Como regla general, la mayoría de los pentests se llevan a cabo según un esquema bastante simple. Primero, con la ayuda de ingeniería social, se proporciona acceso al entorno objetivo o a su enlace individual, y luego se infecta por medios técnicos. Las variaciones del ataque pueden ser diferentes, pero normalmente un pentest clásico es una fusión de partes técnicas e ingeniería social en diversas proporciones. La desventaja de un pentest clásico es que es necesario “tantear” a ese mismo empleado y luego pasar a la siguiente etapa. Si fuera posible automatizar el proceso de encontrar un eslabón débil y su posterior explotación, esto podría acelerar el proceso de pentesting y aumentar significativamente las posibilidades finales de éxito.

¡ADVERTENCIA!

Toda la información se proporciona únicamente con fines informativos. Ni el autor ni los editores son responsables de ningún posible daño causado por los materiales de este artículo.

Según conocidas estadísticas proporcionadas por empresas de antivirus, alrededor del 30% de los usuarios no utilizan antivirus, simplemente los desactivan o no actualizan la base de datos. En base a esto, se puede argumentar que en cualquier empresa promedio existe un cierto grupo de personas que desprecian mucho la seguridad de la información y, a su vez, son estas personas las que conviene utilizar para llevar a cabo un ataque. Además, cualquier sistema que funcione puede verse influenciado por una serie de factores aleatorios, que también pueden paralizar temporalmente el sistema de seguridad:

• se perdió la configuración del servidor proxy, por lo que las bases de datos antivirus no se actualizaron;
• La licencia del antivirus expiró y la dirección no se ocupó de renovarla a tiempo;
• Una falla en la red hizo imposible imprimir archivos de forma remota, por lo que todos los empleados se vieron obligados a copiar documentos en una unidad flash e imprimirlos en otro departamento.

Solo necesitas encender tu imaginación y podrás agregar una decena de opciones más para el desarrollo de eventos. Resumiendo lo dicho, se puede argumentar que en cualquier organización promedio hay empleados potencialmente poco confiables y en ocasiones surgen circunstancias que pueden alterar el trabajo habitual y paralizar la protección. Por lo tanto, si golpeas en el lugar correcto en el momento correcto, el ataque tendrá éxito.

De hecho, la tarea se reduce a lo siguiente: determinar que en ese momento ocurrió uno de los eventos aleatorios que provocó una disminución de la seguridad, y luego usar esta situación como disfraz y llevar a cabo un ataque imperceptiblemente.

De hecho, la tarea se reduce a encontrar una persona que descuide la seguridad, y ¿por qué no utilizar unidades flash para ello?

A muchos creadores de virus les gustan mucho los medios flash, ya que hacen que infectar computadoras sea fácil y rápido, e incluso el virus USB más básico tiene buenas posibilidades de éxito. El auge de los virus de ejecución automática, que se produjo en 2008, no ha disminuido cinco años después; además, los virus USB se han vuelto aún más atrevidos y, a veces, ni siquiera ocultan su presencia; Y al mismo tiempo, una unidad flash infectada es un indicador universal de los conocimientos básicos de seguridad de la información de su propietario. Por ejemplo, si recopila diez unidades flash de diferentes personas, probablemente tres o cuatro de ellas tendrán virus en sus unidades flash. Si una semana después volvemos a quitarles las unidades flash a estas personas, dos o tres todavía tendrán virus. En base a esto, se puede argumentar que las computadoras que se utilizan desde esta unidad flash no tienen ni siquiera la protección más básica, o por alguna razón está deshabilitada o no funciona en absoluto. Por lo tanto, incluso si distribuye el virus más común, que todos los antivirus detectan con éxito, sólo entre este grupo de personas podrá infectar una gran cantidad de computadoras antes de ser detectado. Y como estos equipos no tienen protección, también podrá permanecer operativo durante mucho tiempo.

Implementación

En una computadora específica a la que se conectan periódicamente unidades flash, instalamos un programa especial que funciona según el siguiente algoritmo. Cuando conecta otra unidad flash, el programa intenta determinar si está infectada. Dado que es imposible tener en cuenta toda la variedad de virus USB, tiene sentido utilizar un enfoque heurístico para determinar la infección basándose en los siguientes criterios:

• presencia del archivo autorun.inf;
• Atributos del archivo RHS;
• tamaño pequeño del archivo sospechoso;
• el sistema de archivos no es NTFS;
• ausencia de una carpeta llamada autorun.inf;
• Presencia de archivos de acceso directo.

