心做分享,只為給您最好的學習教程
如果您覺得文章不錯,歡迎持續學習
在當今的網絡威脅環境中,有了安全軟件幾乎沒有什么可擔心的。實際上,安全軟件并不十分準確,特別是對于不足24小時的漏洞利用程序。惡意黑客和惡意軟件可以隨意更改其策略。在周圍交換幾個字節,以前識別的惡意軟件程序將變得無法識別。
為了解決這個問題,許多安全軟件監視程序行為(通常稱為啟發式),以捕獲以前無法識別的惡意軟件。其他程序則使用虛擬化環境,系統監視,網絡流量檢測以及所有上述所有內容,以更加準確。安全軟件仍然會失敗。如果它們失敗了,您需要知道如何發現通過安全軟件檢測的惡意軟件。
這里有15個確定的跡象表明您已被黑客入侵,如果在日常使用當中發現以下情況,說明您極有可能已被黑客入侵。
請注意,在所有情況下,建議都是在繼續操作之前將系統完全恢復到已知的良好狀態。在早期,這意味著格式化計算機并還原所有程序和數據。今天,這可能只是意味著單擊“還原”按鈕。從風險角度考慮,完全還原始終是更好的選擇。
任何人在計算機上看到的最糟糕的消息之一是屏幕被突然的接管,并告訴他們所有數據都已加密,并要求付款以解鎖數據。勒索軟件非常龐大!在2017年活動量略有下降之后,索要贖金的計劃又卷土重來了。數十億美元的生產力正在損失,數十億美元的贖金正在支付。小型企業,大型企業,醫院,警察局和整個城市都被勒索軟件所攻破。大約50%的受害者支付了贖金,這是一個很可悲的事情,也是很無奈的舉措。
不幸的是,根據網絡安全公司的說法,支付贖金并不會贏得約40%的時間運行系統。即使受害者確實支付了贖金,大多數受害者最終也要經歷許多天的停機和額外的恢復步驟。
要做的事情:首先,如果您有一個良好的,經過測試的受影響系統的最新數據備份,您要做的就是還原所涉及的系統并進行充分驗證(正式稱為單元測試),以確保恢復為100 %。可悲的是,大多數公司沒有他們認為的良好備份。
最好的保護是確保您具有良好的,可靠的,經過測試的脫機備份。勒索軟件日益成熟。使用惡意軟件的壞人正在受感染的企業環境中花費時間,以找出如何造成最大損失的方法,其中包括加密或破壞您最近的在線備份。如果您沒有惡意入侵者無法訪問的優質,經過測試的備份,那您將承擔風險。
最后,幾個網站可能能夠幫助您恢復文件而無需支付贖金。他們要么找到了共享的秘密加密密鑰,要么以其他方式對勒索軟件進行了反向工程。您將需要識別所面臨的勒索軟件程序和版本。更新的安全軟件可能會識別出罪魁禍首,盡管通常您所要做的只是勒索軟件勒索消息,但這通常就足夠了。
您在計算機或移動設備上收到一條彈出消息,提示設備已被感染。該彈出消息冒充成一種防病毒掃描產品,并且據稱已在您的計算機上發現了十幾個或更多的惡意軟件感染。盡管這種方式不像以前那樣流行,但是偽造的防病毒警告消息仍然是導致很多人上當。
發生這種情況的原因有兩個:要么您的系統已經受到威脅,要么其本身就是病毒。希望是后者。這些類型的偽造的防病毒消息通常已經找到了一種鎖定瀏覽器的方法,這樣您就無法在不關閉瀏覽器并重新啟動瀏覽器的情況下逃脫偽造的消息。
怎么辦:如果幸運的話,您可以關閉標簽頁并重新啟動瀏覽器,一切正常。虛假消息不會顯示出來。在大多數情況下,您會被迫終止瀏覽器。重新啟動它有時會重新加載將偽造廣告強加于您的原始頁面,因此您會再次獲得偽造的AV廣告。如果發生這種情況,請以隱身或私有模式重新啟動瀏覽器,然后您可以瀏覽到其他頁面并停止顯示虛假的AV消息。
更糟糕的情況是,虛假的AV消息破壞了您的計算機(通常是由于社交工程或未修補的軟件)。在這種情況下,請關閉計算機電源。如果您需要保存任何東西并且可以保存,請在關閉電源之前進行保存。然后將系統還原到以前已知的干凈映像。大多數操作系統都具有專門為此設置的重置功能。
