Kui saame a PDF-fail e-posti teel või laadime selle veebisaidilt alla, avame selle tavaliselt mõtlemata, aga PDF-fail võib olla ka pahavara levitamise vahendRündajad kasutavad ära haavatavusi ja vormindavad funktsioone, et hiilida ligi pahatahtlikule koodile, lõksu meelitada lehti või salaja alla laadida. Kui töötate iga päev dokumentidega, tasub õppida ära tundma hoiatusmärke ja faile enne nende avamist kontrollida.
siit leiad Tõestatud meetodid pahatahtlike PDF-ide tuvastamiseks ja nendega tegelemiseks Windowsis, alates kiirskannimisest Microsoft Defenderiga kuni täiustatud analüüsini spetsiaalsete tööriistadega, sealhulgas mida teha, kui teie arvutis töötab kahtlane protsess, kuidas nakatunud faili ohutult kustutada ja millised ennetavad meetmed on olulised.
Kuidas viirused PDF-failidesse hiilivad ja miks need ohtlikud on
PDF ei koosne ainult "tekstist ja piltidest", võib sisaldada elemente nagu JavaScript, manustatud lingid või viited välistele ressurssideleKüberkurjategijad kasutavad neid võimalusi ära koodi sisestamiseks, mis käivitub dokumendi avamisel, või pahavara, krüptovaluuta kaevandamise või soovimatute allalaadimistega lehtedele suunamiseks.
Levinud taktika on manustada pealtnäha kahjutuid pildinimesid või linke mis klõpsamisel laadivad pahatahtlikke veebisaite. Teine on nende lisamine skriptid (nt JavaScript), mis kasutavad ära teadaolevaid haavatavusi vananenud PDF-lugerites, et käivitada toiminguid taustal ilma kasutaja märkamata.
Samuti on faile, mis saabuvad maskeeritult: Need näevad välja nagu PDF-failid või Office'i dokumendid Tegelikult on need aga skriptid või käivitatavad failid peidetud laiendustega, mida Windows saab topeltklõpsuga käivitada. Seega, isegi kui manus "tundub olevat seaduslik", on enne avamist hea mõte selle olemust hoolikalt kontrollida.
Märkus: E-posti pakkujad sageli skannib manuseid automaatselt, aga see ei asenda teie enda kontrolle. Esialgne analüüs kohalike või pilvepõhiste tööriistadega vähendab drastiliselt riski et PDF on nakkuse värav.
Mida teha PDF-faili kahtluse korral: kohene reageerimine ja diagnoosimine
Kui kahtlustate, et fail on ohustatud, on esimene asi, mida on lihtne öelda ja mis on ülioluline teha: ära käivita ega ava failiPaljud pahavararünnakud installivad end kohe dokumendi avamisel ja mõned käivituvad ilma kasutaja sekkumiseta, kui süsteem on haavatav.
Esialgse hinnangu saamiseks võite kasutada oma kohalikku kaitset. Windowsis Microsoft Defender võimaldab teil faili paremklõpsuga skannida.: Minge kausta, kus PDF-fail asub, paremklõpsake sellel ja valige „Skanni Microsoft Defenderiga”. Kui aruandes on kirjas „Praegusi ohte pole”, võite olla rahulik; kui see midagi tuvastab, pakub teile koristamist või karantiini faili.
Kui soovite teist arvamust, Installi ajutiselt Malwarebytes (tasuta versioon) ja käivitage süsteemi skannimine. Kui olete lõpetanud, saate selle desinstallida, et vältida topeltmootorite kasutamist. Pidage meeles, et omama ühte usaldusväärset ja ajakohast viirusetõrjet on soovitatav praktika.
Samuti saate faili analüüsimiseks veebiteenusesse üles laadida, kuid pidage meeles ühte olulist hoiatust: Mõned teenused jagavad näidiseid kolmandate osapooltegaVältige tundlike või tuvastatavate andmetega failide üleslaadimist. Ja kui veebipõhine otsus midagi ei leia, aga teil on endiselt kahtlusi, küsige abi tehniliselt personalilt või liikuge edasi täpsema analüüsi juurde, näiteks allpool kuvatavate juurde.
Kiirskannimine Microsoft Defenderiga samm-sammult
Windowsi kasutajatele pakub Defender kohest ülevaadet: Avage allalaadimiste kaust, leidke PDF-fail, paremklõpsake sellel ja valige „Skanni Microsoft Defenderiga”.Vaid mõne sekundi pärast näete, kas on mingeid ohte ja kui on, siis saate faili kustutada või isoleerida ilma seda avamata.
Pange tähele seda Sagedased süsteemi ja dokumentide skaneeringud aitavad intsidente õigeaegselt tuvastada. Defender ja teised viirusetõrjeprogrammid toovad sageli ajastatud skaneerimine vaikimisi midagi, mida tuleks säilitada.
Tuvastage pahatahtlikud protsessid Windowsis
Kui märkate, et teie arvuti töötab aeglasemalt või kahtlustate, et midagi toimub "kulisside taga", on hea mõte protsesse uurida. Windowsis avage Task Manager kontekstimenüüst Start või Ctrl + Alt + Kustuta ja seejärel „Task Manager“. Vahekaardil Protsessid Näete, mis tarbib protsessorit, mälu ja ketast.
