用心做分享,只為給您最好的學習教程
如果您覺得文章不錯,歡迎持續學習
在當今的網路威脅環境中,有了安全軟體幾乎沒有什麼可擔心的。實際上,安全軟體並不十分準確,特別是對於不足24小時的漏洞利用程式。惡意駭客和惡意軟體可以隨意更改其策略。在周圍交換幾個位元組,以前識別的惡意軟體程式將變得無法識別。
為了解決這個問題,許多安全軟體監視程式行為(通常稱為啟發式),以捕獲以前無法識別的惡意軟體。其他程式則使用虛擬化環境,系統監視,網路流量檢測以及所有上述所有內容,以更加準確。安全軟體仍然會失敗。如果它們失敗了,您需要知道如何發現透過安全軟體檢測的惡意軟體。
如何知道您是否被駭客入侵?
這裡有15個確定的跡象表明您已被駭客入侵,如果在日常使用當中發現以下情況,說明您極有可能已被駭客入侵。
您收到勒索軟體訊息
您收到虛假的防病毒訊息
您有不需要的瀏覽器工具欄
您的網際網路搜尋已重定向
您會看到頻繁的隨機彈出視窗
您的朋友收到了您未傳送的社交媒體邀請
您的網站線上密碼無效
您觀察到意外的軟體安裝
滑鼠在程式之間移動並進行選擇
反惡意軟體,任務管理器或登錄檔編輯器已被禁用
您的線上帳戶突然資金減少
您已收到被駭客入侵的人的通知
您的機密資料已洩漏
您的憑據位於密碼轉儲中
您觀察到奇怪的網路流量模式
請注意,在所有情況下,建議都是在繼續操作之前將系統完全恢復到已知的良好狀態。在早期,這意味著格式化計算機並還原所有程式和資料。今天,這可能只是意味著單擊“還原”按鈕。從風險角度考慮,完全還原始終是更好的選擇。
1。您收到勒索軟體訊息
任何人在計算機上看到的最糟糕的訊息之一是螢幕被突然的接管,並告訴他們所有資料都已加密,並要求付款以解鎖資料。勒索軟體非常龐大!在2017年活動量略有下降之後,索要贖金的計劃又捲土重來了。數十億美元的生產力正在損失,數十億美元的贖金正在支付。小型企業,大型企業,醫院,警察局和整個城市都被勒索軟體所攻破。大約50%的受害者支付了贖金,這是一個很可悲的事情,也是很無奈的舉措。
不幸的是,根據網路安全公司的說法,支付贖金並不會贏得約40%的時間執行系統。即使受害者確實支付了贖金,大多數受害者最終也要經歷許多天的停機和額外的恢復步驟。
要做的事情:首先,如果您有一個良好的,經過測試的受影響系統的最新資料備份,您要做的就是還原所涉及的系統並進行充分驗證(正式稱為單元測試),以確保恢復為100 %。可悲的是,大多數公司沒有他們認為的良好備份。
最好的保護是確保您具有良好的,可靠的,經過測試的
離線備份
。勒索軟體日益成熟。使用惡意軟體的壞人正在受感染的企業環境中花費時間,以找出如何造成最大損失的方法,其中包括加密或破壞您最近的線上備份。如果您沒有惡意入侵者無法訪問的優質,經過測試的備份,那您將承擔風險。
最後,幾個網站可能能夠幫助您恢復檔案而無需支付贖金。他們要麼找到了共享的秘密加密金鑰,要麼以其他方式對勒索軟體進行了反向工程。您將需要識別所面臨的勒索軟體程式和版本。更新的安全軟體可能會識別出罪魁禍首,儘管通常您所要做的只是勒索軟體勒索訊息,但這通常就足夠了。
2。您收到虛假的防病毒訊息
您在計算機或移動裝置上收到一條彈出訊息,提示裝置已被感染。該彈出訊息冒充成一種防病毒掃描產品,並且據稱已在您的計算機上發現了十幾個或更多的惡意軟體感染。儘管這種方式不像以前那樣流行,但是偽造的防病毒警告訊息仍然是導致很多人上當。
發生這種情況的原因有兩個:要麼您的系統已經受到威脅,要麼其本身就是病毒。希望是後者。這些型別的偽造的防病毒訊息通常已經找到了一種鎖定瀏覽器的方法,這樣您就無法在不關閉瀏覽器並重新啟動瀏覽器的情況下逃脫偽造的訊息。
怎麼辦
