Wirus w systemie. Oto 15 oznak jego obecności
-
- 05.12.2022, godz. 17:24
System Windows jest najpopularniejszy na świecie, dlatego też grozi mu najwięcej wirusów, szkodników i innego złośliwego oprogramowania. Jak rozpoznać obecność obcych, szkodliwych elementów?
Niespodziewanie odkrywasz w swojej przeglądarce inną wyszukiwarkę? Albo zainstalowane w systemie aplikacje, o których nie masz pojęcia? To tylko jedne z wielu objawów tego, że coś jest nie tak. Każdy wie, że bez oprogramowania chroniącego przed wirusami ani rusz - dlatego regularnie publikujemy zestawienie zbierające najlepsze antywirusy.I
Im lepsze metody ochrony, tym skuteczniejsze sposoby ich ominięcia przez hakerów, jednak świeże szkodniki - mające mniej niż 24 godziny - mogą prześlizgiwać się niezauważone nawet przez solidne antywirusy. Jest to możliwe dzięki coraz lepszym metodom maskowania, dzięki którym malware skutecznie udaje nieszkodliwy program i trafia do systemu. Jeśli masz wątpliwości co do podejrzanego pliku, który został pobrany z sieci, możesz skorzystać z prowadzonego przez Google serwisu VirusTotal, który korzysta z aż 60 skanerów, aby wykrywać zagrożenia.
Zobacz również:
- Najlepszy antywirus na Androida - przegląd antywirusów na system Android 2023
- Bitdefender ze zniżką aż 88%. Skorzystaj i solidnie zabezpiecz swoje urządzenia
Wielu firm tworzących oprogramowanie przeciwko malware korzysta z heurystyki, czyli badania zachowania danej aplikacji, co podnosi szansę na wykrycie zamaskowanego szkodnika. Inne rozwiązania to testowe uruchamianie podejrzanych plików w sandboksie, monitorowanie systemu i ruchu sieciowego, itp. Mimo wszystko może się zdarzyć, że ich zadanie się nie powiedzie.
Oto 15 oznak tego, że w systemie zagnieździł się niechciany gość:
- Otrzymujesz wiadomość z żądaniem zapłacenia okupu
- Otrzymujesz wiadomość od fałszywego antywirusa
- W przeglądarce pokazują się niechciane przez Ciebie paski
- Wyszukiwanie przekierowuje na inne witryny
- Niespodziewanie wyskakują okienka z reklamami lub wiadomościami
- Twoi znajomi w sieciach społecznościowych dostają od Ciebie zaproszenia - bez Twojej wiedzy
- Twoje hasła online przestały działać
- Odkrywasz zainstalowane aplikacje, których nie znasz
- Kursor myszki zaczyna "żyć własnym życiem"
- Aplikacje ochronne, menadżer zadań i/lub edytor rejestru są wyłączone
- Z konta bankowego znikają pieniądze
- Ktoś przesyła Ci powiadomienie, że maszyna jest przejęta
- Twoje prywatne dane wyciekły
- Twoje dane logowania znajdują się w sieci
- Obserwujesz podejrzany ruch sieciowy
We wszystkich przypadkach zawsze i wszędzie pomoże przywrócenie systemu do stanu sprzed infekcji. Dawniej oznaczało to formatowanie dysku, czyli usunięcie wszelkich danych i programów. Dzisiaj wystarczy skorzystać z funkcji Przywracanie systemu (szerzej piszemy o tym w artykule "Jak chronić się przed scamem, ransomware i innymi zagrożeniami online?"). A inne sposoby? Przyjrzyjmy się wszystkim przypadkom po kolei.
(fotografie w galerii: Daria Nepriakhina/Unsplash, Ed Hardie/Unsplash, Malwarebytes, H Tur/PC World, Malwarebytes, Bruce Mars/Unsplash, Mourizal Zativa/Unsplash, H Tur/PC World, H Tur/PC World, H Tur/PC World, Oliur/Unsplash, Ed Hardie/Unsplash, Sai Kiran Anagani/Unsplash, Markus Spiske/Unsplash, Markus Spiske/Unsplash)
15 oznak tego, że w Twoim systemie jest szkodnik
15 oznak tego, że w Twoim systemie jest szkodnik ()
Otrzymujesz wiadomość z żądaniem zapłacenia okupu
Otrzymujesz wiadomość z żądaniem zapłacenia okupu
Wiadomość z informacją, że pliki na komputerze zostały zaszyfrowane, jest chyba najgorszym, co może człowieka spotkać. Tym bardziej, jeśli nie robiło się regularnych kopii zapasowych danych, a okup wynosi kilkaset Bitcoinów. Ransomware może uderzyć każdego - od 2017 roku ofiarą szkodników padały zarówno firmy prywatne, jak i instytucje rządowe, a okupy i koszty, poświęcone na pozbycie się problemu bez ich płacenia, idą w miliardy dolarów. Jak podają statystyki, w ponad 50% przypadkach ofiara płaci okup. Czy ma to sens? Nie - zaledwie 40% osób, które uiściły wymaganą opłatę, dostało klucz deszyfrujący.
