Tecnologie spiegate in parole semplici

Scopri se qualcuno ha accesso remoto al tuo PC Windows

uomo sospetto che accede a una pagina di accesso con un laptop sul tavolo

Uno dei tipi di malware più pericolosi è progettato per ottenere accesso remoto al PC di una vittima, come i Trojan di Accesso Remoto (RAT) e i rootkit a livello di kernel. Operano silenziosamente, rendendo difficile la rilevazione. Se sei preoccupato che qualcuno abbia accesso remoto non autorizzato al tuo PC Windows, scopri come confermare e rimuovere la minaccia.

Segnali di avvertimento che qualcuno ha accesso al tuo PC

Sebbene la maggior parte dei tentativi di accesso remoto siano silenziosi, presentano alcuni segnali di avvertimento. Anche se questi segnali potrebbero essere visti come problemi comuni di Windows, combinati, possono essere una prova solida di attività di accesso remoto.

  • Attività insolita del mouse/tastiera: se il cursore si muove in modo erratico o il testo viene digitato senza il tuo input, potrebbe essere il lavoro di uno strumento remoto. Anche quando non controllano attivamente, questi strumenti possono causare problemi come il cursore che salta/teletrasporta. Questo segnale può anche fungere da conferma se il mouse e la tastiera iniziano a eseguire compiti come accedere alla barra degli indirizzi del browser e inserire un indirizzo web.
  • Programmi che si aprono e chiudono da soli: un hacker potrebbe anche inviare comandi per aprire app specifiche (come antivirus o il Prompt dei comandi) per controllare ulteriormente il sistema o disabilitare le funzioni di sicurezza. Se noti programmi che si aprono e chiudono da soli, è un campanello d’allarme.
  • Creazione di nuovi account utente sconosciuti: alcuni attori malintenzionati potrebbero cercare di creare account secondari per avere accesso persistente anche dopo la rilevazione. Probabilmente disabiliteranno il passaggio utente per nascondere gli account dalla schermata di blocco. Vai su Impostazioni di Windows -> Account e cerca account secondari nelle sezioni Famiglia e Altri utenti.

Opzioni account nelle Impostazioni di Windows 11

  • Improvvisa lentezza delle prestazioni: l’attività di controllo remoto consuma anche molte risorse, quindi potresti notare un’improvvisa diminuzione delle prestazioni. Questo è particolarmente da considerare se le diminuzioni delle prestazioni si verificano occasionalmente a causa dell’attività di controllo remoto.
  • Il desktop remoto di Windows è abilitato da solo: il desktop remoto di Windows è piuttosto vulnerabile, quindi gli hacker spesso lo usano per creare una connessione remota. È disabilitato per impostazione predefinita, quindi se è attivato senza il tuo intervento, potrebbe essere opera di un hacker. Nelle Impostazioni di Windows, vai su Sistema -> Desktop remoto e verifica se è stato abilitato.

Desktop remoto disabilitato nelle Impostazioni di Windows

Come confermare che il tuo PC viene accesso da remoto

Se noti i segnali sopra, prendi le misure necessarie per confermare il sospetto. Puoi monitorare l’attività dei componenti/app coinvolti nel processo di accesso remoto per confermare che qualcuno stia accedendo al tuo PC Windows. Di seguito sono riportati alcuni dei metodi più affidabili:

Controlla i registri di Windows Event Viewer

Windows Event Viewer è un ottimo strumento integrato per monitorare l’attività degli utenti e aiutare a rilevare tentativi di accesso remoto monitorando l’attività RDP e i registri di accesso.

Cerca “visualizzatore eventi” nella Ricerca di Windows e apri il Visualizzatore eventi.

Vai su Registri di Windows -> Sicurezza e fai clic sulla scheda ID evento per ordinare gli eventi per ID. Cerca tutti gli eventi con ID 4624 e controlla i loro dettagli per assicurarti che non ci siano eventi con Tipo di accesso 10. L’ID evento 4624 è per i tentativi di accesso, e il Tipo di accesso 10 corrisponde agli accessi remoti utilizzando i servizi di accesso remoto, che gli hacker potrebbero utilizzare.