:如果幸運的話,您可以關閉標籤頁並重新啟動瀏覽器,一切正常。虛假訊息不會顯示出來。在大多數情況下,您會被迫終止瀏覽器。重新啟動它有時會重新載入將偽造廣告強加於您的原始頁面,因此您會再次獲得偽造的AV廣告。如果發生這種情況,請以隱身或私有模式重新啟動瀏覽器,然後您可以瀏覽到其他頁面並停止顯示虛假的AV訊息。
更糟糕的情況是,虛假的AV訊息破壞了您的計算機(通常是由於社交工程或未修補的軟體)。在這種情況下,請關閉計算機電源。如果您需要儲存任何東西並且可以儲存,請在關閉電源之前進行儲存。然後將系統還原到以前已知的乾淨映像。大多數作業系統都具有專門為此設定的重置功能。
注意:
一個相關的騙局是,警告您的計算機已受到感染,並撥打螢幕上的免費電話以獲取技術支援幫助。通常,警告聲稱來自Microsoft(即使您使用的是Apple計算機)。這些技術支援詐騙者會要求您安裝程式,然後使他們能夠完全訪問您的系統。他們將執行偽造的防病毒軟體,發現很多病毒就不足為奇了。然後,他們向您出售一個解決所有問題的程式。
3。您有不需要的瀏覽器工具欄
這是一種普遍的利用跡象:您的瀏覽器有多個新工具欄,這些工具欄的名稱似乎表明該工具欄應為您提供幫助。除非您認識到該工具欄來自知名供應商,否則是時候轉儲虛假的工具欄了。
做什麼:大多數瀏覽器都允許您檢視已安裝和活動的工具欄。刪除所有您不想安裝的內容。如有疑問,請將其刪除。如果此處沒有列出偽造的工具欄,或者您無法輕易將其刪除,請檢視您的瀏覽器是否可以選擇將瀏覽器重置回其預設設定。如果這不起作用,請按照上面列出的說明操作,以獲取偽造的防病毒訊息。
通常,可以透過確保所有軟體都已完全打補丁並監視安裝這些工具欄的免費軟體,來避免惡意工具欄。提示:閱讀許可協議。通常在大多數人不閱讀的許可協議中指出了工具欄的安裝。
4。您的網際網路搜尋被重定向
許多駭客透過將瀏覽器重定向到您不想去的地方來謀生。透過使您的點擊出現在其他人的網站上,駭客可以獲得報酬。他們通常不知道對其網站的點選來自惡意重定向。
您通常可以透過在網際網路搜尋引擎中鍵入一些相關的,非常常見的詞(例如“ puppy”或“ goldfish”)來發現這種型別的惡意軟體。不幸的是,透過使用其他代理,當今許多重定向的Internet搜尋對於使用者而言都是很好的隱藏方式,因此偽造的結果永遠不會返回以提醒使用者。
通常,如果您使用的是偽造的工具欄程式,那麼您也會被重定向。真正想確認的技術使用者可以嗅探自己的瀏覽器或網路流量。在受感染的計算機上與未受感染的計算機上,傳送和返回的流量始終會明顯不同。
怎麼辦:按照與刪除偽造的工具欄和程式相同的說明進行操作。通常,這足以擺脫惡意重定向。此外,如果在Microsoft Windows計算機上,請檢查C:\ Windows \ System32 \ drivers \ etc \ hosts檔案,以檢視其中是否配置了任何惡意的重定向。當輸入一個特定的URL時,hosts檔案會告訴您的PC去哪裡。幾乎不再使用它了。如果主機檔案上的檔案戳是最新的,則可能已被惡意修改。在大多數情況下,您可以簡單地重新命名或刪除它而不會引起問題。
5。您會看到頻繁的隨機彈出視窗
這個流行的跡象表明您已被駭客入侵,這也是較煩人的跡象之一。當您從通常不生成它們的網站上獲得隨機的瀏覽器彈出視窗時,您的系統已受到破壞。我一直為哪個網站(合法網站或其他網站)可以繞過瀏覽器的反彈出機制而感到驚訝。這就像與電子郵件垃圾郵件作鬥爭,但情況更糟。
怎麼辦:聽起來不像是破記錄,但通常由上面提到的三種先前的惡意機制之一產生隨機彈出視窗。如果您甚至希望擺脫彈出視窗,就需要擺脫虛假的工具欄和其他程式。
6。您的朋友收到您未傳送的社交媒體邀請
