Ir ao conteúdo

Posts recomendados

Postado

Uma cliente abriu um email contaminado e agora a máquina está comprometida. 

De tempos em tempos a tela fica preta e o mouse fica mexendo. Conectado pelo Anydesk conseguimos visualizar que, quando a tela apaga, um acesso remoto entra no email e começa a disparar spam para a lista de contatos do gmail e tenta acessar as contas bancárias da cliente. Verifiquei que o Ateraagent não permite ser desinstalado, e ao reiniciar a máquina, ele instala o Splashtop Streamer.

Havia também dois complementos do Chrome que eram instalados sempre que o navegador era aberto a partir de uma pasta C:/bkp2 

Estes consegui resolver manualmente, porém o acesso ainda fica ocorrendo. Nenhum antivírus identifica problemas na máquina

 Alguém consegue ajudar? A cliente não permite que eu formate/reinstale a máquina pois tem um banco de dados de difícil instalação. 

  • mattaus alterou o título para Invasão utilizando o Altera Agent e Splashtop Streamer
  • Membro VIP
Postado

Quando um problema não tem de cara uma solução óbvia, se efetua ações de mitigação, no popular "comer pelas beiradas" até chegar à um estágio que a solução será inevitável.

 

Mas antes de tudo é imprescindível que você garanta ter cópias do banco de dados para salvaguardar a empresa de qualquer problema maior, o invasor pode à qualquer momento usar ransomware para encriptar o BD e cobrar resgate para reverter o sequestro de dados e até pior, fazer extorsão caso tenha feito exfiltração de dados (mais provável é que já tenha feito isso mesmo). Por óbvio não salve o backup feito na máquina afetada.

 

Na total certeza de que o BD está salvaguardado, infelizmente será necessário cortar o acesso internet do sistema e por consequência também do atacante e ainda permitir que as soluções de remediação tenham maior chance de sucesso, inicie então o Windows no Modo Segurança com, por exemplo, o Bitdefender já instalado.

 

Você pode usar o Bitdefender para bloquear os acessos de qualquer app por completo apenas o adicionando à sua blacklist, então use o Windows no Modo mencionado acima para por esses apps de acesso remoto em quarentena/blacklist e, então tentar pela sua exclusão total.

 

 

Desta forma bloqueando o app, mesmo que em um primeiro momento não tenha conseguido fazer a desinstalação, o app não terá mais acesso internet e o invasor perderá acesso ao sistema, te permitindo assim continuar em suas tentativas de sanitizar o sistema por completo.

 

Obs.: é compreensível a preocupação do seu cliente quanto ao restauro do BD em casos de formatação mas tenha um Plano B para caso as coisas não saiam como planejado, isso deve existir com ou sem invasão e, no mundo corporativo atende pelo nome de Disaster Recovery Plan. Ter um DRP pode simplesmente ser a diferença entre continuar no mercado avariado por uma perda financeira recuperável ou mesmo a falência do negócio, vale sempre à pena lembrar.

  • Curtir 2

Crie uma conta ou entre para comentar

Você precisa ser um usuário para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora

Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas comunidades sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×
×
  • Criar novo...