Si esta unidad flash está infectada, el programa la escribe en la base de datos indicando el número de serie y el hash del archivo sospechoso. Si después de unos días la unidad flash se vuelve a conectar a esta computadora (y esto casi siempre sucede) y todavía hay archivos sospechosos en ella, entonces está infectada con nuestro "virus"; Si no queda ningún archivo sospechoso, el programa elimina el número de serie de esta unidad flash de la base de datos. Cuando se infecta una computadora nueva, el virus recuerda el número de serie de la unidad flash de la madre y nunca la infecta ni la analiza, para no revelarse después de un tiempo si el propietario de la unidad flash "se vuelve más sabio".

Para obtener el número de serie, escribiremos la siguiente función basada en la API GetVolumeInformation:

Cadena GetFlashSerial(AnsiString DriveLetter) ( DWORD NotUsed; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, NULL , 0); devuelve S.sprintf("%X", VolumeSerialNumber);

Cabe señalar que la función GetFlashSerial no recibe un identificador de dispositivo único estático, sino solo el número de serie del volumen. Este número se establece como un número aleatorio y, por regla general, cambia cada vez que se formatea el dispositivo. Para nuestros propósitos, solo el número de serie de la unidad flash es suficiente, ya que la tarea de enlace duro no es necesaria y el formateo implica la destrucción completa de la información, equiparando de hecho la unidad flash formateada con una nueva.

Pasemos ahora a implementar la heurística en sí.

Bool IsItABadFlash(AnsiString DriveLetter) ( DWORD NotUsed; char drive_fat; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &NotUsed, &VolumeFlags, drive_fat, sizeof(drive_fat)); bool badflash=false; ((String(drive_fat)!="NTFS") && (FileExists(DriveLetter + ":\\autorun.inf"))) ( DWORD dwAttrs; dwAttrs = GetFileAttributes(AnsiString(DriveLetter + ":\ \autorun.inf").c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN) && (dwAttrs & FILE_ATTRIBUTE_READONLY)) ( badflash = true; ) ) si (!badflash) ( TSearchRec sr; FindFirst(DriveLetter+":\\*.lnk", faAnyFile, sr); int filep=sr.Name.LastDelimiter("."); AnsiString filebez=sr.Name.SubString(1, filep-1); if (DirectoryExists(DriveLetter+":\\"+filebez)) ( DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+":\\"+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN)) (badflash = verdadero; ) ) ) devolver flash incorrecto; )

El algoritmo de la función heurística es bastante simple. Primero, filtramos todos los dispositivos con el sistema de archivos NTFS y aquellos que no contienen un archivo autorun.inf. Como regla general, todas las unidades flash vienen con el sistema de archivos FAT32 de forma predeterminada (con menos frecuencia FAT y menos aún exFAT), pero a veces los administradores del sistema u otros empleados del departamento de TI las formatean en el sistema NTFS según sus necesidades. No necesitamos “personas inteligentes”; las excluimos inmediatamente. El siguiente paso es comprobar el archivo autorun.inf para ver los atributos "ocultos" y "sistema". El archivo autorun.inf puede pertenecer a un programa completamente legítimo, pero si estos atributos están presentes en él, es muy probable que la unidad flash esté infectada con un virus.

Hoy en día, es menos probable que muchos creadores de virus utilicen el archivo autorun.inf para infectar máquinas. Hay varias razones: en primer lugar, casi todos los antivirus o usuarios desactivan la opción de ejecución automática; en segundo lugar, puede haber varios virus en una computadora que utilizan el mismo método de distribución y cada uno de ellos sobrescribe el archivo a su manera. Por lo tanto, el método de infección mediante la creación de accesos directos y la ocultación de las carpetas originales comenzó a utilizarse cada vez con más frecuencia. Para no dejar estas unidades flash desatendidas, verificamos la presencia de un archivo de acceso directo y la presencia de una carpeta con el mismo nombre en la raíz del volumen. Si la carpeta también tiene los atributos "oculto" y "sistema", marcamos esta unidad flash como infectada.

Por supuesto, las heurísticas tienen sus propios errores y matices, por lo que tiene sentido trabajarlas cuidadosamente para una tarea específica, pero en nuestro caso podemos confirmar con un 100% de probabilidad que son correctas.

