Loại bỏ phần mềm độc hại - Hướng dẫn nhanh

Trong những năm gần đây, chúng tôi đã nghe nói về nhiều người và các công ty lớn bị mất dữ liệu quý giá của họ hoặc trong tình huống hệ thống của họ bị tấn công. Trong hầu hết các trường hợp, các hoạt động không mong muốn này đang được gây ra bằng cách sử dụng một phần mềm được chèn vào hệ thống mạng, máy chủ hoặc máy tính cá nhân. Phần mềm này được gọi làmalware.

Phần mềm độc hại có thể gây hại trực tiếp cho hệ thống hoặc mạng hoặc khiến chúng bị người khác sử dụng thay vì chủ sở hữu của chúng. Nó là sự kết hợp của hai từ:Mal Ý nghĩa BadWare Ý nghĩa Software.

Dựa trên www.av-test.org , số liệu thống kê đang tăng lên rất nhiều. Vui lòng nhìn vào biểu đồ sau để hiểu sự phát triển của Phần mềm độc hại.

Như bạn có thể thấy, chỉ riêng trong năm 2016 đã có hơn 600.000.000 phần mềm độc hại được phát hiện. Dựa trênsecurelist.com, các quốc gia có máy tính bị lây nhiễm so với các quốc gia sạch hơn là -

Rủi ro tối đa (trên 60%) 22 quốc gia bao gồm
Kyrgyzstan (60,77%) Afghanistan (60,54%).
Nguy cơ cao (41-60%): 98 quốc gia bao gồm
Ấn Độ (59,7%) Ai Cập (57,3%) Belarus (56,7%)
Thổ Nhĩ Kỳ (56,2%) Brazil (53,9%) Trung Quốc (53,4%)
UAE (52,7%) Serbia (50,1%) Bungari (47,7%)
Argentina (47,4%) Israel (47,3%) Latvia (45,9%)
Tây Ban Nha (44,6%) Ba Lan (44,3%) Đức (44%)
Hy Lạp (42,8%) Pháp (42,6%) Hàn Quốc (41,7%),
Áo (41,7%)
Tỷ lệ nhiễm tại chỗ vừa phải (21-40,99%): 45 quốc gia bao gồm
Romania (40%) Ý (39,3%) Canada (39,2%)
Úc (38,5%) Hungary (38,2%) Thụy Sĩ (37,2%)
Hoa Kỳ (36,7%) Vương quốc Anh (34,7%) Ireland (32,7%)
Hà Lan (32,1%), Cộng hòa Séc (31,5%) Singapore (31,4%)
Na Uy (30,5%) Phần Lan (27,4%) Thụy Điển (27,4%),
Đan Mạch (25,8%), Nhật Bản (25,6%).

Phần mềm độc hại có thể được tin tặc thiết kế cho các mục đích khác nhau như phá hủy dữ liệu, tự động gửi dữ liệu đến một nơi khác, thay đổi dữ liệu hoặc có thể tiếp tục theo dõi nó cho đến một khoảng thời gian nhất định. Vô hiệu hóa các biện pháp bảo mật, làm hỏng hệ thống thông tin hoặc ảnh hưởng đến tính toàn vẹn của dữ liệu và hệ thống.

Chúng cũng có nhiều dạng và dạng khác nhau, mà chúng ta sẽ thảo luận chi tiết trong các chương sắp tới của hướng dẫn này.

Để hiểu cách phần mềm độc hại hoạt động, trước tiên chúng ta nên xem cơ cấu của một cuộc tấn công bằng phần mềm độc hại, được phân tách theo năm bước như hình dưới đây -

  • Điểm đầu vào
  • Distribution
  • Exploit
  • Infection
  • Execution

Hãy cùng chúng tôi hiểu chi tiết những điểm nêu trên.

Điểm đầu vào

Phần mềm độc hại có thể xâm nhập vào hệ thống theo nhiều cách -

  • Người dùng truy cập trang web yêu thích của mình đã bị nhiễm gần đây. Đây có thể là điểm vào của phần mềm độc hại.

  • Nếu người dùng nhấp vào URL có trong email, nó sẽ chiếm quyền điều khiển trình duyệt đó.

  • Phần mềm độc hại cũng có thể xâm nhập thông qua bất kỳ phương tiện bên ngoài nào bị nhiễm như USB hoặc ổ cứng ngoài.

Phân phối

Phần mềm độc hại bắt đầu một quy trình chuyển hướng lưu lượng truy cập đến máy chủ khai thác để kiểm tra hệ điều hành và các ứng dụng như trình duyệt, Java, trình phát Flash, v.v.

