USB conectado a una computadora, y la próxima vez que la computadora se reiniciara, arrancaría desde el USB si estuviera en la parte superior de la máquina. orden. Honestamente, este es un escenario bastante poco práctico, pero ilustra el punto. El malware puede obtener un mayor acceso a un sistema si se reinicia a través de muchos medios infames, como por ejemplo, boothooks, rootkits, bootkits, etc. (Solo mire los comentarios en su pregunta para obtener más ideas perversas).

La mejor opción es hacer un apagado físico (es decir, mantener presionado el botón de encendido, no le dé al malware la oportunidad de saber que la computadora se está apagando (en general, déle la menor información posible), desconecte la máquina desde la red, borre cualquier unidad adjunta, restaure los datos de una copia de seguridad antes de que el malware ingresara en el sistema o en una imagen de máquina predeterminada de la empresa, y descubra cómo comenzó el programa en su máquina para comenzar. Claro, es posible que tenga menos información para desactívelo, pero el programa malintencionado también habrá recopilado menos información de la que podría haberlo logrado. Y si realmente desea obtener más información, es de esperar que aún tenga registros de servidor / enrutador para peinar.

    
respondido por el Verbal Kint 04.08.2016 - 21:31
fuente

Lea otras preguntas en las etiquetas