注意:一個相關的騙局是,警告您的計算機已受到感染,并撥打屏幕上的免費電話以獲取技術支持幫助。通常,警告聲稱來自Microsoft(即使您使用的是Apple計算機)。這些技術支持詐騙者會要求您安裝程序,然后使他們能夠完全訪問您的系統。他們將運行偽造的防病毒軟件,發現很多病毒就不足為奇了。然后,他們向您出售一個解決所有問題的程序。
這是一種普遍的利用跡象:您的瀏覽器有多個新工具欄,這些工具欄的名稱似乎表明該工具欄應為您提供幫助。除非您認識到該工具欄來自知名供應商,否則是時候轉儲虛假的工具欄了。
做什么:大多數瀏覽器都允許您查看已安裝和活動的工具欄。刪除所有您不想安裝的內容。如有疑問,請將其刪除。如果此處沒有列出偽造的工具欄,或者您無法輕易將其刪除,請查看您的瀏覽器是否可以選擇將瀏覽器重置回其默認設置。如果這不起作用,請按照上面列出的說明操作,以獲取偽造的防病毒消息。
通常,可以通過確保所有軟件都已完全打補丁并監視安裝這些工具欄的免費軟件,來避免惡意工具欄。提示:閱讀許可協議。通常在大多數人不閱讀的許可協議中指出了工具欄的安裝。
許多黑客通過將瀏覽器重定向到您不想去的地方來謀生。通過使您的點擊出現在其他人的網站上,黑客可以獲得報酬。他們通常不知道對其網站的點擊來自惡意重定向。
您通常可以通過在互聯網搜索引擎中鍵入一些相關的,非常常見的詞(例如“ puppy”或“ goldfish”)來發現這種類型的惡意軟件。不幸的是,通過使用其他代理,當今許多重定向的Internet搜索對于用戶而言都是很好的隱藏方式,因此偽造的結果永遠不會返回以提醒用戶。
通常,如果您使用的是偽造的工具欄程序,那么您也會被重定向。真正想確認的技術用戶可以嗅探自己的瀏覽器或網絡流量。在受感染的計算機上與未受感染的計算機上,發送和返回的流量始終會明顯不同。
怎么辦:按照與刪除偽造的工具欄和程序相同的說明進行操作。通常,這足以擺脫惡意重定向。此外,如果在Microsoft Windows計算機上,請檢查C:\ Windows \ System32 \ drivers \ etc \ hosts文件,以查看其中是否配置了任何惡意的重定向。當輸入一個特定的URL時,hosts文件會告訴您的PC去哪里。幾乎不再使用它了。如果主機文件上的文件戳是最新的,則可能已被惡意修改。在大多數情況下,您可以簡單地重命名或刪除它而不會引起問題。
這個流行的跡象表明您已被黑客入侵,這也是較煩人的跡象之一。當您從通常不生成它們的網站上獲得隨機的瀏覽器彈出窗口時,您的系統已受到破壞。我一直為哪個網站(合法網站或其他網站)可以繞過瀏覽器的反彈出機制而感到驚訝。這就像與電子郵件垃圾郵件作斗爭,但情況更糟。
怎么辦:聽起來不像是破記錄,但通常由上面提到的三種先前的惡意機制之一產生隨機彈出窗口。如果您甚至希望擺脫彈出窗口,就需要擺脫虛假的工具欄和其他程序。
我們以前都看過這一本書。當您已經成為該社交媒體網站上的朋友時,您或您的朋友都會收到“成為朋友”的邀請。通常,您在想:“他們為什么再次邀請我?他們是否解除了對我的朋友,而我卻沒有注意到,現在他們重新邀請了我。” 然后,您會注意到新朋友的社交媒體網站上沒有其他可識別的朋友(或者可能只有幾個),并且沒有較舊的帖子。或者您的朋友正在與您聯系,以找出發送新朋友請求的原因。在這兩種情況下,黑客要么控制您的社交媒體網站,要么創建了另一個看上去相似的偽造頁面,要么您或您的朋友安裝了流氓社交媒體應用程序。
怎么辦:首先,警告其他朋友不要接受意外的朋友請求。像這樣說:“不要接受Bridget發出的新邀請。我認為她被黑了!”。然后以其他方式聯系Bridget進行確認。在您的普通社交媒體圈子中傳播新聞。接下來,如果不是第一次,請與社交媒體網站聯系,并以虛假方式舉報該網站或提出要求。每個站點都有其自己的舉報虛假請求的方法,您可以通過搜索其聯機幫助來找到它們。通常就像單擊報告按鈕一樣簡單。如果您的社交媒體網站確實遭到黑客入侵(并且不是第二個類似的偽造頁面),則需要更改密碼(如果沒有,請參閱幫助信息,以了解如何執行此操作)。
