web-dev-qa-db-ja.com

感染したコンピュータを再起動すると、事態が悪化する可能性はありますか?

マルウェアを削除する前に感染の可能性があるWindows PCを再起動すると、セキュリティ対策がコアの後に読み込まれる場合に脆弱になる可能性のある初期の起動状態を利用して、感染レベルを深めたり、さらに困難にしたりする可能性があることを覚えているようです削除する。これが特にルートキットに関係するかどうかはわかりませんが、マルウェアがルートキットと呼ばれるものに変形することを説明している可能性があります。

質問:これは正しいですか、AndroidおよびWindows 7/8/10に適用されますか?LinuxおよびMacはどうですか?


いくつかの迅速な対応:一方、多くのインシデント対応ガイドラインでは、ネットワークケーブルの接続を解除したり、マルウェアの感染を発見または疑った後にコンピュータをシャットダウンしたりすることを提案しています。ポイント。企業環境では、技術者は法医学的な証拠を保存するためにコンピューターを存続させたいと思うかもしれませんが、ほとんどの技術者はコンピューターをシャットダウンし、スキャンのために店に持ち帰ります。また、起動可能なCDを使用した最も徹底的なスキャン方法では、ロードするためにも再起動が必要になることにも注意してください。

明確にするために、この質問はインシデントレスポンスではなく、マルウェアの機能と感染後のコンピューターの再起動の結果です。インシデントレスポンスガイドラインは、必要に応じて回答に加えて提供される場合があります。

4
user58446

マルウェアの種類によって異なります。

それがランサムウェアである場合、できるだけ早くシャットダウンします ハードリセット この方法では、一部のファイルを暗号化できなかった可能性があり、必要なファイルをハードドライブから取得できます。

ルートキットである場合、ルートキットには次の再起動時に rings を通過できるフックが設定されているため、シャットダウンは恐ろしい考えです。理論上、ルートキットは再起動なしでは ring (カーネルレベル)に到達できません。 (上記のいくつかのコメントに反して。使用中のカーネルを変更しようとするのはおかしいはずです。)

マルウェアの動作を使用して、電源をオフ/再起動しても安全かどうかを判断します。

1
Chad Baxter

この質問には約10億のコメントがあり、回答はないので、提案させてください。一般に、マルウェアがシステムに侵入した場合は、ネットワークから外してシャットダウンし、ドライブをワイプして、本質的にはオービットからそれを削除します。

シャットダウンにより、ラムに保存されているデータなど、フォレンジック分析に役立つ可能性のある情報が消去される可能性があることは事実ですが、システムの実行中にマルウェアをシステムからアクティブに削除しようとするのは悪い考えです。マシンに存在するマルウェアが長いほど、攻撃者がデータを盗む/暗号化する、新しいバックドアを作成する、ネットワーク上の他のマシンにアクセスする、または悪意のあるプログラムが実行されているというレッドフラグを取得し始めた場合はさらに長くなる必要があります。防御。

再起動に関しては、マルウェアがコンピューターに接続されたUSBにLinux ISOをインストールする可能性があり、次回コンピューターを再起動したときに、起動順序の上位にある場合はUSBから起動することを冗談で述べました。正直なところ、これはかなり非現実的なシナリオですが、要点を示しています。マルウェアは、ブートフック、ルートキット、ブートキットなどの多くの悪意のある手段によってシステムが再起動されると、システムへのアクセスを拡大する可能性があります(詳細については、質問のコメントを参照してください)。

最善のオプションは、ハードシャットダウンを実行することです(つまり、電源ボタンを押したままにし、マルウェアがコンピューターがシャットダウンしていることを知る機会を与えないでください(一般に、できるだけ少ない情報を与えます)。ネットワークからマシンを切断します。 、接続されているドライブをすべて消去し、マルウェアがシステムに侵入する前のバックアップまたはデフォルトの会社のマシンイメージからデータを復元し、プログラムがどのようにしてマシンに組み込まれたのかを把握します。でも、悪意のあるプログラムが収集できる情報は、収集できる情報よりも少なくなります。さらに多くの情報が必要な場合は、サーバー/ルーターのログを調べて対処してください。

0
Verbal Kint