我們以前都看過這一本書。當您已經成為該社交媒體網站上的朋友時,您或您的朋友都會收到“成為朋友”的邀請。通常,您在想:“他們為什麼再次邀請我?他們是否解除了對我的朋友,而我卻沒有注意到,現在他們重新邀請了我。” 然後,您會注意到新朋友的社交媒體網站上沒有其他可識別的朋友(或者可能只有幾個),並且沒有較舊的帖子。或者您的朋友正在與您聯絡,以找出傳送新朋友請求的原因。在這兩種情況下,駭客要麼控制您的社交媒體網站,要麼建立了另一個看上去相似的偽造頁面,要麼您或您的朋友安裝了流氓社交媒體應用程式。
怎麼辦:首先,警告其他朋友不要接受意外的朋友請求。像這樣說:“不要接受Bridget發出的新邀請。我認為她被黑了!”。然後以其他方式聯絡Bridget進行確認。在您的普通社交媒體圈子中傳播新聞。接下來,如果不是第一次,請與社交媒體網站聯絡,並以虛假方式舉報該網站或提出要求。每個站點都有其自己的舉報虛假請求的方法,您可以透過搜尋其聯機幫助來找到它們。通常就像單擊報告按鈕一樣簡單。如果您的社交媒體網站確實遭到駭客入侵(並且不是第二個類似的偽造頁面),則需要更改密碼(如果沒有,請參閱幫助資訊,以瞭解如何執行此操作)。
更好的辦法是,不要浪費時間。更改為多因素身份驗證(MFA)。這樣,壞人(和流氓應用程式)就不那麼容易竊取並接管您的社交媒體形象。最後,不要安裝任何社交媒體應用程式。它們通常是惡意的。定期檢查與您的社交媒體帳戶/頁面關聯的已安裝應用程式,並刪除所有您真正想要擁有的應用程式。
7。您的線上密碼無效
如果您確定正確輸入了線上密碼,並且該密碼不起作用,則可能是您被黑了。我通常會在10到30分鐘內再試一次,因為我遇到過遇到技術困難的網站在短時間內不接受我的有效密碼的情況。一旦確定您當前的密碼不再有效,就很可能是流氓駭客使用您的密碼登入並進行了更改,以使您無法進入。
在這種情況下通常會發生的情況是,受害人對據稱聲稱來自該服務的真實外觀的網路釣魚電子郵件做出了迴應。壞人使用它來收集登入資訊,登入,更改密碼(以及其他資訊,使恢復過程複雜化),並使用該服務從受害者或受害者的熟人中偷錢(同時冒充受害者)。
怎麼辦:如果該騙局非常普遍,並且已經與您的許多熟人聯絡,請立即將所有您的受感染帳戶通知您的所有親密聯絡人。這樣可以最大程度地減少因您的失誤對他人造成的損害。其次,請與線上服務聯絡以報告遭到入侵的帳戶。現在,大多數線上服務都有簡便的方法或電子郵件聯絡地址來報告遭到入侵的帳戶。如果您將帳戶報告為受到感染,則通常該服務將完成其餘工作,以幫助您恢復合法訪問許可權。另外,考慮頒佈MFA。
如果在其他網站上使用了受損的登入資訊,請立即 更改這些密碼。下次請多加註意。網站很少傳送電子郵件要求您提供登入資訊。如有疑問,請直接訪問網站(不要使用透過電子郵件傳送給您的連結),並檢視使用合法方法登入時是否要求提供相同的資訊。您也可以透過其電話線致電該服務或透過電子郵件將其舉報,以舉報收到的網路釣魚電子郵件或確認其有效性。
8。您觀察到意外的軟體安裝
不需要的和意外的軟體安裝是您的計算機已被駭客入侵的重要標誌。在早期的惡意軟體中,大多數程式都是計算機病毒,它們可以透過修改其他合法程式來起作用。他們這樣做是為了更好地隱藏自己。如今,大多數惡意軟體程式都是特洛伊木馬和蠕蟲,它們通常像合法程式一樣自行安裝。這可能是因為當警察追上他們時,他們的創作者可以嘗試說些類似的話:“我們是一家合法的軟體公司。”
有害軟體通常是由其他程式合法安裝的,因此請閱讀您的許可協議。通常,我會閱讀許可協議,這些協議明確宣告它們將安裝一個或多個其他程式。有時,您可以選擇退出其他已安裝的程式。
怎麼辦:有很多程式可以向您顯示所有已安裝的程式,並讓您有選擇地禁用它們。我最喜歡的Microsoft Windows Checker是Microsoft的免費程式, Autoruns 或Process Explorer。它們不會向您顯示已安裝的每個程式,但是會告訴您在重新啟動PC時自動啟動的程式(自動執行)或當前正在執行的程式(Process Explorer)。