Si en general todo está claro con el análisis heurístico de una unidad flash, entonces con la "infección" son posibles matices. Por ejemplo, puede simplemente sobrescribir el virus antiguo con el nuestro sin realizar modificaciones en el archivo autorun.inf, archivos, accesos directos, etc. De esta manera, nuestro "virus" tomará el control en la nueva computadora, pero primero es mejor hacer también una copia antigua del virus y guardarla en el mismo directorio con un nombre ligeramente diferente. Si por alguna razón se está ejecutando un antivirus en otra computadora, detectará el virus antiguo, lo eliminará, advertirá al usuario de que la amenaza se ha destruido con éxito y, por lo tanto, brindará una falsa sensación de seguridad al usuario y a nuestro " virus” pasará desapercibido.

Además, en la edición de diciembre de Hacker, también escribimos sobre las vulnerabilidades de secuestro de DLL en varios programas y su uso efectivo. Por lo tanto, si se supone que las unidades flash pueden contener programas como administradores de contraseñas o versiones portátiles de varios programas, entonces tiene sentido explotar esta vulnerabilidad y así ampliar la gama de máquinas afectadas y el valor de los datos obtenidos para el pentesting.

Por cierto, no siempre tiene sentido recurrir a infectar unidades flash. Por ejemplo, si el departamento de seguridad de la información tiene la tarea de monitorear periódicamente a los empleados para detectar la presencia de "personas poco confiables", entonces tiene más sentido instalar este programa en varias máquinas y simplemente registrar los números de serie de las unidades flash y el momento de su creación. del archivo malicioso para recopilar estadísticas. Por lo tanto, no es necesario buscar literalmente a todos los empleados y, al mismo tiempo, se mantiene la confidencialidad de los datos en las unidades flash y, en base a los datos obtenidos, también se puede juzgar la posible infección de las computadoras personales de los usuarios y del estado. de la seguridad de la información en general. Después de todo, como escribimos anteriormente, cualquier sistema está sujeto a factores aleatorios y no se puede excluir el riesgo de amenazas.

Pruebas

Después de implementar el programa en una red de tamaño relativamente mediano, en una semana recibimos datos bastante elocuentes. Más del 20% de todas las unidades flash conectadas estaban infectadas con algún tipo de virus o troyano, y más del 15% seguían infectadas cuando se reconectaban un par de días después. También cabe señalar que muchas computadoras contaban con protección antivirus, que periódicamente cumplía con sus funciones. Sin embargo, la habitual indiferencia ante las ventanas emergentes de advertencia antivirus a las que los usuarios están acostumbrados desde hace mucho tiempo al conectar una unidad flash no les permitió suponer que se trataba de una amenaza completamente diferente. Una falsa sensación de seguridad permitió a los usuarios conectar la unidad flash a varias computadoras sin vergüenza, y nuestro programa hizo su trabajo con éxito.

Brevemente sobre el algoritmo.

• Instalamos nuestro programa en los ordenadores de la empresa.
• Analizamos las unidades flash conectadas en busca de signos de infección.
• "Infectamos" las unidades flash de los usuarios con nuestro "virus" de prueba o reescribimos sus números para realizar estadísticas.
• Informamos a las autoridades, castigamos a los usuarios deshonestos, los retenemos, no los dejamos entrar y los prohibimos.

Conclusión

En resumen, podemos decir que la principal desventaja de este método es su incertidumbre. Nadie sabe exactamente cuándo se conectará la unidad flash "adecuada" a la computadora, ya que depende en gran medida del entorno en el que se implemente el programa. Sin embargo, este inconveniente no resta valor a la principal ventaja del método. Puedes pasar desapercibido durante mucho tiempo y, disolviéndote entre otras amenazas, atacar cada vez más vehículos nuevos de forma totalmente automática. Es fácil ver que esta técnica tiene un cierto efecto de escala. Cuantos más empleados trabajen en una organización y más diversas las comunicaciones internas, mayor será el resultado. Aunque este enfoque funcionará perfectamente en una estructura de absolutamente cualquier escala, porque su tarea principal no es una derrota masiva del sistema, sino un golpe dirigido al eslabón más débil: la persona. ][

Cuando tu ordenador está infectado con un virus (o lo sospechas), es importante seguir 4 reglas:

En primer lugar, no hay necesidad de apresurarse y tomar decisiones precipitadas. Como dicen, "mide dos veces, corta una vez": las acciones imprudentes pueden provocar no solo la pérdida de algunos archivos que podrían recuperarse, sino también la reinfección de la computadora.