Esitage endale kaks olulist küsimust: Kas on protsesse või rakendusi, mida te ei tunne? y Kas mõni neist tarbib palju rohkem ressursse kui teised?Kahtluse korral paremklõpsake protsessil ja sisestage omadused et näha marsruuti, allkirja ja loomise kuupäeva. Saidid nagu File.net Need aitavad teil hinnata, kas käivitatav fail on seaduslik või kahtlane.
Kui olete kindel, et midagi lõhnab halvasti, valige protsess ja vajutage Lõpeta ülesanneKui tegemist oli pahavaraga, peaksite koheselt paranemist märkama. Sellegipoolest käivitage viirusetõrje nii kiiresti kui võimalik jälgede eemaldamiseks. Kui te kogemata lõpetate õigustatud protsessi, võib rakendus sulguda või süsteem hoiatab teid, et see on kriitiline, ja toimingu tagasi lükkab.
Täiustatud failianalüüs: laiendused, räsiväärtused ja laborid
Lisaks põhilistele skaneeringutele saate süveneda tehnikatesse, mis pakuvad kindlamaid tõendeid. Alustuseks, kontrollige faili räsi (MD5/SHA1/SHA256). Windowsis on olemas lihtsad utiliidid, näiteks WinMD5Free; GNU/Linuxis on käsud, näiteks md5sum o sha1sum.
Teine oluline kontroll on kontrollige tegelikku pikendustTavalised dokumendid (.DOC, .XLS, .PPT või .PDF) tavaliselt ise koodi ei käivita, kuid laiendused, näiteks .VBS, .VBE, .WSH, .BAT, .JS või .JSE Need töötavad otse Windowsis ja neid kasutatakse sageli lunavara kampaaniates. Kahtluse korral avage fail tekstiredaktoriga ilma seda käivitamata päiste, struktuuri või hägustatud skriptide jälgimiseks.
PDF-ide puhul on väga praktiline utiliit PDF-voo prügivedajaSelle abil saate Otsi pahatahtlikke mustreid, eralda JavaScripti, leia manustatud URL-e või tuvasta shellkoodi loodud haavatavuste ärakasutamiseks. Need tehnikad, kuigi tehnilisemad, Need teevad vahet, kui viirusetõrje ei anna lõplikku vastust..
Hävitage ohutult, desinfitseerige MSRT-ga ja ennetage tulevasi probleeme
Kui olete kindel, et fail on pahatahtlik, on aeg see korralikult kustutada. Idee on selles, et takistada selle lihtsat taastamist. Sisse Windows, populaarne variant on kustutuskumm; In macOS, lohista prügikasti ja tühjendage see (või kirjutage üle käsurea abil).
Windowsis juba aktiivsete nakkuste puhastamiseks pakub Microsoft Pahatahtliku tarkvara eemaldamise tööriist (MSRT)Oluline on aru saada, mis see on ja mis see ei ole: ei asenda viirusetõrjetSee on loodud juba kahjustatud seadmete desinfitseerimiseks ja keskendub levinud pahavara perekondadele, eemaldades süsteemis kõik aktiivse. See ei eemalda nuhkvara ja selle ulatus on olemasoleva pahavara alamhulk.
Süsteemihügieeni osana soovitab Microsoft külastada oma Turvakeskus meeskonna kaitse tugevdamiseks ja organisatsioonid nagu INCIBE/OSI Nad avaldavad väga kasulikke juhendeid (näiteks see, mis on 11/05/2022) pahatahtlike protsesside tuvastamiseks ja nakkuse korral kiireks tegutsemiseks.
Ennetamine on igapäevaelu kuulikindel vest, seega on hea järgida neid põhilisi näpunäiteid:
- Ärge avage manuseid, kui kahtlete saatjas. või kontekst.
- USA üks usaldusväärne ja ajakohane viirusetõrje.
- Aktiveeri valik Windowsis näita faililaiendeid et mitte sattuda topeltpikendustesse.
- Kasuta usaldusväärne PDF-lugeja (näiteks Adobe Acrobat), mis on konfigureeritud JavaScripti keelama ja võimaluse korral pilves dokumente lugema, kasutades täiendavaid turvakihte.
- Skannige süsteemi ja dokumendid pakuvad sageli meelerahu.
Kõige selle abil olete paremini ette valmistatud kahtlaste PDF-failidega tegelemiseks: Sa tead, milliseid signaale otsida, kuidas neid avamata analüüsida, kuidas kahtlaseid protsesse katkestada, milliseid vahendeid desinfitseerimiseks kasutada ja kuidas andmeid ohutult kustutada.Kui te ka oma harjumusi tugevdate (ajakohane viirusetõrje, nähtavad laiendused, turvalised lugejad ja kummaliste meilide suhtes silma peal hoidmine), vähendate oluliselt riski et lihtne dokument seab teie arvuti ja andmed ohtu.
