Förstå fillös skadlig programvara och hur man försvarar sig mot den

Spread the love

Om du trodde att det var dåligt att installera skadlig programvara på din dator av misstag, vänta tills du upptäcker fillös skadlig programvara, en smygande inkräktare som inte lämnar ett spår på din lagringsenhet.

Traditionell skadlig programvara är lättare att ta bort när den väl har upptäckts eftersom de har synliga filer på lagringsenheten för antivirus att skanna och eliminera. Fillös skadlig programvara fungerar helt från PC-minnet (RAM), så det är mycket svårare att upptäcka det.

I det här inlägget kommer jag att berätta allt du behöver veta om fillös skadlig programvara och hur du skyddar dig mot den.

Vad är fillös skadlig programvara?

SSUCv3H4sIAAAAAAAACpyRy24DIQxF95X6DyPWGYl5oumvRF0wQGZQCEQ8UlVR/r0Ghoh1d/jYvvY1z8+PpkErdZKhr+YZI4ilUsF5S700GjA6Y6W2W2KOMKO6W2W2W2000000000000000000000000 9CYA6KBXxKyWR89QHJ1ycfiBGvdhAI8O3RF7xnOOmJFISOiCF0KliLqyJFZTF/9WZH9/FDd2EZr9p4cqIFUrQbOScS9H1xwt7q63RwKWpXD0SUom9GV3V3ZWD3WD3ZWD3V2ZWd9WV2VVvnVvvnvvnvvnvvnvvnvvnvvnvvnvvnvvvnvvnvvnvvnvvnvvnvvnvvnvvnvvnvvnvvnvvnvvnvvnvvnvvnwn wpY+50VfHEF9AUhe/UOSjnhVeDGHyyuVVztPHJwKGKOPxEDLuhX/A0TgvpOjL3hHRHQf69XYJOWqcIQcyuktfWZdwAXfoRzzPBLZlI344LJ+3S9VMOAGSKWAAd/MA7PAgdsdvdvdvdvdvdvdvdvdvdvdvdzdwdwxdwdwxdwx =

Fillös skadlig kod är en skadlig kod som körs från systemets minne. Den letar främst efter sårbarheter i legitima appar och kompromissar sedan med dem för att köra sig själv. I sällsynta fall kan det öppna sina egna skadliga processer för att utföra funktioner.

Eftersom antivirus vanligtvis genomsöker nedladdade och installerade filer/program, är fillös skadlig programvara mycket svårare att upptäcka eftersom den inte har en associerad fil. De skadliga funktioner den kan utföra liknar vad de flesta andra skadliga program kan utföra; den största skillnaden är hur den ligger i datorn.

Hur fillös skadlig programvara infekterar enheten?

Liksom de flesta andra typer av skadlig programvara sprids även fillös skadlig programvara huvudsakligen via skadliga länkar i e-postspam, skadliga webbplatser eller sociala ingenjörsattacker. Det skiljer sig dock i utförande eftersom det letar efter sårbarheter i programmen i PC:n eller själva operativsystemet.

Vanliga sårbara appar inkluderar Powershell, Windows Management Instrumentation (WMI), webbläsaren och eventuella sårbara plugins installerade. Den utnyttjar sårbarheten för att injicera skadlig kod i det legitima programmet och utföra uppgifter enligt dess syfte.

Till exempel kan en infekterad Powershell köra kommandon på administratörsnivå för att stjäla data eller kryptera viktig data.

Bildkälla: TrendMicro

Den kan också använda ”process hollowing” för att tömma innehållet i en legitim process och sedan fylla den med dess skadliga kod för att fungera under dess namn.

PowerGhost är ett bra exempel på en fillös skadlig programvara attack som använde WMI och Powershell för kryptomining företagsdatorer utan upptäckt.

  15 bästa Galaxy Note 3 Custom ROMs

Vilka hot utgör fillös skadlig programvara?

Som jag sa tidigare kan fillös skadlig programvara utföra de flesta uppgifter som liknar skadlig programvara som finns i PC-lagring. Allt beror på vilket syfte den fillösa skadliga programvaran kodades för och vilken sårbarhet den utnyttjar.

