Bezpieczeństwo - 10 najczęściej zadawanych pytań

Skąd wziął się wirus straszący policją? Jak zabezpieczyć swoją sieć WLAN? Co to ciche SMS-y i skąd się biorą? Czy mój smartfon wymaga ochrony antywirusowej? W poniższym materiale znajdziesz odpowiedzi.


1. Jak pozbyć się wirusa straszącego policją

Pytanie - Odwiedzając jedną z witryn internetowych, zaraziłem swój system wirusem. Od tej pory wyświetla nieustannie komunikat, który rzekomo pochodzi z Departamentu Cyberprzestępczości Komendy Głównej Policji. Nawołuje użytkownika do zapłacenia kary w wysokości kilkuset złotych (przeważnie 500 zł), aby odzyskać dostęp do systemu i plików. Nie uda ci się obejść blokady, naciskając klawisze [Ctrl Alt Del], ani restartując Windows. Jak pozbyć się wirusa?

Odpowiedź - Możesz usunąć szkodnika na kilka sposobów. Odradzamy spełniania żądań przestępców, bo wcale nie gwarantuje to sukcesu. Znane są przypadki, w których oszuści mimo otrzymania pieniędzy nie odblokowywali komputerów swoich ofiar. Poniżej opisujemy po jednej metodzie dla początkujących, średnio zaawansowanych i doświadczonych użytkowników. Im wyższy poziom trudności, tym gruntowniejsze poszukiwania intruza i wyższa szansa powodzenia.

Jeśli nie czujesz się na siłach, aby własnoręcznie usunąć wirusa, skorzystaj z automatu narzędzi. Do wykonania poniższych czynności jest konieczny niezarażony komputer - ew. musisz więc skorzystać z uprzejmości przyjaciół. Pod adresem www.avg.com/pl-pl/avg-rescue-cd znajdziesz zestawy narzędzi do utworzenia startowego pendrive’a lub płyty CD. Podobne oprogramowanie oferuje m.in. Kaspersky (http://support.kaspersky.com/viruses/rescuedisk), Bitdefender (www.bitdefender.com/support/How-to-create-a-Bitdefender-Rescue-CD-627.html), F-Prot (www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/142) i Comodo (www.comodo.com/business-security/network-protection/rescue-disk.php), Avira (www.avira.com/en/download/product/avira-antivir-rescue-system/product/avira-antivir-rescue-system/product/avira-antivir-rescue-system) i Microsoft (http://windows.microsoft.com/en-US/windows/what-is-windows-defender-offline?SignedIn=1&SignedIn=1).

Niektórzy producenci zapewniają możliwość ratowania systemu z poziomu startowego pendrive’a. Jednak w wypadku wszystkich tych narzędzi jest podobny schemat postępowania. Należy nagrać pobrany plik ISO na pusty nośnik CD (np. programem CDBurnerXP - polecenie Nagraj obraz ISO), po czym uruchomić z niej system i włączyć skanowanie systemu. Przedtem trzeba sprawdzić i ew. skorygować kolejność napędów w BIOS-ie. Przywołaj go klawiszem [F1], [F2] lub [Del], poszukaj menu o nazwie Boot, Boot Sequence lub podobnej i umieść napęd CD/DVD na pierwszym miejscu. Teraz możesz zrestartować system. Natomiast do utworzenia startowego pendrive’a trzeba użyć dodatkowego narzędzia, np. Kaspersky USB Rescue Disk Maker. Szczegółowe instrukcje znajdziesz w internetowej witrynie producenta. Również w tym wypadku należy pamiętać o właściwej kolejności sprawdzania napędów rozruchowych.

Bardziej wprawni użytkownicy mogą pokusić się o ręczne usunięcie wirusa. Najpierw zainicjuj restart systemu. Tuż po rozpoczęciu ponownego rozruchu naciśnij klawisz [F8]. Następnie wybierz polecenie Tryb awaryjny z wierszem polecenia. Teraz możesz przywołać Edytor rejestru poleceniem regedit.exe, przejść do klucza "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon". Kliknij dwukrotnie wartość ciągu "Shell" w prawej części okna. Zapisz lub zapamiętaj nazwę pliku wykonywalnego, który widnieje na końcu ścieżki w polu Dane wartości, po czym zaznacz cały wpis i zamień go na explorer.exe. Teraz przywołaj menu Edycja | Znajdź (lub naciśnij klawisze [Ctrl F]) i zainicjuj poszukiwanie zanotowanej uprzednio nazwy pliku. Upewnij się, że pole wyboru Uwzględnij tylko całe ciągi nie jest zaznaczone. Natomiast pola wyboru Klucze, Wartości i Dane powinny być zaznaczone. Usuń wszystkie wartości, które zawierają wspomnianą nazwę pliku (wystarczy kliknąć wartość prawym przyciskiem myszy i wskazać polecenie Usuń). Ponawiaj poszukiwanie klawiszem [F3]. Gdy oczyścisz cały rejestr z powiązań ze szkodnikiem, zamknij Edytor rejestru i zrestartuj system poleceniem shutdown /r /t 0. Teraz system powinien działać bez zarzutu. W przeciwnym razie możesz wykonać czynności opisane poniżej.

Ostatnią metodę dedykujemy doświadczonym użytkownikom. Wymaga dobrej znajomości systemu, bo polega na samodzielnym wytropieniu szkodliwych elementów. Najlepiej zrobić to za pomocą programu Autoruns. Po pobraniu go rozpakuj archiwum na pendrive i uruchom system, jak opisaliśmy powyżej (a więc w trybie awaryjnym z wierszem polecenia). Gdy na ekranie pojawi się okno konsoli tekstowej, wpisz literę kieszonkowego dysku USB, a za nią dwukropek. Aby ustalić, która litera jest przypisana kluczowi USB, wystarczy wpisać polecenie wmic logicaldisk get caption,description,volumename. Litera pendrive’a figuruje na początku wiersza, w którym jest wpis USB Disk. Następnie wpisz autoruns.exe, aby przywołać skopiowany uprzednio program.