大多數惡意軟體程式都可以嵌入到更大數量的合法執行程式中。困難的部分可以是確定什麼是合法的,什麼是不合法的。您可以啟用“檢查VirusTotal。com”選項,這些程式以及Google的Virustotal。com網站將告訴您它認為哪些惡意軟體。如有疑問,請禁用無法識別的程式,重新啟動PC,然後僅在某些所需功能不再起作用時重新啟用該程式。
9。滑鼠在程式之間移動並進行選擇
如果在進行有效的選擇時滑鼠指標自行移動(這是重要的特點),則肯定是您被黑了。通常由於硬體問題,滑鼠指標經常隨機移動。如果這些運動涉及做出執行特定程式的選擇,那麼惡意軟體就在其中。
這種技術不像其他一些攻擊那麼普遍。駭客會闖入計算機,等待計算機長時間閒置(例如午夜後),然後嘗試竊取您的錢。駭客將闖入銀行帳戶並轉移資金,交易您的股票以及進行各種旨在減輕您的現金負擔的流氓行為。
怎麼辦:如果您的計算機在一夜之間“活躍起來”,請先關閉計算機一分鐘,然後再確定入侵者感興趣的內容。不要讓他們搶劫您,但瞭解他們在看什麼將很有用。並試圖妥協。拍攝一些照片以記錄其任務。在合理的情況下,關閉計算機電源。將其從網路上摘機(或禁用無線路由器),然後致電專業人員。這是您需要專家幫助的時候。
使用另一臺已知良好的計算機,立即更改所有其他登入名和密碼。檢查您的銀行帳戶交易記錄,股票帳戶等,如果您一直是這種攻擊的受害者,則必須認真對待。完全還原計算機是您應該選擇的唯一恢復選項。如果您損失了任何金錢,請確保先讓法醫小組進行復印。如果您蒙受了損失,請致電執法部門並提起訴訟。您將需要此資訊來最好地彌補您的實際金錢損失(如果有)。
10。禁用了反惡意軟體,任務管理器或登錄檔編輯器
這是惡意破壞的一個巨大跡象。如果您發現自己的防病毒軟體已被禁用並且沒有使用,則可能是您被利用了-尤其是當您嘗試啟動任務管理器或登錄檔編輯器而它們無法啟動,無法啟動或消失時,狀態。
怎麼辦:執行完整還原,因為無法告知發生了什麼。如果您想先嚐試一些不太激烈的嘗試,如果在Windows計算機上,請嘗試執行Microsoft Autoruns或Process Explorer(或類似程式)以清除引起問題的惡意程式。他們通常會確定您的問題程式,然後可以將其解除安裝或刪除。
如果惡意軟體“反擊”並不允許您輕鬆解除安裝,請研究多種方法來恢復丟失的功能(任何網際網路搜尋引擎都會返回大量結果),然後以安全模式重啟計算機並啟動努力工作。我之所以說“艱苦的工作”,是因為通常這並不容易或快速。通常,我必須嘗試幾種不同的方法才能找到可行的方法。透過使用上面列出的方法擺脫惡意軟體程式,可以首先恢復軟體。
11。您的帳戶金額減少
我的意思是突然少了很多錢。網上壞人通常不會偷小錢。他們喜歡將所有或幾乎所有東西都轉移到外匯或銀行。通常,它始於您的計算機受到威脅,或者是您對銀行或股票交易公司的假網路釣魚作出迴應。壞人登入到您的帳戶,更改您的聯絡資訊,並向自己轉移大量資金。
怎麼辦:在大多數情況下,您很幸運,因為大多數金融機構將為您挽回被盜的資金(尤其是如果它們可以在損失真正發生之前就停止交易)。但是,在某些情況下,法院裁定客戶的責任是不被駭客入侵,這取決於金融機構來決定他們是否會向您賠償。
為了避免這種情況的發生,請開啟事務警報,該事務警報會在發生異常情況時向您傳送文字警報。許多金融機構都允許您設定交易金額的門檻,如果超過或超過了門檻,就會被警告。不幸的是,很多壞人在竊取您的錢之前會重置警報或您的聯絡資訊。因此,請確保您的金融或貿易機構在您的聯絡資訊或警報選擇發生更改時向您傳送警報。
12。您已收到被駭客入侵的人的通知