Co robić? Po pierwsze - nie wpadać w panikę. Po drugie - jeśli regularnie wykonujesz kopie zapasowe danych oraz systemu, wszystko, co potrzebne, to po prostu przywrócenie ich do działania. Niestety, wiele firm i osób zapomina o tym obowiązku, narażając się na poważne straty. A to najlepszy i najskuteczniejszy sposób na ich uniknięcie. Tym bardziej, że metody ataku są coraz bardziej wyrafinowane i trudniejsze do obrony przez oprogramowanie ochronne. Jednak uwaga - kopie należy trzymać oddzielnie, inaczej ransomware również i je zaszyfruje. Jeśli polegasz na usługach chmurowych - ostrożnie. Nie wszystkie mają możliwość odzyskiwania danych po ataku, a niektóre z nich nie wykonują kopii wszystkich rodzajów plików. Jeśli nie masz pewności, skontaktuj się z serwisem, z usług którego korzystasz, aby dowiedzieć się więcej.
Istnieje kilka witryn, które mogą pomóc Ci w odzyskaniu plików bez konieczności płacenia okupu. W jaki sposób? W swoich bazach dysponują kluczami deszyfrującymi dla różnego rodzaju ransomware, a w niektórych przypadkach wykorzystują technologię odwrotnej inżynierii, aby go odnaleźć.
Otrzymujesz wiadomość od fałszywego antywirusa
Otrzymujesz wiadomość od fałszywego antywirusa
Niespodziewanie na Twoim komputerze lub urządzeniu mobilnym wyskakuje okienko z informacją, że komputer został zainfekowany. Pochodzi ona rzekomo od programu antywirusowego, który proponuje od razu przeskanowanie systemu w celu - oczywiście - znalezienia i usunięcia zagrożeń. I możesz mieć pewność, że znajdzie ich mnóstwo, a następnie zaproponuje usunięcie, czyli... wprowadzenie do systemu kolejnych zainfekowanych plików. Obecnie ten sposób infekcji występuje rzadziej, niż kilka lat temu, jednak dobrze wiedzieć, jak zachować się w obliczu takiego zagrożenia. A skąd właściwie się wzięło? Może pochodzić zarówno z udanego włamania, jak i mieć inne źródła - fałszywe antywirusy często podczepiają się pod przeglądarki, a dopiero zgoda na skan/usunięcie rzekomych zagrożeń pozwala na instalację właściwego, złośliwego kodu na maszynie.
Co robić? Jeśli masz szczęście, wystarczy zamknąć przeglądarkę i gotowe - po ponownym jej uruchomieniu propozycja skanowania komputera nie zostanie ponownie wyświetlona. Jeśli jednak sytuacja się powtarza, można spróbować przywrócić przeglądarkę od ustawień fabrycznych. Gorszy scenariusz to pokazywanie się okienka fałszywego antywirusa na skutek zhakowania komputera (często dzieje się tak poprzez brak aktualizacji oprogramowania lub inżynierię socjalną). W tym przypadku może pomóc przywrócenie kopii zapasowej za pomocą punktu przywracania systemu.
Warto zauważyć, że fałszywe antywirusy podszywają się często pod firmy naprawdę produkujące oprogramowanie antywirusowe, a nawet sam Microsoft. W niektórych przypadkach zamiast propozycji skanowania oferowana jest instalacja darmowej aplikacji, która ma usunąć szkodniki - jeśli nieświadoma osoba zgodzi się na to, da wirusowi dostęp do całego systemu operacyjnego. Zdarzają się przypadki, że program do usuwania szkodników pochodzi od jakiejś nieznanej firmy. Po znalezieniu zagrożeń może je usunąć, ale należy uiścić opłatę aktywacyjną - podając numer karty kredytowej. Oczywiście bardzo ucieszy to przestępcę, który wykorzysta go do pobrania znacznie większych pieniędzy.
W przeglądarce pokazują się niechciane przez Ciebie paski
W przeglądarce pokazują się niechciane przez Ciebie paski
Tego typu szkodniki pojawiały się od początku XXI wieku, a choć obecnie są rzadkością, to wciąż zdarzają się przypadki takich ataków. Bardzo łatwo je rozpoznać - w przeglądarce pojawiają się dodatkowe paski narzędziowe, nie będące dziełem jej producenta.
