Čistiť počítač až po incidente? V nasledujúcom článku sa dozviete niekoľko tipov a trikov, vďaka ktorým by mal váš počítač po útoku malvérom fungovať ako hodinky.
Počítačoví používatelia si dobre uvedomujú, že na bezproblémové fungovanie týchto zariadení je potrebná pravidelná údržba. Zvyčajne zahŕňa odstránenie nepoužívaných aplikácií, vymazanie dočasných súborov a vyrovnávacej pamäte prehliadača, defragmentáciu pevného disku v prípade HDD a podobne.
Ako sa však údržba počítača mení po napadnutí vírusom alebo malvérom? Sofistikovaný malvér môže spôsobiť neporiadok v registri systému, jeho úložisku alebo dokonca pamäti, preto je po bezpečnostnom incidente dobré vykonať kontrolu, čím predídete prípadným budúcim problémom.
Čo môže malvér ovplyvniť?
V prvom rade je dôležité povedať, že prevencia je pravdepodobne najlepším spôsobom, ako sa vôbec malvéru vyhnúť. Na vašom koncovom zariadení by nemalo chýbať výkonné bezpečnostné riešenie. Niektoré sofistikované hrozby sa však vedia vyhnúť detekcii, čo sťažuje správne fungovanie antivírusového softvéru.
Komplexná ochrana vášho digitálneho života
Komplexná ochrana vášho digitálneho života. Vyberte si úroveň podľa svojich potrieb.
V jednom z našich článkov sme sa venovali tomu, ako sa môže bezsúborový malvér vyhnúť detekcii tým, že je prítomný výlučne v pamäti počítača. Niektoré útoky malvérom zároveň využívajú techniky „living-off-the-land“ (LOL), čo znamená, že na svoje škodlivé aktivity zneužívajú legitímne systémové procesy či programy. Prekonfigurujú ich, pričom určité typy malvéru dokonca menia aj databázu Registry systému Windows, aby sa čo najdlhšie udržali v systéme.
Dôsledky? Aj po úspešnej detekcii a odstránení môže použitie techník LOL zanechať niekoľko problémov, napríklad nestabilitu systému v dôsledku zmien vykonaných v registri alebo upravených konfigurácií. Okrem toho sa môžu vyskytnúť prípady poškodenia alebo straty údajov a možno aj zvyškového malvéru, keďže niekedy si útočníci radi nechávajú zadné vrátka pre budúce útoky.
Hĺbkové čistenie
„Možno sa pýtate – nemal by sa môj bezpečnostný softvér vedieť postarať o všetky stopy malvéru? Odpoveď znie áno – v ideálnom svete. Nanešťastie, ideálny svet nepozná malvér, takže v realite bezpečnostný program nedokáže zaručiť úplnú stabilitu systému po výskyte škodlivého správania,“ komentuje Bruce P. Burrell, výskumný pracovník spoločnosti ESET.
Vedeli ste, že…? Pohľad do minulosti vírusov
Kedysi niektoré vírusy prepisovali pôvodný kód. To znamená, že vírus odstránil minimálne časť pôvodného obsahu, pričom nezachovával prepísaný kód. Jediným spôsobom návratu do pôvodného stavu bolo obnoviť zálohy originálov. Existoval tiež tzv. data diddling, teda neoprávnená zmena dát v systéme, pri ktorom dochádzalo k úprave častí hostiteľa – viac-menej náhodne. Menená nebola časť samotného kódu malvéru, len tie časti, ktoré neboli potrebné na jeho fungovanie.
Na rozdiel od funkcie automatického zálohovania (na ochranu a obnovu súborov v prípade útoku ransomvérom), ktorú ponúka ESET Ransomware Remediation, je tu potrebné manuálne obnovenie, pretože bezpečnostné produkty len ťažko dokážu opraviť poškodené systémové súbory či ovládače.
Na to existuje niekoľko spôsobov. My sa zameriame na systém Windows, pretože ide o najčastejšie používaný operačný systém pre osobné počítače:
- Obnovenie systému – vytvorením bodu obnovenia systému (v podstate zálohy) môžete systém vrátiť do stavu pred napadnutím malvérom. Bod obnovenia by však mal existovať pred infikovaním a zostať počas neho neporušený.
- Obnovenie – táto možnosť preinštaluje systém Windows a zároveň ponechá vaše osobné súbory neporušené. Odstráni aplikácie a nastavenia, ale zachová všetko ostatné. Technicky by sa mali zachovať aj škodlivé súbory, ak nie sú detegované ešte pred obnovením, takže si na to dajte pozor.
- Oprava pri spustení systému – tento nástroj je veľmi užitočný, keď chcete opraviť konkrétny problém so systémom. Skontroluje počítač na prítomnosť problémov, pričom sa ich pokúsi odstrániť pri jeho ďalšom spustení. Podľa spoločnosti Microsoft je tento nástroj užitočný najmä vtedy, ak v počítači chýbajú alebo sú poškodené systémové súbory či poškodené konfiguračné údaje pri spúšťaní systému.