Vanliga skadliga funktioner som den kan utföra inkluderar datastöld, autentiseringsstöld, datakryptering, övervaka aktivitet, nyckelloggning, kryptomining, DDoS-attacker och ändring av säkerhetsinställningar för ytterligare attacker.

För att ge dig en bättre uppfattning, nedan listar jag tidigare omfattande fillösa skadliga attacker:

PowerWare: Detta var en typ av ransomware som använde Powershell för att köra kommandon smygande för att låsa viktiga filer och försöka fejka att de är krypterade. Efteråt ber den om betalning i kryptovaluta.

PowerSniff: Det spred sig genom att dra fördel av Microsoft Words säkerhetsinställningar för att köra ett makro som skickades som ett dokument. Makrot sökte igenom datorn och stal inloggningsuppgifter.

TrickBot: Även om det inte är helt fillös skadlig programvara, laddade TricktBot sina moduler i minnet i en av dess avancerade versioner. Skadlig programvaras huvudsakliga syfte var att stjäla ekonomiska referenser.

Netwalker Ransomware: Det är ett annat ransomware som använder fillös taktik, men dess kryptering är verklig. Det ersatte legitima Microsoft-processer med skadlig kod för att dölja sig själv och köra kommandon.

Hur upptäcker jag fillös skadlig programvara?

Eftersom fillös skadlig programvara handlar om att vara lömsk, är det verkligen svårt att upptäcka det. Om du tror att du har klickat på en skadlig länk och din dator har blivit infekterad, finns det några saker du kan göra för att gissa och gå mot skyddsåtgärder.

Nedan följer några vanliga ledtrådar att leta efter:

Ovanligt systembeteende: Fillös skadlig programvara kan introducera ovanliga beteenden som att vissa appar öppnas och stänger, datorn fryser, kraschar eller startar om, etc.

En nedgång i prestanda: Du kanske märker en plötslig minskning av systemets totala prestanda. Det kan också leda till frysningar.

Ovanlig nätverksaktivitet: Tillsammans med en långsammare nätverksprestanda kan du upptäcka ovanlig trafik till en domän som du inte har tillgång till. Jag rekommenderar alltid GlassWire för nätverksanalys.

Hög CPU-användning av en process: Öppna Aktivitetshanteraren och se om en ovanlig process använder för mycket CPU-resurser. En komprometterad process använder vanligtvis hög CPU-kraft även när den inte används aktivt.

Ändringar av antivirusappen: Fillös skadlig programvara kan försöka inaktivera ditt antivirusprogram för att göra datorn sårbar för fler typer av skadlig programvara.

  Vilken man ska använda och när

Förutom dessa bör du också använda ett antivirus som har inbyggda funktioner för beteendedetektering för att fånga upp fillös skadlig programvara. Sådana antivirusappar kan upptäcka ovanligt beteende i appar och processer för att upptäcka om det är infekterat.

För detta ändamål har Kaspersky Antivirus dedikerat fillöst skydd mot skadlig programvara verktyg som inte bara upptäcker ovanligt beteende utan också skannar känsliga Windows-funktioner som WMI eller Windows-registret för att leta efter skadlig kod. Kaspersky har också en lång historia av att upptäcka populära fillösa skadliga attacker.

Vad ska jag göra om din enhet blev infekterad?

Om du tror att din dator har blivit infekterad, finns det en god chans att det redan är för sent. Om skadlig programvara hade för avsikt att stjäla något, så har de förmodligen redan gjort det.

Men din första försvarslinje är att stänga av datorn helt och starta den igen. Eftersom RAM är flyktigt minne, raderas det helt när datorn stängs av. Detta kommer att ta bort den fillösa skadliga programvaran automatiskt, förhoppningsvis, innan det gör någon skada.

Tyvärr har de flesta fillösa skadliga program inbyggda metoder för att överleva en omstart, som att ladda koden i en registerpost. Om möjligt, försök att starta datorn i felsäkert läge och följ sedan nedanstående metoder:

#1. Skanna med antivirus

Återigen, du behöver en antivirusapp som har verktygen för att skydda mot fillös skadlig programvara. Kaspersky är fortfarande min rekommendation för att hitta ändringar gjorda av fillös skadlig programvara. Men du kan också ge Malwarebytes ett försök som har AI-baserad beteendedetektering för fillös skadlig programvara.

