Xem nhanh
Một trong số các dạng malware nguy hiểm nhất được thiết kế để có thể điều khiển Windows PC của nạn nhân từ xa.
Các malware luôn vận hành trong âm thầm, điều đó khiến chúng rất khó để bị phát hiện. Nếu thật sự lo ngại rằng PC của mình đang bị ai đó xâm nhập từ xa thì đã đến lúc bạn nên tìm hiểu cách xác định và loại bỏ sự xâm nhập này.
Một vài dấu hiệu
Dù đa phần các cuộc xâm nhập đều rất thầm lặng, nhưng chúng cũng thường để lại nhiều dấu hiệu đáng ngờ. Các dấu hiện ban đầu có thể giống những lỗi thông thường của Windows, thế nhưng kết hợp chúng lại thì ta lại có một bằng chứng về việc xâm nhập.
Chuột hoặc bàn phím hoạt động bất thường: Nếu con trỏ chuột chuyển động bất thường hoặc có nhiều đoạn văn bản xuất hiện mà không phải do bạn gõ thì đó có thể là dấu hiệu của các công cụ điều khiển từ xa. Ngay cả khi không hoạt động, các công cụ này cũng thường gây ra vấn đề như con trỏ chuột đột nhiên di chuyển loạn xạ. Và nếu chuột cùng bàn phím bắt đầu thực hiện tác vụ như mở trình duyệt web và tự động truy cập một trang web nào đó thì không còn gì để nghi ngờ nữa.
Các ứng dụng tự đóng hoặc tự mở: một hacker có thể gửi lệnh để mở một vài ứng dụng cụ thể ví dụ như ứng dụng diệt virus hoặc bảng lệnh Command Prompt để chiếm quyền điều khiển sâu hơn hoặc vô hiệu hóa hàng rào bảo vệ của bạn. Nếu thấy một hoặc vài ứng dụng tự mở hoặc tự đóng, đó chắc chắn là một tín hiệu rõ ràng.
Tài khoản đăng nhập lạ: Một số kẻ ngoan cố có thể vẫn cố tạo ra một tài khoản để có quyền truy cập PC của bạn ngay cả khi đã bị phát hiện. Chúng hẳn nhiên cũng đã khóa tính năng đổi tài khoản để tránh bị bạn phát hiện khi khóa màn hình. Mở của sổ Settings > Accounts, sau đó tìm kiếm sự tồn tại của tài khoản này trong mục “Family” và “Other users”.
Máy chậm đột ngột: hoạt động kiểm soát từ xa sẽ tiêu tốn rất nhiều tài nguyên của PC. Do đó, đây là dấu hiệu đáng để tâm.
Windows remote desktop tự bật: Tính năng Windows remote desktop rất dễ bị tấn công và hacker thường dùng tính năng này để tạo ra kết nối với máy tính của bạn. Tính năng này thường được tắt theo mặc định, vậy nên nếu phát hiện nó đã được bật thì bạn nên cân nhắc đến khả năng bị tấn công bởi hacker. Để kiểm tra, tại của sổ “Settings”, chọn System > Remote Desktop.
Cách xác nhận PC đã bị truy cập từ xa
Nếu phát hiện một số nghi vấn như ở trên, bạn cần ngay lập tức thực hiện một số thao tác nhằm giúp xác nhận lại tình hình PC của mình bằng cách theo dấu hoạt động của các ứng dụng hoặc thành phần có tham gia vào cuộc tấn công.
Kiểm tra Event Viewer logs
Windows Event Viewer là một công cụ sẵn có trên PC nhằm giúp người dùng kiểm tra hoạt động của mình và xác định các mối nguy truy cập từ xa bằng cách theo dõi RDP và lịch sử đăng nhập.
Đầu tiên hãy nhập cụm từ “event viewer” tại Windows Search, sau đó mở công cụ Event Viewer.
Tại khung bên trái chọn mục Windows Logs > Security, sau đó tại khung giữa chọn Event ID. Hãy tìm tất cả mục có ID là 4624 và kiểm tra chúng. Hãy chắc chắn rằng không có mục nào có “Logon Type 10”. Event ID 4624 và Logon Type 10 là dấu hiệu cho việc có ai đó đã truy cập từ xa.
Bạn cũng có thể tìm Event ID 4778 thể hiện một phiên đang tái kết nối từ xa. Mỗi Event sẽ có một trang chi tiết giúp bạn xác định các thông tin quan trọng như tên tài khoản đăng nhập hoặc địa chỉ IP.