任何組織發現自己已成功受到威脅的最重要方式之一是無關的第三方發出的通知。自從計算機誕生以來就是這種情況,並且一直是事實。Verizon備受尊敬的《資料洩露調查報告》顯示,與承認自己的妥協的組織相比,被通知與不相關的第三方入侵的公司更多。2019年7月,微軟透露,自今年年初以來,它已經檢測到針對其10,000多名客戶的攻擊。
要做的事情:首先,確定您是否真的被駭客入侵了。如果確認,請遵循您的預定義事件響應計劃。確保每個人都知道您的IR計劃是必須遵循的深思熟慮的計劃。
13。機密資料已洩漏
沒有什麼能像組織的機密資料在Internet或深網上散發出來那樣證明您被駭客入侵了。如果您沒有首先注意到它,那麼媒體和其他感興趣的利益相關者很可能會與您的組織聯絡,以確認或瞭解您對此所做的事情。
怎麼做:像以前的跡象一樣,首先要找出它是否真的是您的機密資料。在許多情況下,駭客聲稱破壞了公司的資料,但沒有任何保密資訊。他們要麼組成索賠和資料,要麼只有公開資料,要麼擁有其他公司的資料。因此,首先確認。
如果這是您組織的機密資料,那麼是時候告訴高階管理層,開始IR流程並弄清楚什麼時候需要與誰溝通了。
14。您的憑據(密碼)位於密碼轉儲中
數十億個有效的(至少一次)登入憑據存在於Internet和黑暗的網路上。通常,它們會因網路釣魚,惡意軟體或網站資料庫漏洞而受到損害。通常,第三方不會像其他型別的資料洩漏那樣通知您。您必須主動警惕這種威脅。越早知道發生這種事情越好。
您可以使用各種網站(例如“我曾經被擁有過”)一次檢查受侵害的憑證,使用各種免費的開源智慧工具(例如The Harvester),免費的商業工具(例如KnowBe4的Password Exposure Test)來檢查多個帳戶,或者付費尋找您公司資料和憑證的任何商業服務。
操作:首先確認轉儲中是否包含任何當前使用的憑據,然後重置所有登入憑據。啟動IR流程,以檢視是否可以弄清楚組織的登入憑據在公司外的結局如何。另外,實施MFA。
15。您觀察到奇怪的網路流量模式
首先,奇怪的、意外的網路流量你就需要引起警惕。可能是對公司的Web伺服器的嚴重的分散式拒絕服務(DDoS)攻擊,或者可能是向與您沒有業務往來的國家/地區的站點的大型預期檔案傳輸。如果瞭解其合法的網路流量模式,則無需第三方來告訴他們受到了攻擊。慶幸的是,我知道公司中的大多數伺服器都不會與公司中的其他伺服器通訊。公司中的大多數伺服器不會與公司中的每個工作站通訊,反之亦然。公司中的大多數工作站都不應使用非HTTP /非HTTPS協議直接與Internet上的其他位置進行通訊。
怎麼辦:如果您看到無法解釋的意外、奇怪的流量,則最好是終止網路連線並開始進行IR調查。幾年前,我們可能會說如果操作謹慎會犯錯誤。今天,您不能再冒險了。直接殺死任何可疑的流量,直到證明它們是合法的。
如果您不瞭解有效的網路流量,則需要這樣做。數十種工具旨在幫助您更好地理解和記錄網路流量。我建議您檢查一下Bro和Snort這樣的免費開放原始碼替代方案,但要有效使用它們,都需要大量的時間,資源和研究。相反,找到一個已經為您完成所有艱苦工作的好的商業解決方案是最佳的。
預防是最好的治療方法
希望安全軟體能夠完美地檢測到惡意軟體和惡意駭客,這是非常愚蠢的。請注意計算機被駭客入侵的這些常見跡象和症狀。如果您像我一樣是冒險的,請始終在發生違規事件時執行完整的計算機還原。一旦您的計算機受到威脅,壞人就可以做任何事情並藏在任何地方。
大多數惡意駭客源自以下三種媒介之一:執行特洛伊木馬程式,未打補丁的軟體以及對偽造的網路釣魚電子郵件進行響應。在防止這三件事上做得更好,您將不太可能依賴安全軟體的準確性和運氣。
本文僅作技術分享 切勿用於非法途徑
如果您對文中的軟體或者技術感興趣
可以持續跟蹤學習
