Después de largos esfuerzos para eliminar múltiples problemas de malware de 6 computadoras portátiles, el extraño comportamiento es una descripción precisa de "badBios", algo que nunca creí verdad. Mis experiencias actuales han cambiado este punto de vista.
¿Puede por favor ayudar con las direcciones a la información para que pueda desarrollar una estrategia adecuada? La economía evita desechar las máquinas infectadas.
Si el dispositivo está realmente infectado en el nivel de BIOS o por debajo, entonces dudaría en decir que alguna vez podría volver a confiar en el dispositivo. Los métodos normales para reemplazar el firmware implican la interacción con dicho firmware. Es decir. ¿Cómo sabes que realmente lo hace? ¿O que no parche la infección de nuevo? Mientras tanto, la mayoría de los creadores de malware tradicionales no se molestarán en infectar el firmware: la economía del esfuerzo requerido frente al pago no vale la pena. Así que debes asumir que una parte extremadamente hábil y motivada está detrás de esto.
A menos que supiera dónde estaba infectada la máquina, tendría que volver a flashear cada pieza de almacenamiento en el dispositivo usando un método que no involucre el firmware existente. Para algunas partes habrá pines de hardware que se pueden usar para escribir directamente en el almacenamiento. Para otros, es posible que tenga que desoldar el flash, escríbalo y vuelva a soldarlo. A menos que ya tuviera el equipo requerido para esto, espero que encuentre que su economía lo llevaría a reemplazar el hardware.
Sin embargo, me parece extremadamente improbable que estas máquinas estén infectadas en este nivel. La economía significa un malware tan sofisticado que no tiene sentido para atacar infecciones masivas. Y si fuera el tipo de partido al que probablemente va a dirigirse (actor estatal, gran empresa, etc.) no habría cuestionado la economía de reemplazar las máquinas.
Yo sugeriría obtener un medio de instalación limpio del SO conocido, formatear todo el disco (s) y reinstalar el SO, actualizarlo por completo e instalar un producto antivirus adecuado. Luego revisaría por completo el otro software que está considerando instalar antes de hacerlo y no insertar ningún medio que haya tocado las máquinas mientras está infectado. Si los archivos necesitan ser respaldados y recuperados, inicie la recuperación en una sola máquina. Una vez que se confirme que no se ha infectado, puede recuperar a los demás. Como precaución adicional, puede utilizar un dispositivo Live-USB con un sistema operativo diferente para copiar los archivos en la máquina limpia. También puede ejecutar un análisis completo de virus / malware en la copia de seguridad de ese otro sistema operativo antes de la recuperación.
Sin un jtag u otro medio directo de escribir directamente en el chip que almacena los datos del BIOS (sin pasar por el BIOS para realizar la actualización), no podría arreglarlo. Si el BIOS está comprometido, es poco probable que la función de actualización a través del BIOS comprometido se elimine.
Dicho esto, esto solo ayudaría si pudiera aislar específicamente qué parte del hardware está comprometida. Cualquier parte programable de la computadora podría verse comprometida, por lo que puede ser muy difícil rastrear exactamente lo que está comprometido si, de hecho, es un compromiso de nivel de hardware.