Что делать если компьютер оказался частью бот сети?

Все больше убеждаюсь что пользователи, да и администраторы, просто не знают что делать в случае заражения компьютера различными вирусами. В случае с заражением компьютера вирусом который входит в Ботнет действия отличаются от действия с обычными вирусами.

«Ботнет — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или не одобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании. » — Википедия

Обычно такие компьютеры обнаруживаются необычной сетевой активностью: Использования IRC протокола, Посещения сайтов не обычных для пользователя (имена сайтов представляют набор случайных букв и цифр), высокий исходящий трафик, большое количество почтового трафика, высокая загрузка процессора (без видимых на то причин) и т.д.

Не предпринимаем действия самостоятельно, это может привести к потере всех данных.

Для домашнего пользователя:
1) Необходимо связаться с антивирусной компанией, антивирус которой у вас установлен
2) Четко следовать инструкциям антивирусной компании

Для корпоративного сектора
1) Выключить компьютер
2) Поставить в известной руководство
3) Поставить в известность службу безопасности (если есть)4) Принять решение о привлечение органов (Полиция — Отдел К)
5) Связаться с антивирусной компанией
6) Четко следовать инструкциям

Для государственного сектора
1) Выключаем компьютер
2) Ставим в известно руководство
3) Ставим в известность службу безопасности
4) Сообщаем об инциденте курирующей организации (Управление ФСБ в вашем регионе)
5) Собираем группу по исследования инцидента безопасности
6) Четко следуем инструкциям

В первую очередь при исследовании подобного рода вирусов необходимо понять какие данные уже скомпрометированы, вторым этапом исследования будет обследования функционала вируса и выявления чем он может грозить для сети.

Автор: Дата: , Категория:Безопасность, Метки: , .

Comments are closed.