Khai thác

Trong giai đoạn này, exploit sẽ cố gắng thực thi dựa trên Hệ điều hành và sẽ tìm cách nâng cao đặc quyền.

Sự nhiễm trùng

Bây giờ, khai thác đã được cài đặt thành công sẽ tải lên một trọng tải để duy trì quyền truy cập và quản lý nạn nhân như truy cập từ xa, tải lên / tải xuống tệp, v.v.

Chấp hành

Trong giai đoạn này, tin tặc quản lý Phần mềm độc hại sẽ bắt đầu đánh cắp dữ liệu của bạn, mã hóa tệp của bạn, v.v.

Phần mềm độc hại rất đa dạng; chúng đến từ các chức năng khác nhau và hành xử khác nhau trong các tình huống khác nhau. Dưới đây là một số loại phần mềm độc hại khét tiếng và nguy hiểm nhất:

  • Virus
  • Adware
  • Spyware
  • Trojan
  • Rootkits
  • Botnets
  • Ransom Ware

Hãy để chúng tôi hiểu chi tiết từng điều này.

Vi-rút

Virus là một chương trình phần mềm độc hại hoạt động theo một cách thú vị. Chương trình này thực thi hoặc sao chép chính nó bằng cách đưa một số bản sao của chính nó vào các chương trình máy tính khác, khu vực khởi động, tệp dữ liệu, đĩa cứng, v.v. Khi quá trình nhân bản được thực hiện, thì các khu vực bị ảnh hưởng được cho là nơi bị nhiễm. .

Virus được xây dựng để thực hiện một số hoạt động có hại nhất trên máy chủ khi chúng bị nhiễm. Chúng có thể ăn cắp thời gian của CPU hoặc thậm chí là không gian trong đĩa cứng. Chúng cũng có thể làm hỏng dữ liệu và có thể đưa một số thông báo hài hước lên màn hình của hệ thống.

Phần mềm quảng cáo

Phần mềm này chủ yếu là phần mềm hỗ trợ quảng cáo. Một gói tự động đi kèm với các quảng cáo bên trong. Do đó, nó có thể tạo ra một số thu nhập tốt cho chủ sở hữu.

Phần mềm gián điệp

Phần mềm gián điệp là một phần mềm chủ yếu được sử dụng để thu thập thông tin về một số tổ chức hoặc một người. Thông tin đó được thu thập mà không ai biết rằng thông tin đó được lấy từ hệ thống của họ.

Trojan

Trojan là một loại phần mềm độc hại không tự sao chép. Nó chứa một số mã độc hại, thực hiện một số hành động được xác định bởi bản chất của Trojan cụ thể đó. Điều này chỉ xảy ra khi thực hiện. Kết quả của hành động thông thường là mất dữ liệu và nó cũng có thể gây hại cho hệ thống theo nhiều cách.

Rootkit

Rootkit là loại phần mềm độc hại tàng hình. Chúng được thiết kế theo một số cách đặc biệt mà chúng thực sự có thể ẩn mình rất tốt và khá khó để phát hiện ra chúng trong một hệ thống. Các phương pháp phát hiện thông thường không hoạt động trên chúng.

Botnet

Botnet là một phần mềm được cài đặt trên một máy tính được kết nối qua internet và nó có thể giúp một người giao tiếp với các chương trình cùng loại khác để có thể thực hiện một số hành động. Chúng có thể giống như việc giữ quyền kiểm soát một số IRC, là Biểu đồ liên quan đến Internet. Ngoài ra, nó có thể được sử dụng để gửi một số email spam hoặc tham gia vào một số hoạt động phát tán các cuộc tấn công từ chối dịch vụ.

Ransom Ware

Ransom ware là một phần mềm mã hóa các tập tin nằm trên ổ cứng. Một số người trong số họ thậm chí có thể kết thúc với việc hiển thị một số thông báo về việc thanh toán tiền cho người đã thực hiện chương trình này.

Nói chung, nếu một máy tính bị nhiễm virus sẽ có một số triệu chứng mà người dùng thậm chí có thể nhận thấy.

Các kỹ thuật phát hiện phần mềm độc hại phổ biến

Một số Kỹ thuật phát hiện phần mềm độc hại được sử dụng phổ biến nhất được liệt kê như sau.

  • Máy tính của bạn hiển thị một cửa sổ bật lên và thông báo lỗi.

  • Máy tính của bạn thường xuyên bị treo và bạn không thể làm việc trên đó.