更好的辦法是,不要浪費時間。更改為多因素身份驗證(MFA)。這樣,壞人(和流氓應用程序)就不那么容易竊取并接管您的社交媒體形象。最后,不要安裝任何社交媒體應用程序。它們通常是惡意的。定期檢查與您的社交媒體帳戶/頁面關聯的已安裝應用程序,并刪除所有您真正想要擁有的應用程序。
如果您確定正確輸入了在線密碼,并且該密碼不起作用,則可能是您被黑了。我通常會在10到30分鐘內再試一次,因為我遇到過遇到技術困難的網站在短時間內不接受我的有效密碼的情況。一旦確定您當前的密碼不再有效,就很可能是流氓黑客使用您的密碼登錄并進行了更改,以使您無法進入。
在這種情況下通常會發生的情況是,受害人對據稱聲稱來自該服務的真實外觀的網絡釣魚電子郵件做出了回應。壞人使用它來收集登錄信息,登錄,更改密碼(以及其他信息,使恢復過程復雜化),并使用該服務從受害者或受害者的熟人中偷錢(同時冒充受害者)。
怎么辦:如果該騙局非常普遍,并且已經與您的許多熟人聯系,請立即將所有您的受感染帳戶通知您的所有親密聯系人。這樣可以最大程度地減少因您的失誤對他人造成的損害。其次,請與在線服務聯系以報告遭到入侵的帳戶。現在,大多數在線服務都有簡便的方法或電子郵件聯系地址來報告遭到入侵的帳戶。如果您將帳戶報告為受到感染,則通常該服務將完成其余工作,以幫助您恢復合法訪問權限。另外,考慮頒布MFA。
如果在其他網站上使用了受損的登錄信息,請立即 更改這些密碼。下次請多加注意。網站很少發送電子郵件要求您提供登錄信息。如有疑問,請直接訪問網站(不要使用通過電子郵件發送給您的鏈接),并查看使用合法方法登錄時是否要求提供相同的信息。您也可以通過其電話線致電該服務或通過電子郵件將其舉報,以舉報收到的網絡釣魚電子郵件或確認其有效性。
不需要的和意外的軟件安裝是您的計算機已被黑客入侵的重要標志。在早期的惡意軟件中,大多數程序都是計算機病毒,它們可以通過修改其他合法程序來起作用。他們這樣做是為了更好地隱藏自己。如今,大多數惡意軟件程序都是特洛伊木馬和蠕蟲,它們通常像合法程序一樣自行安裝。這可能是因為當警察追上他們時,他們的創作者可以嘗試說些類似的話:“我們是一家合法的軟件公司。”
有害軟件通常是由其他程序合法安裝的,因此請閱讀您的許可協議。通常,我會閱讀許可協議,這些協議明確聲明它們將安裝一個或多個其他程序。有時,您可以選擇退出其他已安裝的程序。
怎么辦:有很多程序可以向您顯示所有已安裝的程序,并讓您有選擇地禁用它們。我最喜歡的Microsoft Windows Checker是Microsoft的免費程序, Autoruns 或Process Explorer。它們不會向您顯示已安裝的每個程序,但是會告訴您在重新啟動PC時自動啟動的程序(自動運行)或當前正在運行的程序(Process Explorer)。
大多數惡意軟件程序都可以嵌入到更大數量的合法運行程序中。困難的部分可以是確定什么是合法的,什么是不合法的。您可以啟用“檢查VirusTotal.com”選項,這些程序以及Google的Virustotal.com網站將告訴您它認為哪些惡意軟件。如有疑問,請禁用無法識別的程序,重新啟動PC,然后僅在某些所需功能不再起作用時重新啟用該程序。
如果在進行有效的選擇時鼠標指針自行移動(這是重要的特點),則肯定是您被黑了。通常由于硬件問題,鼠標指針經常隨機移動。如果這些運動涉及做出運行特定程序的選擇,那么惡意軟件就在其中。
這種技術不像其他一些攻擊那么普遍。黑客會闖入計算機,等待計算機長時間閑置(例如午夜后),然后嘗試竊取您的錢。黑客將闖入銀行帳戶并轉移資金,交易您的股票以及進行各種旨在減輕您的現金負擔的流氓行為。