Sin embargo, una acción que se debe tomar de inmediato es apagar la computadora para evitar que el virus continúe su trabajo. Todas las acciones para detectar el tipo de infección y tratar la computadora deben realizarse solo después de reiniciar la computadora desde un disquete de "emergencia" protegido contra escritura con el sistema operativo. En este caso, debe utilizar archivos ejecutables ubicados únicamente en disquetes de "emergencia" protegidos contra escritura. El incumplimiento de esta regla puede tener consecuencias muy graves, ya que al cargar el sistema operativo o ejecutar un programa desde un disco infectado, se puede activar un virus en la computadora, y si el virus se está ejecutando, tratar la computadora no tendrá sentido. ya que irá acompañado de una mayor infección de discos y programas.

Si no tiene suficiente experiencia y conocimiento para tratar su computadora, solicite ayuda a colegas más experimentados o incluso especialistas.

Prevención contra la infección por virus.

1). Copia de información y control de acceso:

Sería una buena idea tener y, si es necesario, actualizar copias de archivo y de referencia de los paquetes de software y los datos que utiliza. Antes de archivar datos, es recomendable comprobar si hay virus. También es recomendable copiar la información de servicio de su disco, como la memoria no volátil de la computadora, en disquetes.

Puede copiar y restaurar dicha información utilizando el programa Rescue en Norton Utilities.

2). La protección contra escritura debe instalarse en los disquetes de archivo. No debe realizar copias ilegales o sin licencia de software de otras computadoras. Es posible que tengan un virus.

3). Todos los datos procedentes del exterior deben comprobarse en busca de virus, especialmente los archivos "descargados" de Internet.

4). Es necesario preparar de antemano un paquete de recuperación en disquetes protegidos contra escritura.

5). Para trabajos normales no relacionados con la restauración de su computadora, debe desactivar el arranque desde un disquete. Esto evitará la infección por virus de arranque.

6). Utilice programas de filtrado para la detección temprana de virus.

7). Revisa periódicamente el disco con programas como AVP o Dr. Web para detectar posibles fallos de defensa.

8). Actualice la base de datos de su programa antivirus (AVP lo hace en 8 a 10 minutos).

Y lo más importante, no permita que usuarios dudosos accedan a su computadora.

5. Lista de literatura usada.

1. Petrov M. S., “Virus informáticos”, M.: 2002.

2. Figurnov V.E. “PC IBM para el usuario. Curso corto”, Infra-M.: 2001.

3. Starkov V.A. “El ABC de una computadora personal”, M.: 2000.

4. Bezrukov N. N. “Virología informática”: libro de referencia. manual de 1991

Se le solicitará descargar el “Virus” en cualquiera de los terminales del Instituto. Esto, a su vez, desencadenará una nueva misión, Underground y Undercover.

Guía paso a paso para descargar el virus:

1. Encuentra cualquier terminal en el Instituto.
2. Inserte una holocinta (botón [R])
3. Seleccione "Virus" de la lista.
4. Haga clic en todos los elementos del menú: Escaneo de red / Mensaje de Tom / Copiar mensaje cifrado.
5. Regrese al menú principal. Debería haber una nueva línea sobre una respuesta urgente, abierta y lista.

La respuesta indicará el lugar de la reunión. Seguimos el marcador de la brújula y nos encontramos con Liam:

Después de la conversación, se ofrecerá a reunirse con "su sintetizador", nos comunicamos, descubrimos que tienen 13 sintetizadores más que quieren escapar del Instituto. Y Liam tiene una idea de cómo enviar a todos a la superficie a la vez, pero para ello necesitaremos nuestra ayuda: obtener detalles de acceso al antiguo sistema de seguridad del Instituto de Tecnología, "Code Protector", que se encuentra en algún lugar de la Mancomunidad.

Vamos al metro y hablamos con Desdemona.

Ella te pedirá que dejes un informe en la terminal PAM, vamos con él.

Seleccione “Abrir informe sobre el Instituto”. Luego hablamos con el robot PAM, que está cerca (nota: el terminal PAM y el robot PAM son cosas diferentes).