  • Máy tính chạy chậm lại khi một chương trình hoặc quá trình bắt đầu. Điều này có thể nhận thấy trong trình quản lý tác vụ rằng quá trình của phần mềm đã bắt đầu, nhưng nó vẫn chưa mở để hoạt động.

  • Các bên thứ ba phàn nàn rằng họ đang nhận được lời mời trên mạng xã hội hoặc qua email từ bạn.

  • Các thay đổi về phần mở rộng tệp xuất hiện hoặc tệp được thêm vào hệ thống của bạn mà không có sự đồng ý của bạn.

  • Trình khám phá Internet bị đóng băng quá thường xuyên mặc dù tốc độ internet của bạn rất tốt.

  • Đĩa cứng của bạn được truy cập hầu hết thời gian, bạn có thể nhìn thấy điều này từ đèn LED nhấp nháy của máy tính.

  • Tệp hệ điều hành bị hỏng hoặc bị thiếu.

  • Nếu máy tính của bạn đang ngốn quá nhiều băng thông hoặc tài nguyên mạng, đó là trường hợp sâu máy tính.

  • Không gian đĩa cứng luôn bị chiếm dụng, ngay cả khi bạn không thực hiện bất kỳ hành động nào. Ví dụ, cài đặt Chương trình Mew.

  • Kích thước tệp và chương trình thay đổi so với phiên bản gốc của chúng.

Các lỗi không liên quan đến Phần mềm độc hại

Các lỗi sau đây là not related to Malware Hoạt động -

  • Lỗi khi hệ thống đang khởi động trong giai đoạn Bios, như hiển thị ô pin của Bios, hiển thị lỗi hẹn giờ.

  • Các lỗi phần cứng như Bíp, ghi RAM, HDD, v.v.

  • Nếu một tài liệu không thể khởi động bình thường giống như một tệp bị hỏng, nhưng các tệp khác có thể được mở tương ứng.

  • Bàn phím hoặc chuột không trả lời lệnh của bạn; bạn phải kiểm tra các trình cắm thêm.

  • Màn hình bật và tắt quá thường xuyên, như nhấp nháy hoặc rung, đây là lỗi phần cứng.

Trong chương tiếp theo, chúng ta sẽ hiểu cách chuẩn bị cho việc loại bỏ Phần mềm độc hại.

Phần mềm độc hại tự gắn vào các chương trình và truyền đến các chương trình khác bằng cách sử dụng một số sự kiện. Chúng cần những sự kiện này xảy ra vì chúng không thể tự bắt đầu, tự truyền tải bằng cách sử dụng các tệp không thực thi và lây nhiễm các mạng khác hoặc máy tính.

Để chuẩn bị cho giai đoạn xóa, trước tiên chúng ta nên hiểu tất cả quy trình máy tính nào đang được phần mềm độc hại sử dụng để tiêu diệt chúng. Chúng đang sử dụng những cổng lưu lượng nào để chặn chúng? Các tệp liên quan đến những phần mềm độc hại này là gì, vì vậy chúng tôi có thể có cơ hội sửa chữa hoặc xóa chúng. Tất cả điều này bao gồm một loạt các công cụ sẽ giúp chúng tôi thu thập thông tin này.

Quy trình điều tra

Từ các kết luận đã đề cập ở trên, chúng ta nên biết rằng khi một số tiến trình hoặc dịch vụ bất thường do chính chúng chạy, chúng ta nên điều tra thêm mối quan hệ của chúng với một loại virus có thể xảy ra. Quá trình điều tra như sau:

Để điều tra các quy trình, chúng ta nên bắt đầu bằng cách sử dụng các công cụ sau:

  • fport.exe
  • pslist.exe
  • handle.exe
  • netstat.exe

Các Listdll.exe hiển thị tất cả dll filesđang được sử dụng. Cácnetstat.exevới các biến của nó hiển thị tất cả các quy trình đang được chạy với các cổng tương ứng của chúng. Ví dụ sau đây cho thấy, cách một quá trìnhKaspersky Antivirusđược ánh xạ tới một lệnh netstat-ano để xem số quá trình. Để kiểm tra xem nó thuộc về số tiến trình nào, chúng tôi sẽ sử dụng trình quản lý tác vụ.

Đối với Listdll.exe, chúng tôi đã tải xuống từ liên kết sau: https://technet.microsoft.com/en-us/sysinternals/bb896656.aspx và chúng tôi có thể chạy nó để kiểm tra quy trình nào được kết nối với DLL đang được sử dụng.

Chúng ta mở CMD và đi đến đường dẫn của Listdll.exe như trong ảnh chụp màn hình sau, sau đó chạy nó.

