コンピュータウイルスを処理するためのベストプラクティス

ヌキングは必須です。そうは言っても、私は古いイメージを消去することはありません。私はdataファイルをどこかに保管し、適切な検査後に復活させます。たとえば、メールボックスは破棄しません。私はそれらをスキャンして、実行可能ファイルのように見える添付ファイルを探し、クリーンだとわかったら、それらをオンラインに戻します。

ベースOSとそのすべてのバイナリの場合、クレンジングフレームがルールです。とにかくマシンを再インストールするだけの方がはるかに高速です...

マルウェアが完全に削除されたことを確認するための監視には、マシンの再イメージングや再インストールよりも多くの時間、労力、スキルが必要です。

アンチウイルスは主に設計上反応し、初期の感染を検出します。マルウェアは新しい亜種をダウンロードして検出を先取りするため、AVがすべての不正なコードを削除し、構成の変更を修復したことを確実に知ることができません。

理論的には、ルートキットは表示されるすべてのもの（マトリックススタイル）を制御できるため、感染したマシンの実行中は何も確信できません。マルウェアトラフィックを「隠す」ため、同じホストからは見えないルートキットを見たことがあります。

解決策は、オフライン差分を実行し、変更されたバイナリと設定を確認することです。バックアップと同様に定期的なスナップショットを管理する必要があります。しかし、なぜ、バックアップしたデータを再イメージ化して復元しないのでしょうか。

それはあなたが扱っている感染のタイプに依存します。 BIOSまたはファームウェアが悪意のあるプログラムによって変更された場合、再インストールが機能しない可能性があります。まれですが、可能です。

私の経験では、ほとんどのユーザーをユーザースペースに制限し、USBドライブのマウントを拒否するか、少なくとも、自動実行またはコードの実行（読み取り専用のマウント）を無効にして、権限の適切な処理を追求します。安全なバイナリまたは安全な中央リポジトリにあるような必要なアプリケーションのソース、または重要なマシンとプロセスを可能であればOpenBSDなどのより安全なオペレーティングシステムに変換します。柔軟なロギングスキームなど）をすぐに使用できます。

注意が必要なのは、ネットワークに接続されているすべてのマシンが危険にさらされることです。データの定期的なバックアップを作成し、フラッシュ、Java、silverlight/moonlightなどの安全でないブラウザープラグインを可能な限り回避します。

適切なプロセスでスタッフを訓練します。ユーザーを信頼せず、仕事を任せましょう。

マシンが感染して再インストールする必要がある場合は、ダウンタイムを短縮するために、少なくともPXEまたはネットワークブートインストールを用意してください。

他の誰もが言ったように、それを死ぬほど核攻撃しなさい。そうすれば、失敗する可能性はありません。理論的には、ブートキットは核兵器を乗り切ることができるかもしれませんが、ブートキットがあなたを感染させる可能性は低いと思います。

私が別の言い方をしたいのは、重要なデータを鞭打ちの前に注意深く保存することだけです。 USBではなく、オンラインでアップロードします。マルウェアの半分程度のひずみにはUSBスプレッダーがあり、コンピューターに挿入したポータブルドライブに感染します。そのため、コンピュータを核にして、誤ってウイルスを再インストールしてしまうのはよくありません。安全のために：

-すべての重要なファイルをオンラインでアップロードします-核を開始します-核の間に、重要なオンラインサービスを通過し、パスワードを変更します。安全のために、データが侵害された場合。 -行ってもいい

あなたはあなたのシステムを通り抜け、1〜2週間塹壕を掘ってマルウェアを見つけ、それを完全に取り除くことを試みることができます。

私はヘルスケア業界で働いており、私たちは人々の健康記録を管理しています。

以前は政府に勤めたときは常にイメージを再作成するように言われてきましたが、さまざまな理由がありますが、イメージを再作成すると脅威が完全になくなることが100％確実であると私は考えました。

本当の質問は（天気と試してみるか、再イメージするか）：他の人の情報を保護していますか？財務記録や健康記録が危険にさらされている場合、私の会社にチャンスを与えて、それを削除してみませんか？または、あなたの情報を保護する私の会社がマシンを再イメージングすることを望みますか？ 1つの方法は、100％保証されることですが、もう1つの方法は、チャンスを利用することです...

繰り返しになりますが、それが自宅のPCであり、どの方法を使用するかを決定している場合は、自分自身を危険にさらすだけです。しかし、それが他の人々の情報に信頼されている企業である場合、その呼び名は何でしょうか。

私は今この戦いを戦っています、そしてそれを信じるかどうか私は負けています。イメージを再作成するには、アイデアをバックアップするために、さらにデータが必要です。この職に就く前は、3文字の諜報機関で10年間働いていました。マルウェアを一掃するだけで何千ものマシンのイメージを再作成したとは思いませんか？ FRBがそうであったように、生命が危機に瀕しているとしても、リスクを冒すことはないでしょう。

したがって、次の質問は次のとおりです。あなたの個人データが危機に瀕している場合、どの程度のリスクを負う用意がありますか？マルウェアをクリーニングすることは、個人データ（あなたの人生ではない）が危険にさらされているときにイメージを再作成するのではなく、許容できるリスクですか？

聞いて（または読んで）くれてありがとう。

デビッド

私はオレグV.ボルコフの答えに取り組みたいと思います：

企業に関して言えば、企業が大きくなるほど影響を受けやすくなるため、クリーニングには次のような問題があります。

1. ほとんどの場合、クリーニングのタスクは、適切にクリーニングを行う場合と行わない場合があるティア1の担当者に委託されます。画像を再作成するティア1は脅威を削除します。一部のティア1の人々は適切にクリーンアップしますが、そうしません。
2. あなたはグーグルの脅威であり、あなたはそれをきれいにする方法を見つけます。問題は、マルウェアを作成するほとんどの人があなたにバージョン番号を与えないことです、そうですか？私たちが見てきたように、一般的なマルウェアには、それをクリーンアップする投稿された方法があり、さらには削除ツールさえありました。ただし、投稿以降、マルウェアの作成者がコードを変更し、駆除ツールが機能しなくなったため、駆除後、一部のマルウェアが後に残り、駆除されたものを再ダウンロードします。
3. 会社内で何が起こっているのかを見ると、ユーザーはワークステーションのクリーニングを何度も試みることに腹を立てることがあります。次に例を示します。a）ユーザーが感染しており、マシンを掃除するために誰かを派遣します。これには、ユーザーが長いコーヒーを飲みに行くのに30分かかります。 b）翌日、マルウェアが戻ってきました。もう一度、フロアチームの誰かを送り、もう一度駆除します。同じドリルでユーザーは昼食に出かけ、彼が戻ってきたとき、私たちはユーザーにすべてが良いことを伝えます。 c）翌日、ユーザーのマシンのクリーニングを2回試行した後、マシンを取得して再イメージングする必要があることをユーザーに伝えます（フォレンジックイメージを取得した後）。

概要

これはユーザーにどのようなメッセージを送信しますか？私には、私たちが何をしているのかわからないように見え、ユーザーが何度か中断され、上司などの生産性の低下について不平を言っています。 1日目からイメージを再作成したところ、より良いソリューションであった可能性があります（ユーザーはすぐに交換用マシンを入手し、ダウンタイムは30分未満です）。

したがって、一部のマルウェアは単純ですが、開発したSOPは必ずしもすべての脅威に適しているとは限らず、クリーンと再イメージを試みたときにすべての人にさらなる作業と不満を引き起こす可能性があります。

それは私が見たものです。

デイブ