Я видел некоторые сайты, предлагающие «Университет вредоносных программ», обучающие курсы по избавлению от вредоносных программ. Считаете ли вы, что необходимо время от времени обновлять свои навыки удаления вредоносных программ (или арсенал)? Как стать более эффективным в борьбе с этой растущей и очень сложной угрозой?
Вы не «чистите вредоносное ПО». Вы выравниваете машины и начинаете заново. Все, что меньше, является медвежьей услугой для вашего клиента и вызывает проблемы.
Что касается борьбы с «угрозой», вы не разрешаете пользователям работать с учетными записями уровня администратора (в Windows) и не устанавливаете ненадежное программное обеспечение (насколько это возможно). Мне это кажется довольно простым. У меня и моих клиентов нет проблем с вредоносным ПО.
Помимо практики системного администратора, не позволяющей пользователям запускать учетные записи уровня администратора и т. Д., На вас ложится большая ответственность за то, чтобы быть в курсе угроз в дикой природе. Прочтите предупреждения, которые появляются при обнаружении новой угрозы. Разработайте политику обновлений для вашего программного обеспечения.
Ничто не может разрушить безопасность быстрее, чем целеустремленный пользователь, поэтому объясните им опасность нажатия на случайные ссылки в электронной почте или установки приложений, если они не уверены в источнике (и т. Д.), Не забудьте сообщить им, что это сделано для безопасности. сети и их домашних компьютеров.
Если вы будете в курсе новостей и будете держать своих пользователей в курсе, то вы резко уменьшите свое присутствие.
Что касается «обучения вредоносному ПО», само по себе это название - слишком модное маркетинговое слово, чтобы внушать большую веру. Возможно, я слишком скептик, но я чувствую, что любые конкретные «темы о вредоносных программах» устареют еще до того, как класс начнет сессию.
Конечно, некоторые базовые навыки применимы, но если администратор (или служба поддержки) еще не знает этих вещей, я бы предпочел, чтобы они отформатировали машину (по причинам, указанным Эван Андерсон), вместо того, чтобы рисковать своими навыками очистки. .
Автозапуск и Process Explorer от Sysinternals (теперь принадлежит MS) - ваши лучшие друзья. 1-2 заражения, которые я наблюдаю в неделю, когда пользователь открыл вложение или посетил страницу, которую не должен был иметь, и (актуальный!) AV не полностью заблокировал его, обычно можно очистить в 30–1 час усилий только с этими двумя утилитами. Это довольно просто, и после нескольких первых очисток вы научитесь знать, что нужно убить / удалить, чтобы избавиться от вредоносного ПО.
Тем не менее, время от времени вы будете сталкиваться с некоторыми вредоносными программами, написанными не идиотами, поэтому, если вы не можете добиться прогресса через 30 минут, пришло время для полной очистки / перезагрузки.
Имейте в виду, что это больше подходит для SMB, где оборудование не стандартизировано. Если у вас есть образ системы и файлы пользователя зарезервированы, его можно будет быстрее стереть / перезагрузить при первых признаках заражения.