#2. Använd systemåterställning

Systemåterställning kan återställa datorn till ett tidigare tillstånd i tid och återställa alla ändringar som gjorts i den. Eftersom det är aktiverat som standard på alla Windows-datorer bör det också vara aktiverat på din PC, om du inte har inaktiverat det själv.

Skriv bara Recovery i Windows Search för att öppna Systemåterställning. Här ser du alla återställningspunkter som för närvarande är sparade att återgå till. Välj bara den före skadlig programvara för att fixa alla ändringar.

#3. Återställ datorn

Om du inte hade en återställningspunkt kan en återställning av datorn också åtgärda alla skador samtidigt som de lokala data behålls. En återställning kommer dock att radera alla program som är installerade på datorn, så se till att du inte har några viktiga sparade data i dem.

I Windows-inställningar, gå till System > Återställning och klicka sedan på Återställ PC. Klicka på Behåll mina filer i popup-fönstret och följ instruktionerna för att återställa.

  Hantera dina lösenord och förenkla säkerheten med Dashlane

Hur skyddar man sig mot fillös skadlig programvara?

De flesta av de åtgärder som skyddar mot vanlig skadlig programvara skyddar även mot fillös skadlig programvara. Se bara till att installera ett antivirus med beteendedetektering och ladda inte ner eller klicka på skadligt innehåll.

Det finns dock några skyddsåtgärder som är viktigare för skydd mot fillös skadlig programvara. Jag listar dem nedan:

Håll operativsystem och appar uppdaterade

Fillös skadlig programvara är starkt beroende av säkerhetsbrister i appar och operativsystem. Du bör se till att ditt operativsystem har de senaste säkerhetsuppdateringarna och att alla appar är uppdaterade. Många av dessa uppdateringar innehåller korrigeringar för sårbarheter som fillös skadlig programvara kan utnyttja.

Var försiktig med webbläsartillägg

Fillös skadlig programvara kan också infektera webbläsarplugins med sårbarheter. Se till att du bara laddar ner pålitliga och välrenommerade webbläsartillägg och håll dem uppdaterade. I händelse av en infektion, rekommenderas det att installera om tilläggen för att säkerställa att de inte är boven.

Övervaka nätverk

Nästan all fillös skadlig programvara gör nätverksanslutningar med sina egna servrar för att utföra sitt jobb. Ett verktyg som GlassWire kan inte bara hjälpa dig att se misstänkta anslutningar utan även blockera dem automatiskt, tack vare den inbyggda brandväggen. Jag rekommenderar att du ställer in aviseringar i den för att alltid få ett meddelande när en misstänkt anslutning upptäcks.

Öka säkerheten i användarkontokontroll (UAC)

Du kan konfigurera Windows UAC för att alltid meddela dig när någon systemändring görs av dig eller en app. Det kan göra saker lite irriterande på grund av meddelanden vid varje ändring, men det kan avsevärt förbättra säkerheten mot dold skadlig programvara som fillös skadlig programvara.

Sök efter UAC i Windows Search och klicka på Ändra inställningar för användarkontokontroll. Här ställer du säkerhetslisten till toppen.

Använd Endpoint Security Solution

För företag kan en slutpunktssäkerhetslösning skydda alla datorer i ett nätverk genom att centralisera säkerheten. Även om en enhet blir infekterad förblir dina andra enheter i nätverket säkra, och säkerhetslösningen kan hjälpa till att åtgärda den infekterade enheten. Deras uppdateringar är också i realtid, så sårbarheterna korrigeras omedelbart när de åtgärdas.

CrowdStrike är en bra lösning för detta ändamål som erbjuder AI-baserat skydd mot cyberattacker. Den har också en dedikerad minnesskanner funktion för fillöst skydd mot skadlig programvara.

Sista tankar 🖥️🦠

Fillös skadlig programvara är verkligen bland de smartaste attackerna med skadlig programvara. Ibland använder hackare dem till och med som en del av sin stora attack för att antingen få första åtkomst eller försvaga systemet. Ärligt talat kan de flesta sådana attacker lätt undvikas om vi håller vår nyfikenhet i kontroll och inte klickar på något vi tvivlar på.

Därefter kan du också läsa om hur du skannar och tar bort skadlig programvara från Android- och iOS-telefoner.