Teraz kolej na najtrudniejszą czynność. Trzeba odnaleźć plik odpowiedzialny za paraliżowanie systemu i komunikat wyłudzający pieniądze. Rozpoznasz go po podejrzanym wpisie na jednej z kart (dziwna nazwa, brak nazwy w kolumnie Publisher lub podobne). Najpierw ułatw sobie zadanie - wskaż menu Options | Filter Options i zaznacz pole wyboru Hide Microsoft Entries. Wówczas narzędzie ukryje wpisy systemu Windows. Szkodnik powinien ukrywać się na karcie Logon, jednak warto przejrzeć także inne karty. Wprawdzie możesz usuwać podejrzane wpisy poleceniem menu Entry | Delete lub skrótem klawiszowym [Ctrl D], lecz odradza się tej czynności, jeśli nie jesteś pewien, że trafiłeś na wirusa. Zamiast tego lepiej wyłączyć (tymczasowo) automatyczne uruchamianie się danego pliku, usuwając zaznaczenie pola wyboru po lewej stronie jego ikony. Jeżeli wpis okaże się niegroźny, a pożyteczny, łatwo go przywrócisz, ponownie zaznaczając pole wyboru. W poprawnie działającym systemie możesz sprawdzać poszczególne wpisy w internecie. Wystarczy zaznaczyć dany wpis, po czym nacisnąć klawisze [Ctrl M]. Po zaznaczeniu podejrzanych wpisów zrestartuj Windows. Teraz powinien działać bez zarzutu.

Podszywając się pod organy ścigania, wirus znany jako UKASH lub Weelsof próbuje wyłudzić pieniądze od potencjalnych ofiar.

Podszywając się pod organy ścigania, wirus znany jako UKASH lub Weelsof próbuje wyłudzić pieniądze od potencjalnych ofiar.

2. Skąd wziął się wirus UKASH

Pytanie - W ciągu ostatnich kilku miesięcy kilku moich znajomych padło ofiarą kryminalistów podszywających się pod policję. Skąd taka fala nowego wirusa?

Odpowiedź - Przedstawiony powyżej wirus znany jako UKASH i Weelsof występuje w bardzo wielu odmianach. W Europie Zachodniej pojawiły się warianty, które nie zadowalają się zablokowaniem systemu. Na dodatek szyfrują większość plików użytkownika, m.in. fotografie i dokumenty. Najgorszy z nich zapisuje klucz szyfrujący w internecie. Zgodnie z obecnym stanem wiedzy użytkownik nie jest w stanie samodzielnie odszyfrować swoich zasobów. Może uznać je za stracone, chyba że utworzył rezerwowy duplikat, np. jako kopie w tle (wewnętrznym narzędziem Windows) lub na zewnętrznym nośniku danych.

Producent oprogramowania antywirusowego F-Secure zbadał w wypadku kilku odmian trojana, czy po zapłaconego żądanego okupu kryminaliści przysyłają kod odblokowujący system. Przeważnie nie było żadnego odzewu. Tylko kilka razy przestępcy przysłali kod w wiadomości e-mail. Mimo to odradza się spełniać żądania szantażystów.

Najwyraźniej sztuczka polegająca na blokowaniu systemu ofiary i żądania okupu okazuje się wyjątkowo lukratywna dla internetowych opryszków. Zasadniczo nie muszą się bardzo natrudzić, aby wygenerować przedstawionego trojana. Cyberprzestępcy stworzyli specjalne oprogramowanie do składania wirusów tego typu z prefabrykowanych modułów. Dysponując nim, nawet laik nie potrafiący programować, może stworzyć swojego własnego trojana. Takie zestawy modułowe noszą nazwy np. Silence of Winlocker czy MBRLocker są oferowane do nabycia w forach internetowego podziemia w cenie od 250 USD. Ponadto jest dostępnych kilka bezpłatnych generatorów.

Trojany wyłudzające rozprzestrzeniają się w tradycyjny sposób - pocztą elektroniczną lub jako ukryte pobrania w witrynach internetowych. Rozsyłając wirusa korespondencją kryminaliści stosują utarte metody. W treści wiadomości widnieje informacja, że w załączonym archiwum ZIP znajduje się rachunek lub pokwitowanie dostawy zamówionego towaru. Niekiedy twierdzą, że ofiara nie uregulowała rachunku, więc przekazano zainkasowanie należności firmie windykacyjnej. Szczegóły zamieszczono rzekomo w załączniku. W rzeczywistości zawiera wirusa.

3. W jakich miejscach laptopy są najbardziej zagrożone kradzieżą

Pytanie - Mój laptop jest stałym towarzyszem w podróży. Mam go ze sobą na lotniskach, w hotelach i na konferencjach. Gdzie należy najbardziej spodziewać się złodziei?

Odpowiedź - Według ankiety instytutu IDC przeprowadzonej wśród 200 ofiar rabunku najwięcej, bo aż 32 procent, kradzieży sprzętu tego rodzaju zdarza się na lotniskach i przystankach autobusowych.

Bankowość internetowa – przestrzegając kilku podstawowych zasad, możesz znacznie poprawić bezpieczeństwo transakcji.

Bankowość internetowa – przestrzegając kilku podstawowych zasad, możesz znacznie poprawić bezpieczeństwo transakcji.