Chúng ta sẽ nhận được kết quả như trong ảnh chụp màn hình sau.

Ví dụ: PID 16320 đang được sử dụng bởi dllhost.exe, có một mô tả COM Surrogatevà ở bên trái. Nó đã hiển thị tất cả DLL được hiển thị bởi quá trình này, chúng tôi có thể google và kiểm tra.

Bây giờ chúng ta sẽ sử dụng Fport, có thể tải xuống từ liên kết sau: https://www.mcafee.com/hk/downloads/free-tools/fport.aspx# để ánh xạ các dịch vụ và PID với các cổng.

Một công cụ khác để giám sát các dịch vụ và xem chúng đang tiêu thụ bao nhiêu tài nguyên được gọi là “Process Explorer”, có thể tải xuống từ liên kết sau: https://download.sysinternals.com/files/ProcessExplorer.zip và sau khi tải xuống, bạn phải chạy tệp exe và bạn sẽ thấy kết quả sau:

Trong chương này, chúng ta sẽ hiểu cách thực hiện quá trình dọn dẹp máy tính đã bị nhiễm bất kỳ loại phần mềm độc hại nào. Hãy để chúng tôi làm theo các bước dưới đây.

Step 1- Để bắt đầu, chúng ta cần ngắt kết nối mạng của máy tính, có thể là kết nối cáp hoặc kết nối không dây. Điều này được thực hiện để quá trình tấn công mất kết nối với tin tặc, do đó không có thêm dữ liệu nào có thể tiếp tục bị rò rỉ.

Step 2 - Khởi động máy tính trong Safe Mode, chỉ những chương trình và dịch vụ bắt buộc tối thiểu mới được tải. Nếu bất kỳ phần mềm độc hại nào được đặt để tải tự động khi Windows khởi động, việc nhập vào chế độ này có thể ngăn không cho phần mềm đó làm như vậy. Điều này rất quan trọng vì nó cho phép xóa các tệp dễ dàng hơn, vì chúng không thực sự chạy hoặc hoạt động.

Khởi động máy tính ở chế độ an toàn

Khởi động máy tính ở chế độ an toàn có thể thay đổi từ Windows 7 đến Windows 10. Đối với Hệ điều hành Windows 10, các bước như sau:

Step 1 - Nhấn Windows logo key + Itrên bàn phím của bạn để mở Cài đặt. Nếu cách đó không hiệu quả, hãy chọn nút Bắt đầu ở góc dưới bên trái của màn hình, sau đó chọn Cài đặt. Chọn Cập nhật & bảo mật → Khôi phục.

Step 2 - Trong phần Khởi động nâng cao, chọn Khởi động lại ngay.

Step 3 - Sau khi PC của bạn khởi động lại màn hình Chọn tùy chọn, chọn Khắc phục sự cố → Tùy chọn nâng cao → Cài đặt khởi động → Khởi động lại.

Step 4- Sau khi PC khởi động lại, bạn sẽ thấy danh sách các tùy chọn. Chọn 4 hoặc F4 để khởi động PC của bạn ở Chế độ An toàn. Nếu bạn cần sử dụng Internet, hãy chọn 5 hoặc F5 cho Chế độ An toàn với Mạng.

Xóa tệp tạm thời

Xóa các tệp tạm thời của bạn. Làm điều này sẽ tăng tốc độ quét vi-rút, giải phóng dung lượng ổ đĩa và thậm chí loại bỏ một số phần mềm độc hại. Để sử dụngDisk Cleanup Utility, đi kèm với Windows 10 chỉ cần gõ Disk Cleanup trên thanh tìm kiếm hoặc sau khi nhấn nút Start và chọn công cụ xuất hiện - Disk Cleanup.

Dừng quá trình phần mềm độc hại có thể liên quan đến nó

Chúng tôi sẽ cố gắng chấm dứt tất cả các quy trình độc hại liên quan. Để làm điều này, chúng tôi sẽ sử dụng Rkill, có thể dễ dàng tải xuống từ liên kết sau - www.bleepingcomputer.com/download/rkill/

Tải xuống Malware Scanner và bắt đầu quét

Nếu bạn đã có chương trình chống vi-rút đang hoạt động trên máy tính của mình, bạn nên sử dụng một trình quét khác để kiểm tra phần mềm độc hại này, vì phần mềm chống vi-rút hiện tại của bạn có thể không phát hiện ra phần mềm độc hại. Hầu hết các phần mềm chống vi-rút nổi tiếng được đưa ra trong ảnh chụp màn hình sau.