Co robić? Większość przeglądarek pozwala na przeglądanie i usuwanie pasków z poziomu własnych opcji. Jeśli nie masz opcji usunięcia intruza, wówczas spróbuj przywrócić przeglądarkę do ustawień fabrycznych. Jeśli i to nie pomoże, pozostaje użycie dobrego programu antywirusowego, jak np. Bitdefender czy Norton, do usunięcia szkodnika lub przywrócenie kopii zapasowej. Prewencją w tym przypadku jest regularne aktualizowanie przeglądarki oraz nie korzystanie z ofert instalacji czegokolwiek, co oferowane jest przez nowy pasek.
Wyszukiwanie przekierowuje na inne witryny
Wyszukiwanie przekierowuje na inne witryny
Jedną z oznak zhakowania jest przekierowywanie przez wyszukiwarkę użytkownika w miejsce, do którego wcale nie chciał trafić. Na przykład wpisujesz do wyszukiwarki "pies", a w wynikach masz strony bukmacherskie lub jesteś na taką przekierowywany. Właściciel witryny, do której prowadzi przekierowanie, płaci hakerowi za każde wejście na nią. Jednak nie znaczy to, że te osoby współpracują ze sobą - właściciel może nie mieć pojęcia, że wejścia na stronę pochodzą ze złośliwego przekierowania.
Co robić? Podobnie jak w przypadku szkodliwych pasków, także i tutaj może pomóc reset przeglądarki do ustawień fabrycznych, przeskanowanie systemu dobrym programem antywirusowym, a także skorzystanie z punktu przywracania systemu.
Bardziej zaawansowani użytkownicy mogą sprawdzić, czy są jakieś złośliwe przekierowania. W tym celu należy otworzyć (np. Notatnikiem) plik pod adresem C:\Windows\System32\drivers\etc\hosts. Jeśli jest tam złośliwe przekierowanie, można je po prostu skasować.
Niespodziewanie wyskakują okienka z reklamami lub wiadomościami
Niespodziewanie wyskakują okienka z reklamami lub wiadomościami
To najbardziej widoczny i irytujący objaw zawirusowania komputera. Jeśli na stronach pojawiają się niespodziewanie wyskakujące okienka - a wcześniej tak nie było - z pewnością coś siedzi w systemie i potrafi ominąć wbudowane w daną przeglądarkę zabezpieczenia przeciwko wyskakującym okienkom (pop-up). Przypomina to spam, ale dostarczany nie przez e-maile, ale przeglądarki. Małe okienka to jeszcze pół biedy, ale mogą wyskakiwać pełnoekranowe oraz takie, których zamknięcie wiąże się z naciśnięciem na uciekający przed kursorem krzyżyk - co może prowadzić do frustracji.
Co robić? Zastosuje te same metody, co w przypadku dwóch poprzednich szkodników.
Twoi znajomi w sieciach społecznościowych dostają od Ciebie zaproszenia - bez Twojej wiedzy
Twoi znajomi w sieciach społecznościowych dostają od Ciebie zaproszenia - bez Twojej wiedzy
Od czasu do czasu zdarza się, że ktoś prześle Ci zaproszenie do grona znajomych albo polubienia strony, która jest dość daleka od Twoich zainteresowań. Oczywiście zaczynasz się zastanawiać, o co chodzi? Czasem zdarza się, że ktoś, kogo już masz na liście znajomych, zaprasza Cię ponownie. Możesz także dostać prywatną wiadomość, w której znajomy prosi Cię o mniejszą lub większą pożyczkę. Każdy z tych objawów może świadczyć o tym, że konto znajomego zostało zhakowane i używane do próby wyłudzenia pieniędzy oraz zwiększania liczby fanów wskazanej witryny. Tak samo działa to w przypadku, gdy konto nie zostało zhakowane, ale ktoś wykradł do niego hasło.
Co robić? Przede wszystkim daj znać znajomemu o dziwnej aktywności z jego profilu. Jeśli z kolei to ludzie dostają dziwne zaproszenia od Ciebie, napisz na swojej tablicy, aby niczego nie akceptowali. Następnie zgłoś do działu wsparcia sieci społecznościowej ten incydent, a następnie zmień hasło do swojego konta. Zalecane jest ustawienia logowania za pomocą uwierzytelniania dwuskładnikowego - dzięki temu znacznie utrudnisz włamywaczom (a praktycznie uniemożliwisz) możliwość logowania się do Twojego konta bez Twojej wiedzy.