Visualizzatore eventi di Windows che mostra l'ID evento

Puoi anche cercare l’ID evento 4778, poiché mostra la riconnessione della sessione remota. La pagina dei dettagli di ciascun evento ti fornirà importanti dettagli identificativi, come il nome dell’account o l’indirizzo IP di rete.

Monitora il traffico di rete

L’accesso remoto dipende dalla connessione di rete, quindi monitorare il traffico di rete è un modo affidabile per rilevarlo. Ti consigliamo di utilizzare la versione gratuita di GlassWire per questo, poiché aiuta sia a monitorare che a difendersi automaticamente da connessioni dannose.

Nell’app GlassWire, vedrai tutte le connessioni delle app nella sezione GlassWire Protect. L’app valuterà automaticamente le connessioni e segnalerà quelle non affidabili. Nella maggior parte dei casi, dovrebbe essere in grado di rilevare connessioni remote dannose e avvisarti.

Sezione di valutazione di Glasswire nell'interfaccia principale

Oltre agli algoritmi dell’app, puoi anche cercare indizi come un alto utilizzo di dati di un’app sconosciuta. La connessione remota utilizza dati continui, quindi dovrebbe essere facile da rilevare.

Controlla i compiti pianificati

Molti tentativi di accesso remoto vengono gestiti utilizzando lo strumento Task Scheduler in Windows. Questo li aiuta a persistere attraverso i riavvii del PC ed eseguire compiti senza dover essere eseguiti continuamente. Se il tuo PC è infetto, dovresti vedere compiti da app sconosciute nel Task Scheduler.

Cerca “task scheduler” nella Ricerca di Windows e apri l’app Task Scheduler. Nel pannello a sinistra, apri Task Scheduler (Locale) -> Libreria Task Scheduler. Cerca eventuali cartelle sconosciute o sospette oltre a Microsoft. Se ne trovi, fai clic destro sul compito e seleziona Proprietà.

Menu Proprietà del compito nel Task Scheduler di Windows

Nelle Proprietà, controlla le schede Attivatori e Azioni per scoprire cosa fa il compito e quando viene eseguito, il che dovrebbe essere sufficiente per capire se è dannoso. Ad esempio, se il compito esegue un’app o uno script sconosciuto all’accesso o quando il sistema è inattivo, potrebbe essere per scopi dannosi.

Schede Attivatori e Azioni delle Proprietà del compito

Se non trovi compiti sospetti, potresti voler dare un’occhiata alla cartella Microsoft. C’è la possibilità che malware sofisticati si nascondano nelle cartelle di sistema. Cerca compiti che sembrano sospetti, come avere nomi generici come “systemMonitor” o nomi scritti male. Fortunatamente, non dovrai ricercare ogni compito, poiché la maggior parte avrà l’autore come Microsoft Corporation, che sono sicuri da ignorare.

Come fermare l’accesso remoto e proteggere il tuo PC

Una volta confermato che qualcuno ha accesso remoto al tuo PC Windows, il tuo primo passo dovrebbe essere disconnettersi da Internet in modo che non possano causare ulteriori danni. La tua priorità dovrebbe essere il controllo dei danni piuttosto che sbarazzarti della minaccia. Pertanto, utilizza un altro dispositivo per reimpostare le password degli account importanti, come email, conti finanziari, account sui social media, ecc. Assicurati anche di eseguire il backup dei dati importanti.

Segui i metodi seguenti per sbarazzarti del malware di accesso remoto:

Esegui la scansione offline di Microsoft Defender

Se il tuo sistema di sicurezza non riesce a rilevare o proteggere contro questo attacco di accesso remoto, potrebbe trattarsi di malware avanzato, come rootkit o bootkit. La scansione offline di Microsoft Defender potrebbe aiutarti. Scansionerà il tuo PC durante l’avvio in un ambiente sicuro e minimale per trovare malware quando è inattivo.

Per eseguire la scansione, cerca “sicurezza di Windows” nella Ricerca di Windows e apri l’app Sicurezza di Windows.

Vai su Protezione da virus e minacce -> Opzioni di scansione, seleziona Microsoft Defender Antivirus (scansione offline) e fai clic su Scansiona ora.

Esecuzione della scansione offline di Windows Defender

Questo riavvierà il tuo PC ed eseguirà una scansione completa del sistema. Se vengono trovate minacce, saranno nella sezione Cronologia di protezione dell’app Sicurezza di Windows.