怎么辦:如果您的計算機在一夜之間“活躍起來”,請先關閉計算機一分鐘,然后再確定入侵者感興趣的內容。不要讓他們搶劫您,但了解他們在看什么將很有用。并試圖妥協。拍攝一些照片以記錄其任務。在合理的情況下,關閉計算機電源。將其從網絡上摘機(或禁用無線路由器),然后致電專業人員。這是您需要專家幫助的時候。
使用另一臺已知良好的計算機,立即更改所有其他登錄名和密碼。檢查您的銀行帳戶交易記錄,股票帳戶等,如果您一直是這種攻擊的受害者,則必須認真對待。完全還原計算機是您應該選擇的唯一恢復選項。如果您損失了任何金錢,請確保先讓法醫小組進行復印。如果您蒙受了損失,請致電執法部門并提起訴訟。您將需要此信息來最好地彌補您的實際金錢損失(如果有)。
這是惡意破壞的一個巨大跡象。如果您發現自己的防病毒軟件已被禁用并且沒有使用,則可能是您被利用了-尤其是當您嘗試啟動任務管理器或注冊表編輯器而它們無法啟動,無法啟動或消失時,狀態。
怎么辦:執行完整還原,因為無法告知發生了什么。如果您想先嘗試一些不太激烈的嘗試,如果在Windows計算機上,請嘗試運行Microsoft Autoruns或Process Explorer(或類似程序)以清除引起問題的惡意程序。他們通常會確定您的問題程序,然后可以將其卸載或刪除。
如果惡意軟件“反擊”并不允許您輕松卸載,請研究多種方法來恢復丟失的功能(任何互聯網搜索引擎都會返回大量結果),然后以安全模式重啟計算機并啟動努力工作。我之所以說“艱苦的工作”,是因為通常這并不容易或快速。通常,我必須嘗試幾種不同的方法才能找到可行的方法。通過使用上面列出的方法擺脫惡意軟件程序,可以首先恢復軟件。
我的意思是突然少了很多錢。網上壞人通常不會偷小錢。他們喜歡將所有或幾乎所有東西都轉移到外匯或銀行。通常,它始于您的計算機受到威脅,或者是您對銀行或股票交易公司的假網絡釣魚作出回應。壞人登錄到您的帳戶,更改您的聯系信息,并向自己轉移大量資金。
怎么辦:在大多數情況下,您很幸運,因為大多數金融機構將為您挽回被盜的資金(尤其是如果它們可以在損失真正發生之前就停止交易)。但是,在某些情況下,法院裁定客戶的責任是否被黑客入侵,這取決于金融機構來決定他們是否會向您賠償。
為了避免這種情況的發生,請打開事務警報,該事務警報會在發生異常情況時向您發送文本警報。許多金融機構都允許您設置交易金額的門檻,如果超過或超過了門檻,就會被警告。不幸的是,很多壞人在竊取您的錢之前會重置警報或您的聯系信息。因此,請確保您的金融或貿易機構在您的聯系信息或警報選擇發生更改時向您發送警報。
任何組織發現自己已成功受到威脅的最重要方式之一是無關的第三方發出的通知。自從計算機誕生以來就是這種情況,并且一直是事實。Verizon備受尊敬的《數據泄露調查報告》顯示,與承認自己的妥協的組織相比,被通知與不相關的第三方入侵的公司更多。2019年7月,微軟透露,自今年年初以來,它已經檢測到針對其10,000多名客戶的攻擊。
要做的事情:首先,確定您是否真的被黑客入侵了。如果確認,請遵循您的預定義事件響應計劃。確保每個人都知道您的IR計劃是必須遵循的深思熟慮的計劃。
沒有什么能像組織的機密數據在Internet或深網上散發出來那樣證明您被黑客入侵了。如果您沒有首先注意到它,那么媒體和其他感興趣的利益相關者很可能會與您的組織聯系,以確認或了解您對此所做的事情。
怎么做:像以前的跡象一樣,首先要找出它是否真的是您的機密數據。在許多情況下,黑客聲稱破壞了公司的數據,但沒有任何保密信息。他們要么組成索賠和數據,要么只有公開數據,要么擁有其他公司的數據。因此,首先確認。
如果這是您組織的機密數據,那么是時候告訴高級管理層,開始IR流程并弄清楚什么時候需要與誰溝通了。
數十億個有效的(至少一次)登錄憑據存在于Internet和黑暗的網絡上。通常,它們會因網絡釣魚,惡意軟件或網站數據庫漏洞而受到損害。通常,第三方不會像其他類型的數據泄漏那樣通知您。您必須主動警惕這種威脅。越早知道發生這種事情越好。