Chúng ta nên hiểu rằng vi-rút chỉ lây nhiễm vào máy bên ngoài khi có sự hỗ trợ của người dùng máy tính, có thể giống như nhấp vào tệp được đính kèm với email từ một người không xác định, cắm USB mà không quét, mở các URL không an toàn, v.v. Vì những lý do đó , chúng tôi với tư cách là quản trị viên hệ thống phải xóa quyền quản trị viên của người dùng trong máy tính của họ.

Một số điều không nên làm phổ biến nhất khi để phần mềm độc hại xâm nhập vào hệ thống như sau:

  • Không mở bất kỳ tệp đính kèm email nào đến từ những người không xác định hoặc thậm chí từ những người đã biết có chứa văn bản đáng ngờ.

  • Không chấp nhận bất kỳ lời mời nào từ những người không quen biết trên mạng xã hội.

  • Không mở bất kỳ URL nào được gửi bởi những người không xác định hoặc những người đã biết có bất kỳ hình thức kỳ lạ nào.

Một số gợi ý quan trọng khác để giữ cho hệ thống của bạn được cập nhật như sau:

  • Tiếp tục cập nhật hệ điều hành theo định kỳ.

  • Cài đặt và cập nhật phần mềm chống vi-rút.

Mọi bộ nhớ di động được lấy từ bên thứ ba phải được quét bằng phần mềm chống vi-rút đã được cập nhật. Ngoài ra, hãy nhớ kiểm tra các khía cạnh sau.

  • Kiểm tra xem màn hình của bạn có đang sử dụng trình bảo vệ màn hình hay không.

  • Kiểm tra xem tường lửa máy tính đã bật chưa.

  • Kiểm tra xem bạn có thực hiện sao lưu thường xuyên không.

  • Kiểm tra xem có những chia sẻ không hữu ích.

  • Kiểm tra xem tài khoản của bạn có đầy đủ quyền hay bị hạn chế.

  • Cập nhật phần mềm của bên thứ ba khác.

Quản lý rủi ro phần mềm độc hại

Việc quản lý rủi ro phần mềm độc hại chủ yếu dành cho những công ty này, những công ty không tuân thủ đối với người dùng máy tính đơn lẻ. Để quản lý rủi ro đến từ phần mềm độc hại, có một số yếu tố chính chấp nhận các công nghệ đang được sử dụng, ngoài ra còn có yếu tố con người. Quản lý rủi ro phải thực hiện với phân tích xác định các rủi ro phần mềm độc hại và ưu tiên chúng theo tác động mà chúng có thể có đối với các quy trình kinh doanh.

Để giảm thiểu rủi ro về phần mềm độc hại trong môi trường kinh doanh quy mô vừa, chúng ta nên xem xét các điểm sau:

  • Nội dung hệ thống thông tin chung
  • Các mối đe dọa phổ biến
  • Vulnerabilities
  • Giáo dục người dùng
  • Cân bằng giữa quản lý rủi ro và nhu cầu kinh doanh

Trong chương tiếp theo, chúng ta sẽ tìm hiểu một số công cụ loại bỏ phần mềm độc hại quan trọng.

Trong các chương trước, chúng ta đã thảo luận về phần mềm độc hại là gì, cách chúng hoạt động và cách làm sạch chúng. Tuy nhiên, trong chương này, chúng ta sẽ thấy mặt khác của bảo vệ tự động, được phân loại là chống phần mềm độc hại hoặc chống vi-rút. Ngày nay, việc sử dụng phần mềm này rất quan trọng vì như chúng ta đã thấy trong các chương trước, số lượng phần mềm độc hại đang tăng lên theo cấp số nhân, do đó không thể phát hiện ra chúng.

Mỗi nhà sản xuất phần mềm chống phần mềm độc hại đều có công nghệ và kỹ thuật riêng của họ về cách phát hiện phần mềm độc hại, nhưng điều đáng nói là chúng phát hiện rất nhanh vì họ cập nhật hầu như mỗi ngày với các phát hiện phần mềm độc hại mới.

Một số phần mềm chống phần mềm độc hại hoặc chống vi-rút nổi tiếng toàn cầu và hiệu quả nhất được đề cập dưới đây:

  • McAfee Stinger

  • HijackThis

  • Malwarebytes

  • Kaspersky Endpoint Security 10

  • Panda Free Anti-Virus

  • Tìm kiếm & tiêu diệt Spybot

  • Ad-Aware Free Antivirus +

  • AVG Antivirus 2016

  • SUPERAntiSpyware

  • Microsoft Security Essentials