Hur vet du om din dator blivit infekterad?

Informationssäkerhet , Nyhet , Systematiskt säkerhetsarbete , Verksamhetsskydd
tisdag 3 september 2024

Om man inte är helt försiktig kan ens dator bli infekterad av skadlig kod genom helt vanlig användning. Från att surfa på nätet till att öppna ett dokument som skulle vara semesterplaneringen från en kollega. Förloppet kan gå väldigt snabbt och på flera olika sätt. MSB och Microsoft har listat de vanligaste metoderna kring hur skadlig kod körs på din dator. Konsekvensen av att den skadliga koden körts på din dator kan starkt variera – från obetydlig påverkan till förödande. Det beror främst på vilket program som körts, vad som fanns på din dator samt vad den har tillgång till.

Vanligtvis fångar antivirus skadliga program, men hotaktörer anpassar sig och skriver om programmen med särskilda tekniker för att hålla sig oupptäckta. Antivirus-skydd förlitar sig mycket på kända hot, tekniker och filegenskaper hos skadliga program. Dessa är grunden till signaturer som antivirus använder sig av för att upptäcka hot. Signaturerna kan vara ett definierat beteendemönster för när program körs, eller att ett program har exakt samma innehåll som ett känt virus. Uppdaterade signaturer och förändrade tekniker och metoder i skadliga program är en ständig kamp mellan katt och råtta.

Var uppmärksam

I de fall när antiviruset-skyddet inte lyckas upptäcka och förhindra skadliga program kan du ändå vara uppmärksam på några tydliga symtom:

Det tar längre tid att starta upp och köra program
Det går inte att stänga av eller avinstallera vissa program
Plötsliga oförväntade omstarter
Plötsliga program-krascher
Ditt antivirusprogram har stängts av eller avinstallerats
Förekomst och installation av okända och obehöriga program
Din webbläsare är segare och skickar dig ständigt vidare till okända hemsidor
Oförväntade ”pop-up” rutor som kan ha reklam

Om någon av dessa beteenden setts på din dator eller om du har en misstanke om annan illasinnad aktivitet, är det viktigt att inte få panik och göra något förhastat. Det kan ju vara ett naturligt beteende från datorn eller från godkänd installerad mjukvara.

Om datorn tillhör din organisation bör du kontakta utsedd avdelning eller kontaktperson för att rådfråga om hur du ska gå vidare. Om inte annat instrueras och datorn behöver undersökas vidare ska du koppla bort nätverket (sladd och trådlöst) men stäng inte av datorn. Det datorn håller i minnet när den är på kan vara en nyckelbit för incidentutredare och forensiker. Viktiga spår om hur det skadliga programmet kom till datorn, vad det programmet gör, och vem som kan ligga bakom det, kan finnas i minnet. Om datorn stängs av försvinner de pusselbitarna.

Assume breach – utgå från att du är under attack

I vissa fall kommer inga symptom från skadliga program att synas då det finns varianter som är bättre på att gömma sig än andra. De mest avancerade programmen som skapas av aktörer som är finansiellt drivna eller som agerar ur ett statsintresse, besitter oftast en större mängd resurser och kompetens samt ett rejält tålamod. De kan etablera ett fotfäste och hålla sig oupptäckta i it-miljöer i månader eller rent av år. De anpassar sitt angrepp efter verksamheten de ska angripa och deras mål kan vara stöld eller manipulering av data, göra resurser otillgängliga eller en kombination av detta.

När det inte finns logginsamling och övervakning, eller omfattande skydd för enheter med lösningar som Endpoint Detection and Response (EDR/XDR) är det utmanande att upptäcka hotens närvaro innan de utför sitt huvudsakliga syfte i miljön. När de väl är upptäckta kan alla digitala spår och bevis vara avgörande för att ta reda på vem hotaktören är och dennes motiv. Bevisen är viktiga för att kunna se om aktörerna fortfarande är närvarande och aktiva i din it-miljö samt för att kunna effektivt driva ut dem. Visar det sig att de redan uppnått sitt mål och inte längre är aktiva är det fortfarande lika viktigt att förstå sig på vilka de är för att förhindra dem vid eventuell återkomst samt snabbare upptäcka nya intrång.

Har din verksamhet ett pågående intrång?

Om du misstänker att en eller flera av era enheter är angripna, hör av dig direkt till oss på incident@basalt.se så hjälper vi er. Basalt har kompetensen att hantera incidenter och utföra forensiska undersökningar. Om vi identifierar att hotet är äkta och aktivt kommer vi att assistera er i att rensa bort hotet samt återställa er miljö och era resurser i den mån det går.