您可以使用各種網站(例如“我曾經被擁有過”)一次檢查受侵害的憑證,使用各種免費的開源智能工具(例如The Harvester),免費的商業工具(例如KnowBe4的Password Exposure Test)來檢查多個帳戶,或者付費尋找您公司數據和憑證的任何商業服務。
操作:首先確認轉儲中是否包含任何當前使用的憑據,然后重置所有登錄憑據。啟動IR流程,以查看是否可以弄清楚組織的登錄憑據在公司外的結局如何。另外,實施MFA。
首先,奇怪的、意外的網絡流量你就需要引起警惕。可能是對公司的Web服務器的嚴重的分布式拒絕服務(DDoS)攻擊,或者可能是向與您沒有業務往來的國家/地區的站點的大型預期文件傳輸。如果了解其合法的網絡流量模式,則無需第三方來告訴他們受到了攻擊。慶幸的是,我知道公司中的大多數服務器都不會與公司中的其他服務器通信。公司中的大多數服務器不會與公司中的每個工作站通信,反之亦然。公司中的大多數工作站都不應使用非HTTP /非HTTPS協議直接與Internet上的其他位置進行通信。
怎么辦:如果您看到無法解釋的意外、奇怪的流量,則最好是終止網絡連接并開始進行IR調查。幾年前,我們可能會說如果操作謹慎會犯錯誤。今天,您不能再冒險了。直接殺死任何可疑的流量,直到證明它們是合法的。
如果您不了解有效的網絡流量,則需要這樣做。數十種工具旨在幫助您更好地理解和記錄網絡流量。我建議您檢查一下Bro和Snort這樣的免費開放源代碼替代方案,但要有效使用它們,都需要大量的時間,資源和研究。相反,找到一個已經為您完成所有艱苦工作的好的商業解決方案是最佳的。
希望安全軟件能夠完美地檢測到惡意軟件和惡意黑客,這是非常愚蠢的。請注意計算機被黑客入侵的這些常見跡象和癥狀。如果您像我一樣是冒險的,請始終在發生違規事件時執行完整的計算機還原。一旦您的計算機受到威脅,壞人就可以做任何事情并藏在任何地方。
大多數惡意黑客源自以下三種媒介之一:運行特洛伊木馬程序,未打補丁的軟件以及對偽造的網絡釣魚電子郵件進行響應。在防止這三件事上做得更好,您將不太可能依賴安全軟件的準確性和運氣。
本文僅作技術分享 切勿用于非法途徑
如果您對文中的軟件或者技術感興趣
可以持續跟蹤學習
windows10真是各種問題層出不窮啊。這里先插一個小故事:在我進行主板設置后,重新開機電腦就藍屏了。我第一反應就是哪里設置錯了,豬耳撓腮的在網上找辦法,因為我按了f9鍵和f10鍵,以為恢復了默認設置,甚至產生了重新裝系統的沖動。當遇到問題時,重新裝系統是最快也是最笨的方法啊。可能是我的懶拯救了我,我致電了華碩客服電話,從她哪里我得出3點:1.網上瘋傳的按f9重置主板設置是錯誤的,應該按f5,按f9不會對主板產生什么影響。2.拔掉主機供電后,重新插拔內存條可以解決某些問題。3.如果重置和重新插拔內存后仍然不能解決的,只有重裝系統。但是我懶啊,怎么可能輕易重裝系統,于是我沉下心來開始看win10的藍屏提示。言歸正傳,win10開機藍屏,提示inaccessible_boot_device,可能是顯卡出了問題,我們要進入安全模式關閉獨顯或卸載顯卡驅動,具體操作如下:
1.在藍屏界面重啟電腦,進入藍屏自動修復界面,然后點擊“高級選項”。
// 因為我沒有截圖,就不放圖片了
2.選擇“疑難解答”。
3.選擇“高級選項”--“啟動設置”--“點擊重啟”。
4.然后在鍵盤輸入數字4或者5進入安全模式(4是安全模式,5是帶網絡連接的安全模式),我選擇的5。
5.這樣就進入安全模式了,然后右鍵我的電腦,選擇屬性--設置管理器,找到顯示設備器,找到顯卡,右擊選擇禁用或者卸載顯卡驅動。重啟電腦。
如果重啟電腦后無法退出安全模式,請看我寫的另一篇文章:win10無法退出安全模式怎么辦?