Nos dicen el lugar de la próxima visita: "Cambridge Polymer Laboratory", vamos allí.

En el edificio nos recibe el robot Molly (un robot bastante divertido que nos asignará la tarea adicional "Cambridge Polymer Laboratory"). Después de hablar con el robot, buscamos esta habitación:

Para llegar allí, necesitarás piratear la terminal en el nivel "Difícil" o correr un poco más alrededor del edificio y encontrar un camino hacia la habitación a través del piso superior (habrá un agujero en el piso).

Llegamos al terminal deseado; habrá muchos puntos allí, necesitamos una "Solicitud para emitir una contraseña (archivo)".

Para salir de la habitación, abra la puerta usando otro terminal de la habitación.

Regresamos a Desdemona y hablamos. Luego regresamos al Instituto y nos comunicamos con Liam y Z1-14.

Este último dirá que necesita tiempo para hablar con amigos. Nos sentamos en un banco cercano y miramos las 24 horas. Hablamos nuevamente con Z1-14.

Dirá que los sintetizadores están dispuestos a luchar por la libertad, pero necesitan armas que, en general, pueden fabricar ellos mismos, pero necesitan materiales.

Entramos al túnel y matamos a los guardias.

Volvemos a Z1-14, dirá que están empezando a montar armas, pero llevará tiempo.

Luego, la tarea se “pausará” hasta que se complete la tarea Iniciar. Después de completar esta tarea, inmediatamente después de la reunión de directores, un sintetizador se acercará a usted y le dirá que debe ir urgentemente a su habitación. Está claro que no hay inundación, Z1-14 sólo necesita encontrarse con nosotros.

Dirá que el Instituto transfirió en secreto la ubicación de la base subterránea a la Hermandad del Acero y que es necesario advertirles urgentemente. Vamos al metro y hablamos con Desdemona.

Esto completa la tarea.

Premio

• 400 (?) experiencia
• Pistola de clavos
• Clavo de ferrocarril (56)

Si aparece un mensaje de texto en su computadora diciendo que sus archivos están encriptados, no se apresure a entrar en pánico. ¿Cuáles son los síntomas del cifrado de archivos? La extensión habitual cambia a *.vault, *.xtbl, * [correo electrónico protegido] _XO101, etc. Los archivos no se pueden abrir; se requiere una clave, que se puede comprar enviando una carta a la dirección especificada en el mensaje.

¿De dónde sacaste los archivos cifrados?

La computadora contrajo un virus que bloqueó el acceso a la información. Los programas antivirus a menudo no los detectan porque generalmente se basan en alguna utilidad de cifrado gratuita e inofensiva. Eliminará el virus con bastante rapidez, pero pueden surgir problemas graves al descifrar la información.

El soporte técnico de Kaspersky Lab, Dr.Web y otras empresas conocidas que desarrollan software antivirus, en respuesta a las solicitudes de los usuarios para descifrar datos, informa que es imposible hacerlo en un tiempo aceptable. Hay varios programas que pueden captar el código, pero sólo pueden funcionar con virus previamente estudiados. Si encuentra una nueva modificación, las posibilidades de restaurar el acceso a la información son extremadamente bajas.

¿Cómo llega un virus ransomware a una computadora?

En el 90% de los casos, los propios usuarios activan el virus en su ordenador., abriendo letras desconocidas. Luego se envía un mensaje por correo electrónico con un asunto provocativo: "Citación", "Deuda de préstamo", "Notificación de la oficina de impuestos", etc. Dentro de la carta falsa hay un archivo adjunto, después de descargarlo, el ransomware ingresa a la computadora y comienza a bloquear gradualmente el acceso a los archivos.

El cifrado no se produce instantáneamente, por lo que los usuarios tienen tiempo de eliminar el virus antes de que se cifre toda la información. Puede destruir un script malicioso utilizando las utilidades de limpieza Dr.Web CureIt, Kaspersky Internet Security y Malwarebytes Antimalware.

Métodos de recuperación de archivos

Si se ha habilitado la protección del sistema en su computadora, incluso después de la acción de un virus ransomware existe la posibilidad de que los archivos vuelvan a su estado normal utilizando instantáneas de archivos. El ransomware suele intentar eliminarlos, pero a veces no lo consigue por falta de derechos de administrador.

Restaurando una versión anterior:

Para guardar versiones anteriores, debe habilitar la protección del sistema.