Twoje hasła online przestały działać
Twoje hasła online przestały działać
Wpisujesz hasło na stronie, ale nie działa? Sprawdzasz na poglądzie i widzisz, że jest prawidłowe, a dalej nie możesz się zalogować? Nie popadaj od razu w panikę. Zaczekaj 10 minut i spróbuj ponownie - czasem każda strona ma jakieś problemy techniczne. Jeśli jednak po tym czasie hasło nadal nie działa, prawdopodobnie ktoś je wykradł i zmienił na inne. Często ludzie nabierają się na phishing - np. przychodzi do nich e-mail od danej strony, w którym zostało napisane, że na koncie użytkownika odnotowano dziwną aktywność, itp. W celu zabezpieczenia konta wymagana jest zmiana hasła - i tutaj albo mamy link do fałszywej strony, na której należy wpisać (dla potwierdzenia, a naprawdę - dla pokazania go hakerowi) obecne hasło i podać nowe. Oczywiście ta zmiana nic nie da - strona jest stworzona tylko po to, aby przejąć hasło, dzięki któremu oszust loguje się na daną stronę i w ustawieniach konta zmienia je na własne. W ekstremalnych przypadkach cybeprzestępca zyskuje tą metodą dane logowania do konta bankowego.
Co robić? Przede wszystkim natychmiast zgłosić do wsparcia technicznego strony tą sytuację, a następnie czekać na instrukcje. Niestety, samodzielnie nic nie da się zrobić. Po odzyskaniu hasła zabezpiecz się tak, jak w poprzednim przypadku - ustaw logowanie za pomocą uwierzytelniania dwuskładnikowego. Jeśli na danej stronie przechowywane były informacje powiązane z innymi usługami lub serwisami, natychmiast zmień do nich hasła. I pamiętaj - strony internetowe niezwykle rzadko proszą e-mailowo o zmianę hasła. Jeśli dostaniesz taką wiadomość, skontaktuj się z witryną, aby potwierdziła, że to mail od niej - ale nie korzystaj z tego linka, z którego przyszła wiadomość, a oficjalnego, znajdującego się w dziale kontaktowym witryny. Możesz także zadzwonić - jeśli jest taka możliwość.
Odkrywasz zainstalowane aplikacje, których nie znasz
Odkrywasz zainstalowane aplikacje, których nie znasz
Jeśli widzisz w swoim systemie zainstalowane aplikacje, a nie możesz sobie przypomnieć, aby były przez Ciebie instalowane, jest to oznaka wirusa. Przed laty malware modyfikowało normalne aplikacje w systemie, aby lepiej się ukryć. Obecnie większość malware to trojany i robaki (worms), które po prostu udają normalne programy. Często użytkownik pobiera je i instaluje z własnej woli, nie czytając regulaminu ani licencji użytkowania, a aplikacje te pobierają i instalują kolejne. Czasem już w trakcie instalacji pierwszego pojawia się propozycja instalacji dodatkowego - czasem nie ma opcji jego odznaczenia.
Co robić? Odinstalować nieznane i niechciane aplikacje. Pełną listę programów zainstalowanych w systemie znajdziesz zarówno w ustawieniach systemowych, jak i programach do optymalizacji, np. CCleaner, Process Explorer i innych. Jeśli co do którejś z aplikacji masz wątpliwości, wówczas po prostu znajdź o niej informacje w sieci.
Kursor myszki zaczyna "żyć własnym życiem"
Kursor myszki zaczyna "żyć własnym życiem"
Jeśli niespodziewanie kursor zaczyna sam się przemieszczać, z pewnością system został zainfekowany i przejęty. W co bardziej bezczelnych malware potrafi on nawet klikać na wybrane aplikacje, powodując ich uruchomienie. Nie jest to tak powszechnie spotykane, jak inne rodzaje ataków - haker musi najpierw włamać się do komputera, zaczekać w ukryciu przez jakiś czas, a następnie zaczyna działanie, którego celem może być np. kradzież pieniędzy z konta.
Co robić? Jeśli kursor myszki zaczyna "żyć własnym życiem", obserwuj go chwilę - to pokaże Ci, jaki jest cel ataku. Nie daj się oczywiście okraść - wykonaj kilka zrzutów ekranu na dowód, a następnie wyłącz komputer, odłącz go od internetu i udaj się do serwisu komputerowego lub wezwij eksperta. Usunięcie tego szkodnika to rzecz, która wymaga prawdziwego fachowca. Skorzystaj z innego, niezainfekowanego urządzenia, aby pozmieniać hasła i loginy w używanych przez Ciebie serwisach i stronach, sprawdź też wszystkie konta, na których trzymasz pieniądze. Pozbycie się tego malware jest możliwe jedynie poprzez przywrócenie komputera do stanu przed infekcją.
