Situação
Ao escanear um
dispositivo, a plataforma antivírus de uma empresa encontrou processos ou arquivos
maliciosos que não podiam ser reparados..
Os vírus utilizam uma
série de métodos para impedir ser eliminados; entre eles destacamos:
·
- Executam-se
ao iniciar-se o sistema: os arquivos abertos não podem ser apagados pelos
sistemas operativos.
·
- Fazem
com que o explorador de Windows os execute: essa ação dificulta ainda mais seu apagado porque não se
pode terminar este processo em sistemas cujo funcionamento é crítico.
· - Escondem-se
em pastas do sistema, fazendo-se passar
por elementos críticos do sistema.
·
- Criam
chaves no registro para regenerar arquivos e processos daninhos previamente eliminados.
·
- Negam
seu acesso a outros usuários ao criar-se credenciais únicas.
·
- Modificam
sua rota e nome para dificultar sua localização, etc.
Os vírus mais modernos
até mutam sua estrutura interna de forma que, ainda que encontrados, possam reaparecer sem levantar suspeitas. Estes vírus
são denominados vírus polimórficos: vírus
como o Jumcar, por exemplo, desenhado na América Latina para roubar informação financeira de contas latino-americanas, é um destes
vírus.
Ao encontrar-se com
qualquer situação que não pode solucionar, o programa antivírus gera uma lista
dos dados daninhos encontrados e emite um alerta para ativar a EnCase Cybersecurity.
Resposta de EnCase Cybersecurity
Os componentes
dedicados à administração da seguridade de informação e eventos (SIEM, segundo
suas siglas em inglês) ativam a EnCase Cybersecurity que realiza uma avaliação extensa aos arquivos
e sistemas afetados. Este processo
inclui:
·
- Coleta
das chaves de registro associadas aos dados maliciosos
· - Coleta
de metadatos dos arquivos: os metadatos são todos os dados de um arquivo que não
são parte de seu conteúdo, como ser a data de sua criação, modificação e a última
vez que foram acessados, localização do arquivo no disco, nome de arquivo,
extensão, tamanho de arquivo, etc.
·
- Criação
de chaves hash dos arquivos maliciosos: as chaves hash são as marcas digitais dos arquivos. Ao criar uma representação
única do conteúdo do arquivo, estas chaves hash permitem comparar rapidamente o
conteúdo de um arquivo a qualquer outro, permitindo a EnCase verificar se um
arquivo realmente é o que representa
ser. Isto é particularmente útil quando um vírus se esconde como um processo
nativo do sistema.
Após recolher os dados
e analisá-los, EnCase Cybersecurity começa a eliminar o vírus em todos os
dispositivos da rede. Algumas
das ferramentas utilizadas neste processo
são:
·
- Comparação
de chaves hash: Identifica os arquivos maliciosos escondidos em qualquer
dispositivo independentemente de que sua localização e nome sejam diferentes.
·
- Comparação
da semelhança de arquivos mediante chaves hash: uma das ferramentas mais
poderosas dos produtos EnCase permite comparar a semelhança relativa entre arquivos.
Identifica a existência de um vírus que constantemente modifica sua forma
independente de que o conteúdo dos arquivos seja diferente (vírus
polimórficos).
·
- Remoção
das chaves de registro que comprometem os
sistemas: EnCase não somente eliminará as chaves de registro enviadas pelo antivírus, senão que
verificará se existem mais chaves relacionadas ao vírus e as eliminará.
·
Remoção
de todos os arquivos comprometidos: EnCase Cybersecurity começa a funcionar
antes mesmo de que o sistema termine de arrancar; isto lhe permite acesso total
aos arquivos que existam em um dispositivo, eliminando a possibilidade de que
um vírus bloqueie sua supressão.
Benefício
EnCase Cybersecurity
retifica os dados que as soluções antivírus não conseguem reparar e permite entender se outros dados maliciosos ou
processos desconhecidos foram gerados de forma simples e centralizada,
permitindo usar os recursos da empresa rapidamente e minimizando as perdas
potenciais causadas pelo vírus.
RELACIONADOS
Descobrindo Fraude Através Do Arquivo Index.dat
Como Obter Evidencia Em Ajustes De Discos
O Reto Forense Em Discos De Estado Sólido (SSD)
Grupo de LinkedIn: Usuários do EnCase - Português
Como Obter Evidencia Em Ajustes De Discos
O Reto Forense Em Discos De Estado Sólido (SSD)
Grupo de LinkedIn: Usuários do EnCase - Português
No comments :
Post a Comment