- Reset – obnoví pôvodný stav systému Windows. Upozorňujeme, že dôjde k odstráneniu všetkých súborov z počítača, takže pokiaľ tie dôležité nepresuniete na externý disk, toto by mal byť posledný možný scenár.
Pre pokročilejších používateľov existuje možnosť použiť terminál Windows a v režime správcu zadať nasledujúce príkazy:
- Spustenie programu na kontrolu systémových súborov – zadaním príkazu sfc /scannow do terminálu a stlačením klávesu Enter by sa mala vykonať kontrola systému a opraviť všetky poškodené alebo chýbajúce položky registra.
- Spustenie CHKDSK – zadaním príkazu chkdsk c: (nahraďte „c:“ názvom požadovaného disku) a stlačením klávesu Enter by mal systém skontrolovať chyby v systéme súborov, ale neopraví ich automaticky.
- Na tento účel musíte spustiť príkaz chkdsk (písmeno disku bez zátvoriek): /f, ktorý opraví chyby disku. Je tiež možné použiť príkaz chkdsk (písmeno disku bez zátvoriek): /r, ktorý okrem vyššie spomenutého opraví aj chybné sektory na disku. Upozorňujeme vás: pred spustením príkazu s príznakom /r vykonajte úplnú zálohu. Keďže /r kontroluje chybné sektory na disku, všetky súbory, ktoré sa v nich nachádzajú, môžu počas procesu zmiznúť.
Spustenie SFC aj CHKDSK môže trvať určitý čas, najmä CHKDSK s príznakmi /f a /r. Nemali by však narúšať bežné používanie počítača, hoci je rozumnejšie spustiť ich samotné, aby ste sa vyhli problémom.
Alternatívne použite nástroj DISM (Deployment Image Servicing and Management). V porovnaní so SFC a CHKDSK je o niečo výkonnejší a je vhodné ho použiť pri častých chybách alebo zlyhaniach systému. Pomáha pri čistení systémových súborov, obrazov systému (snímka celého systému v určitom časovom okamihu) alebo pri nastavovaní. Pred jeho použitím vykonajte úplnú zálohu, pretože DISM môže v systéme vykonávať veľké zmeny.
Mali by ste dôkladne preskúmať, ktorá z možností (DISM, CHKDSK, SFC) je pre vás najvhodnejšia v závislosti od problému, s ktorým sa stretávate.
Poškodenie nemá šancu
Existujú tri hlavné spôsoby použitia DISM, ktoré môžu byť nápomocné pri oprave. Začnime od najjednoduchšieho po najzložitejšie:
- CheckHealth – zisťuje, či je obraz systému poškodený bez toho, aby ho opravoval. V tomto prípade zadajte do terminálu príkaz DISM /Online /Cleanup-Image /CheckHealth.
- ScanHealth – o úroveň vyššie ako CheckHealth; pokúša sa určiť všetky problémy prítomné v obraze systému. V tomto prípade zadajte do terminálu príkaz DISM /Online /Cleanup-Image /ScanHealth.
- RestoreHealth – táto možnosť kontroluje aj opravuje všetky problémy prítomné v obraze systému. V tomto prípade zadajte do terminálu príkaz DISM /Online /Cleanup-Image /RestoreHealth. Tento príkaz sa pripojí k službe Microsoft Windows Update s cieľom nahradiť problematické súbory. Celý proces môže trvať dlhšie, ale výsledok by mal byť garantovaný. Ak by v systéme zostal zvyškový malvér, situácia by bola o dosť komplikovanejšia.
Treba mať online pripojenie. Existuje aj štvrtá možnosť (install.wim), pri ktorej je možné získať požadované dáta z iného zariadenia/úložiska, ale obraz operačného systému musí byť zhodný s tým na vašom počítači.
Pre počítače s Windows 11 spoločnosť Microsoft vytvorila oficiálnu stránku, ktorá ponúka používateľom možnosť stiahnuť si daný systém. V takýchto prípadoch je vždy bezpečnejšie používať oficiálne zdroje. Ak máte licenčný kľúč, môžete postupovať podľa pokynov na stránke a opraviť svoj operačný systém týmto spôsobom.
Ešte niečo?
Ak nepočítame úplnú reinštaláciu operačného systému (čo je pomerne zdĺhavý proces), toto by mali byť najľahšie vykonateľné kroky, ktorými môže každý vyriešiť problémy so stabilitou svojho počítača po infikovaní.
Ak by ste si chceli na túto tému prečítať viac, Aryeh Goretsky napísal ďalšie zaujímavé články o reinštalácii bezpečnostného softvéru, aby vždy fungoval čo najlepšie, ako aj o obnovách a zálohovaní.
Spracoval: tím ESET
Zdroj: Márk Szabó: OK, computer: How to clean out your PC after malware