Skribent

Hannes Michel
It-säkerhetskonsult

Kontakta oss

Våra it-säkerstjänster

Kaka	Varaktighet	Beskrivning
cookielawinfo-checbox-analytics	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Analytics".
cookielawinfo-checbox-functional	11 months	Cookien sätts av GDPR-cookie-samtycke för att registrera användarens samtycke för cookies i kategorin "Funktionell".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	Denna cookie, som anges av GDPR Cookie Consent-plugin, används för att registrera användarens samtycke för cookies i kategorin "Annons".
cookielawinfo-checkbox-necessary	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookies används för att lagra användarens samtycke för cookies i kategorin "Nödvändigt".
cookielawinfo-checkbox-performance	11 months	Denna cookie ställs in av GDPR Cookie Consent-plugin. Cookien används för att lagra användarens samtycke för cookies i kategorin "Prestanda".
viewed_cookie_policy	11 months	Cookien ställs in av GDPR Cookie Consent-plugin och används för att lagra om användaren har samtyckt till användningen av cookies eller inte. Den lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
bcookie	2 years	LinkedIn ställer in denna cookie från LinkedIns delningsknappar och annonstaggar för att känna igen webbläsar-ID.
bscookie	2 years	LinkedIn ställer in denna cookie för att lagra utförda åtgärder på webbplatsen.
lang	session	LinkedIn ställer in denna cookie för att komma ihåg en användares språkinställning.
lidc	1 day	LinkedIn ställer in lidc-cookien för att underlätta valet av datacenter.

Kaka	Varaktighet	Beskrivning
_ga	2 years	_ga-cookien, installerad av Google Analytics, beräknar besöks-, sessions- och kampanjdata och håller även koll på webbplatsanvändningen för webbplatsens analysrapport. Cookien lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att känna igen unika besökare.
_ga_756JKDQ1KE	2 years	Denna cookie installeras av Google Analytics.
_gat_gtag_UA_55739322_1	1 minute	Inställd av Google för att särskilja användare.
_gat_UA-55739322-1	1 minute	En variant av _gat-cookien som ställts in av Google Analytics och Google Tag Manager för att tillåta webbplatsägare att spåra besökarnas beteende och mäta webbplatsens prestanda. Mönsterelementet i namnet innehåller det unika identitetsnumret för kontot eller webbplatsen det hänför sig till.
_gid	1 day	Installerad av Google Analytics lagrar _gid cookie information om hur besökare använder en webbplats, samtidigt som den skapar en analysrapport över webbplatsens prestanda. En del av de uppgifter som samlas in inkluderar antalet besökare, deras källa och de sidor de besöker anonymt.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar ställer in denna cookie för att upptäcka den första sidvisningssessionen för en användare. Detta är en True/False-flagga som sätts av cookien.
_hjFirstSeen	30 minutes	Hotjar ställer in denna cookie för att identifiera en ny användares första session. Den lagrar ett sant/falskt värde, vilket indikerar om det var första gången Hotjar såg den här användaren.
_hjIncludedInPageviewSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens sidvisningsgräns.
_hjIncludedInSessionSample	2 minutes	Hotjar ställer in denna cookie för att veta om en användare ingår i datasamplingen som definieras av webbplatsens dagliga sessionsgräns.
_hjTLDTest	session	För att bestämma den mest generiska cookie-sökvägen som måste användas istället för sidans värdnamn, ställer Hotjar in _hjTLDTest-cookien för att lagra olika URL-understrängsalternativ tills den misslyckas.
CONSENT	2 years	YouTube sätter denna cookie via inbäddade youtube-videor och registrerar anonym statistisk data.
Google_Tag_Manager	1 year
nQ_cookieId	1 year	Albacross sätter denna cookie för att hjälpa till att identifiera företag för bättre leadgenerering och effektivare annonsinriktning.
UserMatchHistory	1 month	LinkedIn ställer in denna cookie för synkronisering av LinkedIn Ads ID.

Kaka	Varaktighet	Beskrivning
VISITOR_INFO1_LIVE	5 months 27 days	En cookie som ställs in av YouTube för att mäta bandbredd som avgör om användaren får det nya eller gamla spelargränssnittet.
YSC	session	YSC-cookien ställs in av Youtube och används för att spåra visningar av inbäddade videor på Youtube-sidor.
yt-remote-connected-devices	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.
yt-remote-device-id	never	YouTube ställer in denna cookie för att lagra videopreferenser för användaren som använder inbäddad YouTube-video.

Kaka	Varaktighet	Beskrivning
_hjSession_2668272	30 minutes	Ingen beskrivning
_hjSessionUser_2668272	1 year	Ingen beskrivning
AnalyticsSyncHistory	1 month	Ingen beskrivning
li_gc	2 years	Ingen beskrivning
nQ_userVisitId	30 minutes	Ingen beskrivning

Hur vet du om din dator blivit infekterad?

Var uppmärksam

Assume breach – utgå från att du är under attack

Har din verksamhet ett pågående intrång?

Skribent

Rapporten Svenskt Säkerhetsindex 2024

Svenskt säkerhetsindex

More news