Cum să știi dacă cineva are acces de la distanță la computerul tău Windows?

Unele dintre cele mai periculoase tipuri de malware sunt concepute pentru a obține acces de la distanță la computerul victimei, cum ar fi troienii de acces la distanță (RAT) și rootkit-urile la nivel de kernel . Acestea funcționează în tăcere, ceea ce face detectarea dificilă. Dacă sunteți îngrijorat că cineva are acces neautorizat de la distanță la computerul dvs. Windows, aflați cum să confirmați și să eliminați amenințarea.

Semne de avertizare când cineva vă accesează computerul

Deși majoritatea încercărilor de acces de la distanță sunt silențioase, ele totuși vin cu câteva semne de avertizare. Deși aceste semne pot indica popularitatea Windows, luate împreună, pot fi dovezi puternice ale activității de acces la distanță.

• Comportament neobișnuit de mouse/tastatură : dacă cursorul se mișcă neregulat sau textul este introdus fără intervenția dvs., ar putea fi opera unui instrument de la distanță. Chiar și atunci când nu sunt controlate activ, aceste instrumente pot provoca probleme precum săritul cursorului/teleportarea. Acest semnal poate acționa și ca o confirmare dacă mouse-ul și tastatura încep să efectueze sarcini precum accesarea barei de adrese a browserului și introducerea unei adrese de site web.
• Programe care se deschid și se închid singure : Hackerii pot trimite, de asemenea, comenzi pentru a deschide aplicații specifice (cum ar fi software-ul antivirus sau promptul de comandă ) pentru a obține mai mult control asupra sistemului sau pentru a dezactiva funcțiile de securitate. Dacă vedeți că programele se deschid și se închid singure, acesta este un semn de avertizare.
• Crearea de noi conturi de utilizator necunoscut : Unii actori răi pot încerca să creeze conturi secundare pentru a obține acces persistent chiar și după detectare. Probabil că vor dezactiva funcția de comutare a utilizatorului pentru a ascunde contul de pe ecranul de blocare. Accesați Setări Windows -> Conturi și găsiți contul secundar în Familie și alți utilizatori.

• Performanță lentă bruscă : operațiunile de control de la distanță necesită, de asemenea, resurse mari, așa că este posibil să observați o scădere bruscă a performanței. Acest lucru merită luat în considerare în special dacă apar scăderi ocazionale de performanță din cauza operațiunilor de control de la distanță.
• Windows Remote Desktop este activat automat : Windows Remote Desktop este destul de vulnerabil, așa că hackerii folosesc adesea această funcție pentru a crea conexiuni la distanță. Această caracteristică este dezactivată implicit, așa că dacă este activată fără intervenția dvs., ar putea fi făcută de un hacker. În Setări Windows, accesați Sistem -> Desktop la distanță și vedeți dacă această caracteristică este activată.

Cum să confirmați că computerul dvs. este accesat de la distanță

Dacă observați semnele de mai sus, luați măsurile necesare pentru a vă confirma suspiciunea. Puteți monitoriza activitatea componentelor/aplicațiilor implicate în procesul de acces la distanță pentru a confirma că cineva vă accesează computerul Windows. Iată câteva dintre cele mai fiabile metode:

Verificați jurnalele Windows Event Viewer

Windows Event Viewer este un instrument excelent încorporat pentru a monitoriza activitatea utilizatorului și pentru a ajuta la detectarea încercărilor de acces la distanță prin monitorizarea activității RDP și a jurnalelor de conectare.

Căutați „event viewer” în Windows Search și deschideți Event Viewer .

Accesați Jurnalele Windows -> Securitate și faceți clic pe fila ID eveniment pentru a sorta evenimentele după ID. Căutați toate evenimentele cu ID 4624 și verificați detaliile acestora pentru a vă asigura că niciunul dintre ele nu are Tipul de conectare 10 . ID-ul evenimentului 4624 este pentru încercări de conectare, iar Tipul de conectare 10 corespunde conectărilor de la distanță care utilizează servicii de acces la distanță pe care le-ar putea folosi hackerii.

De asemenea, puteți căuta ID-ul evenimentului 4778 , deoarece arată o reconectare a sesiunii de la distanță. Pagina de detalii a fiecărui eveniment vă va oferi informații importante de identificare, cum ar fi numele contului sau adresa IP a rețelei.

Monitorizați traficul în rețea

Accesul de la distanță depinde de conectivitatea la rețea, așadar monitorizarea traficului de rețea este o modalitate fiabilă de a-l detecta. Vă recomandăm să utilizați versiunea gratuită de GlassWire în acest scop, deoarece aceasta monitorizează și protejează automat împotriva conexiunilor rău intenționate.

În aplicația GlassWire, veți vedea toate conexiunile aplicației în secțiunea GlassWire Protect . Aplicația va evalua automat conexiunile și le va semnala pe cele care nu sunt de încredere. În cele mai multe cazuri, aplicația va putea detecta conexiunile la distanță rău intenționate și vă va avertiza.

Pe lângă algoritmii de aplicație, puteți căuta și indicii, cum ar fi utilizarea ridicată a datelor pentru o aplicație necunoscută. Conexiunile la distanță folosesc date persistente, astfel încât acestea sunt ușor de detectat.

Vizualizați sarcinile programate

Multe încercări de acces la distanță sunt gestionate folosind instrumentul Task Scheduler din Windows. Acest lucru îi ajută să supraviețuiască repornirilor computerului și să efectueze sarcini fără a fi nevoiți să ruleze continuu. Dacă computerul dvs. este infectat cu un virus, veți vedea sarcini din aplicații necunoscute în Task Scheduler.

Căutați „programator de activități” în Căutare Windows și deschideți aplicația Programator de activități. În panoul din stânga, deschideți Task Scheduler (Local) -> Task Scheduler Library . Căutați orice foldere ciudate sau suspecte, altele decât Microsoft. Dacă găsiți foldere, faceți clic dreapta pe sarcină și selectați Proprietăți.

În Proprietăți , căutați prin filele Declanșatoare și Acțiuni pentru a afla ce face sarcina și când se execută, ceea ce ar trebui să fie suficient pentru a înțelege dacă este rău. De exemplu, dacă sarcina rulează o aplicație sau un script necunoscut la conectare sau când sistemul este inactiv, sarcina poate fi rău intenționată.

Dacă nu găsiți sarcina suspectă, poate doriți să căutați în Microsoft. Este posibil ca programele malware sofisticate să se ascundă în folderele de sistem. Căutați sarcini care par suspecte, cum ar fi denumiri generice precum „systemMonitor” sau nume scrise greșit. Din fericire, nu va trebui să cercetați fiecare sarcină, deoarece majoritatea va fi creată de Microsoft Corporation, care poate fi ignorată în siguranță.