Quy trình ứng cứu máy tính bị nhiễm mã độc

Thảo luận trong 'Hỏi đáp' bắt đầu bởi dienthaitoan, 02/10/18, 08:10 PM.

  1. dienthaitoan

    dienthaitoan W-------

    Tham gia: 05/01/15, 03:01 PM
    Bài viết: 4
    Đã được thích: 1
    Điểm thành tích:
    3
    em thấy có cuộc thi xử lý máy tính bị nhiễm phần mềm gián điệp, mà không thấy được đáp án cũng như quy trình xử lý
    Mọi người có quy trình ứng phó sự cố mã độc cho em xin với
    Em cảm ơn nhiều
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  2. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 208
    Đã được thích: 114
    Điểm thành tích:
    43
    Chào bạn! Dưới đây là một số bước từ kinh nghiệm thực tế mình rút ra từ việc hỗ trợ các tổ chức xử lý máy tính bị nhiễm gián điệp, mã hóa dữ liệu, APT...
    Bước 1: Đừng động vào máy tính vội, đầu tiên phải đánh giá tình hình, hỏi người quản lý máy tính đó về hiện tượng máy tính thiệt hại ... như: đang dùng phần mềm nào? đang tải file nào?, đang mở maill, đang cắm usb? thì bị
    Bước 2: Xử lý mã độc
    • Tắt mạng nếu có.
    • Sử dụng các công cụ để rà soát virus để tìm mã độc. Khi tìm thấy bạn nên lưu lại các thông tin liên quan đến mã độc như: key run, folder, thời gian creatfile(rất quan trọng cho việc đánh giá thời điểm virus vào máy) và đổi tên đuôi không cho virus thực thi nữa.
    Bước 3: Tìm nguyên nhân mã độc vào máy: Từ các thông tin ban đầu ở bước 1 nếu có thì gần như đã ra được nguyên nhân, nếu chưa ra sử dụng những công cụ như eventview để tìm thời gian các user logon, các phần mềm cài đặt để đánh với với thời gian virus vào máy, từ đó tìm ra nguyên nhân. Một số nguyên nhân virus vào máy như
    • Dùng usb chứa virus
    • Tải file từ internet về chạy
    • Mở email..
    • Tấn công qua lỗ hổng máy
    Bước 4: Đánh giá dữ liệu bị mất, tìm các khôi phục dữ liêu: Đối vưới các phần mềm gián điệp sau khi phân tích virus tìm được từ bước 2 sẽ biết được các dữ liệu nó đánh cắp, đối với virus mã hóa dữ liệu đầu tiên search xem có cách nào giải mã dữ liệu không, nếu không thì lại phải nhờ các chuyên gia phân tích virus để tìm cách giải mã thôi :D
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.
  3. sunny

    sunny Điều hành viên Thành viên BQT

    Tham gia: 30/06/14, 10:06 PM
    Bài viết: 1,820
    Đã được thích: 806
    Điểm thành tích:
    113
    Gửi bạn một qui trình tham khảo của đội ứng cứu sự cố mã độc gián điệp:

    Các bước đội ứng cứu cần thực hiện:

    1. Tiếp nhận, rà soát và xác minh tình trạng lây nhiễm

    2. Cô lập, phân tích và lấy mẫu virus

    3. Xử lý virus trên máy tính bị lây nhiễm

    4. Điều tra nguồn tấn công

    5. Tổng hợp và báo cáo

    Mục tiêu của Đội ứng cứu

    · Tìm ra được nguyên nhân, nguồn gốc của đợt tấn công

    · Xử lý được virus trên máy tính đã bị lây nhiễm.

    · Điều tra các địa chỉ mà tin tặc sử dụng.

    · Ngăn chặn việc kẻ xấu sẽ tấn công trở lại
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
    whf thích bài này.