Importante: la protección del sistema debe habilitarse antes de que aparezca el ransomware, después de lo cual ya no será útil.

1. Abra Propiedades de la computadora.
2. En el menú de la izquierda, seleccione Protección del sistema.
   
3. Seleccione la unidad C y haga clic en "Configurar".
4. Elija restaurar la configuración y las versiones anteriores de los archivos. Aplique los cambios haciendo clic en "Aceptar".

Si siguió estos pasos antes de que apareciera el virus de cifrado de archivos, después de limpiar su computadora del código malicioso, tendrá buenas posibilidades de recuperar su información.

Usando utilidades especiales

Kaspersky Lab ha preparado varias utilidades para ayudar a abrir archivos cifrados después de eliminar el virus. El primer descifrador que deberías probar es Kaspersky RectorDecryptor.

1. Descargue el programa del sitio web oficial de Kaspersky Lab.
2. Luego ejecute la utilidad y haga clic en "Iniciar escaneo". Especifique la ruta a cualquier archivo cifrado.

Si el programa malicioso no ha cambiado la extensión de los archivos, para descifrarlos deberá recopilarlos en una carpeta separada. Si la utilidad es RectorDecryptor, descargue dos programas más del sitio web oficial de Kaspersky: XoristDecryptor y RakhniDecryptor.

La última utilidad de Kaspersky Lab se llama Ransomware Decryptor. Ayuda a descifrar archivos después del virus CoinVault, que aún no está muy extendido en RuNet, pero que pronto sustituirá a otros troyanos.

Veamos los métodos más efectivos sobre cómo eliminar completamente un virus de una unidad flash y no perderlo.

El uso de unidades USB es una forma sencilla y cómoda de mover rápidamente cualquier archivo entre dispositivos.

Además de todas las ventajas, también hay un lado negativo: la rápida infección por el virus.

Basta con conectar la unidad a una computadora ya infectada para que el virus se agregue a la unidad flash sin ningún signo visible.

Tarea de malware– distribuir código infectado a otras computadoras. Este código puede tener diversos propósitos, desde robar sus datos hasta utilizar archivos .

¿Con qué virus puede estar infectada tu unidad flash?

Hay cuatro tipos principales de virus de unidades flash que son comunes en la actualidad:

• La plaga que crea atajos . La esencia de este virus es que después de moverlo a una unidad flash, todos los archivos (carpetas, documentos, imágenes, videos, programas ejecutables) se convierten en accesos directos;
• El segundo tipo crea un acceso directo en la carpeta del sistema "Mi PC" para iniciar una unidad externa, reemplazando la utilidad estándar. Como resultado, después de hacer clic en este acceso directo, el usuario inicia la instalación en segundo plano del programa antivirus y solo entonces abre la carpeta con los archivos;
• . A menudo, al abrir archivos en otras PC, puede ver que la carpeta de la unidad contiene documentos desconocidos con la extensión info, exe, dll, tte, worm y otras extensiones. Todos son troyanos. Este tipo de virus es el más común y no en todas las computadoras el usuario verá la ubicación del archivo. A menudo simplemente está oculto;
• virus ransomware - el tipo más peligroso. Cifra todos los archivos ubicados en el disco y solo se puede descifrar transfiriendo dinero al creador del virus a la cuenta especificada por el programa. Después de esto, supuestamente recibirás una clave de desbloqueo. Si se enfrenta a este tipo de plaga, no le recomendamos que envíe su dinero. En la mayoría de los casos, el problema se puede resolver utilizando utilidades especiales de descifrado que determinan el tipo de cifrado y .

También puede haber otras modificaciones del malware. Por ejemplo, aquellos que combinan dos tipos a la vez: reemplazar archivos con accesos directos más distribuirlos a la computadora a través de un archivo oculto o utilidades que se ejecutan en segundo plano junto con reemplazar el acceso directo para iniciar una unidad externa y otras variaciones.

Paso 1: escanea la unidad flash USB

El primer y principal paso que debe realizar para eliminar virus de una unidad flash es iniciar un análisis de la unidad con antivirus o Defender integrado.

Si surge algún problema con los archivos de la unidad (por ejemplo, imposibilidad de abrirlos, violación del contenido de las carpetas), recomendamos utilizar el integrado, así como una copia original de cualquier otro antivirus potente (, Norton).

Esto aumentará sus posibilidades de detectar incluso las versiones más recientes de software antivirus y mantener sus archivos intactos.