Kiểm tra Task Scheduler
Những vụ thâm nhập và điều khiển từ xa phần nhiều sử dụng Task Scheduler như một công cụ giúp tránh trường hợp bạn khởi động lại máy hoặc thực hiện nhiều thủ thuật mà không cần kết nối liên tục. Nếu PC của bạn đang là nạn nhân của một vụ điều khiển từ xa thì nhờ Task Scheduler bạn sẽ biết được hoạt động của các ứng dụng lạ.
Đầu tiên hãy nhập cụm từ “task scheduler” vào Windows Search và mở ứng dụng “Task Scheduler”. Tại ô bên trái, Chọn Task Scheduler (Local) > Task Scheduler Library. Tại đây hãy tìm những tập tin lạ không liên quan đến Microsoft. Nếu tìm thấy, nhấn chuột phải vào tập tin đó và chọn “Properties”.
Tại cửa sổ “Properties”, kiểm tra hai mục “Triggers” và “Actions” để xem những tập tin này hoạt động ra sao. Ví dụ nếu tập tin này cho phép một ứng dụng lạ hoạt động hoặc cho phép tự đăng nhập thì đây có thể là tập tin xấu.
Nếu không thấy tập tin nào đáng ngờ, bạn có thể kiểm tra vào thư mục Microsoft, một số malware phức tạp có khả năng trốn vào thư mục này.
Làm cách nào để ngừng việc xâm nhập lại
Ngay khi xác định được có người xâm nhập vào PC của mình, việc đầu tiên cần làm là ngắt kết nối mạng internet ngay lập tức. Việc cần ưu tiên là kiểm soát thiệt hại thay vì cố gắng loại bỏ sự xâm nhập. Nhanh chóng dùng một thiết bị khác để đổi mật khẩu các tài khoản email, mạng xã hội,…Ngoài ra bạn cũng nên nhanh chóng backup các dữ liệu quan trọng.
Thực hiện theo các phương pháp dưới đây để loại bỏ malware
Sử dụng Microsoft Defender
Nếu hệ thống an ninh không thể phát hiện ra cuộc tấn công thì đây có thể là một malware cấp cao. Trong trường hợp này thì Microsoft Defender có thể giúp bạn.
Để bắt đầu quét, nhập cụm từ “windows security” vào Windows Search để mở ứng dụng “Windows Security”.
Chọn mục Virus & threat protection > Scan options, sau đó chọn “Microsoft Defender Antivirus (offline scan)” và nhấn “Scan now”.
PC của bạn sẽ tự khởi động lại và bắt đầu quá trình quét Malware. Nếu có bất cứ malware nào được tìm thấy thì thông tin của chúng sẽ nằm trong mục “Protection history” của ứng dụng Windows Security.
Loại bỏ các ứng dụng lạ
Dù cho việc quét malware có kết quả hay không, bạn vẫn nên tự mình kiểm tra các ứng dụng để chắc rằng trong máy của bạn không tồn tại các ứng dụng đóng vai trò làm gateway cho hacker. Mở ứng dụng “Windows Settings”, chọn Apps > Installed apps sau đó kiểm tra xem có bất kỳ ứng dụng nào không phải của Windows hoặc không phải do bạn cài đặt hay không.
Hơn thế nữa, hãy tạm thời loại bỏ các ứng dụng điều khiển từ xa như TeamViewer, AnyDesk, VNC, Chrome Remote Desktop,…
Còn một khả năng khác đó là các tiện ích mở rộng của trình duyệt (extension) là nguyên nhân chính. Hãy kiểm tra và xóa các extension khả nghi.
Chặn các cổng truy cập trong firewall
Nếu bạn không có nhu cầu điều khiển PC từ xa thì bạn có thể tiến hành chặn các cổng truy cập từ xa bằng Firewall.
Gõ cụm từ “windows defender firewall” vào Windows Search và mở ứng dụng Windows Defender Firewall with Advanced Security.
Chọn Inbound Rules > New Rule, sau đó chọn Port > Next. Chọn TCP và nhập một trong số các số cổng sau đây:
3389 (Windows Remote Desktop)
5900 (Virtual Network Computing)
5938 (TeamViewer)
6568 (AnyDesk)
8200 (GoToMyPC)
Chọn “Block the connection” và đặt một cái tên dễ nhớ để dễ dàng chỉnh sửa sau này. Lập lại các bước trên để khóa từng cổng một.
Cài lại Windows nếu cần
Nếu các phương pháp trên vẫn không thể cải thiện tình hình thì bạn nên cân nhắc cài đặt lại Windows. Rất hiếm có malware nào có thể tồn tại qua quá trình quét offline và cài đặt mới Windows. Tuy nhiên hãy nhớ backup lại dữ liệu quan trọng vì quá trình cài đặt mới sẽ xóa tất cả dữ liệu trên PC của bạn.
Theo maketecheasier