Sbarazzati dei programmi sospetti

Che la scansione rilevi qualcosa o meno, dovresti fare un audit manuale dei programmi per assicurarti di non avere un programma sconosciuto che funge da gateway. Nelle Impostazioni di Windows, vai su App -> App installate e cerca eventuali app che non fanno parte di Windows e che non ricordi di aver installato. Inoltre, sbarazzati delle app di accesso remoto che potrebbero essere compromesse, come TeamViewer, AnyDesk, VNC, Chrome Remote Desktop, ecc.

C’è la possibilità che un’estensione del browser dannosa sia la causa. Assicurati di controllare tutte le estensioni e disinstallare quelle sospette.

Blocca le porte di accesso remoto in entrata nel firewall

Se non accedi al tuo PC da remoto o non ricevi assistenza da nessuno, puoi bloccare le porte comuni in entrata per connessioni remote nel firewall. Questo blocca le connessioni remote in entrata ma ti consente di controllare altri dispositivi se necessario.

Cerca “firewall di Windows defender” nella Ricerca di Windows e apri l’app Windows Defender Firewall con Sicurezza Avanzata.

Seleziona Regole in entrata -> Nuova regola, quindi Porta -> Avanti. Seleziona TCP e fornisci uno dei numeri di porta elencati di seguito.

  • 3389 (Desktop remoto di Windows)
  • 5900 (Virtual Network Computing)
  • 5938 (TeamViewer)
  • 6568 (AnyDesk)
  • 8200 (GoToMyPC)

Crea regola in entrata nel firewall di Windows

Seleziona Blocca la connessione e completa la configurazione per creare le regole. Assicurati di dare un nome chiaro alla regola in modo da poterla identificare in seguito. Ripeti questo processo per ciascuna porta da bloccare.

Esegui un’installazione pulita di Windows se necessario

Se nulla funziona, o non vuoi correre rischi, eseguire un’installazione pulita di Windows è un’altra opzione. È estremamente raro che il malware sopravviva sia a una scansione antivirus offline che a un’installazione pulita del sistema operativo. Tuttavia, dovrai eseguire il backup dei tuoi dati importanti, poiché un’installazione pulita eliminerà tutti i dati sul tuo PC.

Controlla la nostra guida su come eseguire un’installazione pulita di Windows per conoscere tutti i passaggi per installare in sicurezza un Windows pulito.

Non correre mai rischi se hai sospetti sull’accesso al PC, sia esso accesso remoto o locale. Tale controllo porta sempre a problemi di sicurezza più grandi. Naturalmente, è meglio prevenire che curare, quindi assicurati di utilizzare queste impostazioni di sicurezza di Windows e le opzioni avanzate di Windows Defender.

Crediti immagine: Vecteezy. Tutti gli screenshot di Karrar Haider.

Contenuto

  1. Segnali di avvertimento che qualcuno ha accesso al tuo PC
  2. Come confermare che il tuo PC viene accesso da remoto
  3. Controlla i registri di Windows Event Viewer
  4. Monitora il traffico di rete
  5. Controlla i compiti pianificati
  6. Come fermare l'accesso remoto e proteggere il tuo PC
  7. Esegui la scansione offline di Microsoft Defender
  8. Sbarazzati dei programmi sospetti
  9. Blocca le porte di accesso remoto in entrata nel firewall
  10. Esegui un'installazione pulita di Windows se necessario
Ello-dashboardprofile

Ello: Esplorando il Social Network Privato

Bitdefender Non Installato: 3 Soluzioni Facili Che Puoi Usare

Ulteriori informazioni sulle correzioni di Bitdefender

Google elimina Inbox e gli dà sei mesi di vita

rapporti-aspetto-16x9

Comprendere i Rapporti di Aspetto dei Video

Gestore di File con Tag per Organizzare i Tuoi File: Top 5

Correggi wake on LAN non funzionante

Wake On LAN Non Funziona su Windows [Risolto]

easycap-mac-mspacman-console

Utilizzare EasyCAP per acquisire VHS e console su Mac

Google testa una nuova funzionalità di Chrome per l'idoneità all'aggiornamento a Windows 11