Siga las instrucciones para escanear la unidad flash utilizando la utilidad estándar de Windows Defender:

• Conecte la unidad flash a la computadora, pero no abra su contenido;
• A continuación, abre una ventana. "Mi computadora";
• Busque el acceso directo de la unidad flash conectada y haga clic derecho sobre él. De la lista de acciones, seleccione "Escanear con Windows Defender";

• Espere el resultado del análisis y permita que Windows Defender elimine todos los archivos peligrosos.

Si tiene otro antivirus instalado en su computadora, puede escanear la unidad flash exactamente de la misma manera.

Después de hacer clic derecho en el icono de la unidad flash, la lista de acciones mostrará no solo el Defender estándar, sino también la opción de escanear usando el programa que necesita.

Si ya abrió una unidad flash con un virus, es muy probable que haya penetrado en su computadora.

Para escanear y eliminar la plaga, siga estos pasos:

• Abra la barra de búsqueda en la barra de tareas y escriba Defender. En los resultados, haga clic en el icono "Centro de Seguridad";

• A continuación, vaya a la pestaña "Protección contra virus y amenazas". En el lado derecho de la ventana, haga clic en el campo "Escaneo extendido". Puede tardar hasta media hora. También puedes utilizar la comprobación rápida. De esta manera, el antivirus analizará sólo los archivos del sistema que tengan más probabilidades de estar infectados.

• Después de detectar archivos sospechosos y objetos infectados, se recomienda eliminarlos. Puede hacer esto inmediatamente en la ventana de Windows Defender.

Si el elemento infectado resulta ser un archivo importante para usted, del cual no hay copia, mueva el objeto a cuarentena y espere hasta que se eliminen todas las partes infectadas del código.

Después de esto, podrá trabajar con este archivo de forma segura, pero existe la posibilidad de que el virus se propague nuevamente si Defender no ve todos los datos maliciosos.

¡Aviso! Para detectar eficazmente cualquier tipo de virus, es necesario instalar las últimas actualizaciones en su computadora. Si ha desactivado la opción de actualización automática, abra la ventana de configuración usando las teclasGanar-> I. Luego vaya al "Centro de actualización y seguridad" e instale manualmente todos los paquetes de actualización más recientes del desarrollador. Solo después de esto, comience a escanear el sistema y las unidades flash conectadas.

A pesar de que Defender es un programa estándar, hace un muy buen trabajo identificando y eliminando virus, pero para que funcione eficazmente debe usarse exclusivamente.

Sólo a través de copias originales del sistema operativo los desarrolladores podrán distribuir actualizaciones de seguridad y bases de datos con información sobre las últimas versiones de virus con las que Defender trabajará posteriormente.

Paso 2: formatear USB

El siguiente paso para limpiar su unidad flash de virus implica eliminar por completo todo el contenido de la unidad.

El formateo no se puede deshacer, así que asegúrese de no perder archivos importantes.

Este método es eficaz porque, como resultado, se eliminarán absolutamente todos los scripts maliciosos y archivos ocultos.

Sigue las instrucciones:

• Conecte la unidad USB a su PC y abra la ventana Mi PC;
• A continuación, haga clic derecho en el icono del dispositivo y seleccione "Formato";

• En la nueva ventana, haga clic en "Comenzar".

Como resultado, la ventana "Mi PC" actualizará automáticamente los datos y podrá utilizar una unidad flash completamente segura y limpia.

Paso 3: editar el inicio

En el 90% de los casos, un virus desde una unidad flash se propaga a la computadora.

Si anteriormente abrió el contenido de la unidad en su computadora, volver a conectar incluso una unidad flash ya formateada la infectará nuevamente con un virus.

Recomendamos no solo escanear y limpiar la unidad flash, sino también editar el proceso de ejecución automática del virus usando la ventana del sistema. Muchas plagas funcionan en segundo plano y se inician cuando se enciende la computadora, por lo que no es posible rastrearlas.

Sigue las instrucciones:

• Abra el Administrador de tareas haciendo clic derecho en la bandeja de Windows. En la lista que aparece, seleccione la utilidad deseada;

• En la nueva ventana, vaya a la pestaña "Inicio". Vea la lista completa de aplicaciones que se ejecutan con el sistema operativo. Si ve un proceso con el que no está familiarizado, desactívelo.