Aplikacje ochronne, menadżer zadań i/lub edytor rejestru są wyłączone
Aplikacje ochronne, menadżer zadań i/lub edytor rejestru są wyłączone
Powyższe sytuacje to z pewnością efekt działania złośliwego oprogramowania. Jeśli coś wyłączyło programy ochronne - nie Ty! - prawdopodobnie ktoś wdarł się do systemu, wykorzystując którąś z luk w nim lub zainstalowanym oprogramowaniu. Jeśli chodzi o menadżera i edytor, mogą się one włączać, jednak błyskawicznie znikają.
Co robić? Przywróć system do znanego, dobrego stanu za pomocą punkty przywracania systemu. Możesz także sprawdzić, czy nie pojawiły się jakieś nieznane aplikacje (patrz punkt 8). Gdy tak się stało, spróbuj je odinstalować, zresetuj komputer i zobacz, czy nadal będą zachodziły opisane efekty. Jeśli nie możesz ich odinstalować, spróbuj wykonać pełne, głębokie skanowanie programem antywirusowym po włączeniu systemu w trybie bezpiecznym.
Z konta bankowego znikają pieniądze
Z konta bankowego znikają pieniądze
Włamywacze zazwyczaj nie kradną mniejszych kwot, ale starają się dokładnie wyczyścić konto. Taki przelew jest zazwyczaj wykonywany na rachunek w jakimś egzotycznym kraju. Zazwyczaj wejście na konto umożliwia im wspomniany wcześniej phishing. Po zdobyciu hasła czy numeru PIN, przestępca zmienia ustawienia konta i spokojnie przelewa pieniądze.
Co robić? Natychmiast zgłosić sprawę do banku. Wiele instytucji finansowych przewidziało taką sytuację i jest możliwy zwrot skradzionych pieniędzy. Jednak czasami trzeba dowodzić na drodze sądowej, że zostały skradzione. Najlepiej się zabezpieczyć, ustawiając potwierdzenie kodem SMS-owym każdej transakcji czy zmiany na koncie.
Ktoś przesyła Ci powiadomienie, że maszyna jest przejęta
Ktoś przesyła Ci powiadomienie, że maszyna jest przejęta
Raport firmy Verizon podaje, że więcej organizacji zostało powiadomionych o zhakowaniu przez firmy trzecie, niż było to w stanie wykryć samodzielnie! Co robić, gdy dostajesz taką informację? Najlepiej wstrzymaj używanie maszyny i sprawdź, czy rzeczywiście zagnieździł się wirus - możesz to zrobić skanerem. Jeśli tak się stało, spróbuj użyć dobrego programu antywirusowego do usunięcia zagrożenia - najlepiej uruchom maszynę w trybie bezpiecznym. A co, jeśli nic nie działa? No cóż, w takiej sytuacji niezbędny będzie specjalista.
Twoje prywatne dane wyciekły
Twoje prywatne dane wyciekły
O tym, że Twoje prywatne dane wyciekły, nieprędko się dowiesz. Najpierw trafią do dark webu, zapewne w pakiecie z tysiącami innych. Nie jest to nic miłego, a gorzej, gdy są to ważne dane firmowe. W przypadku, gdy masz informacje o sobie w bazie danych jakiegoś serwisu i nastąpi w nim wyciek, prawo obliguje właściciela do poinformowania o tym fakcie maksymalnie do 72 godzin od wycieku. Gdy tylko otrzymasz o nim powiadomienie, natychmiast zmień hasła, które wyciekły. Nic więcej zrobić nie możesz.
Twoje dane logowania znajdują się w sieci
Twoje dane logowania znajdują się w sieci
W dark webie znajdują się miliony loginów i haseł do tysięcy stron, serwisów i usług. Pochodzą z włamań, phishingu, a także wycieków z baz danych. Zazwyczaj o kradzieży swoich nigdy się o tym nie dowiesz - dlatego trzeba działać proaktywnie. Zalecane jest sprawdzanie co jakiś czas wiarygodnych źródeł - jak strona Have I Been Pwned - w celu sprawdzenia, czy nie znalazły się w wycieku lub kradzieży. Profesjonaliści mają także dodatkowe narzędzia (najczęściej płatne), jak KnowBe4’s Password Exposure Test, dzięki którym mogą sprawdzić, czy używane hasła są bezpieczne.
Co robić, gdy wykryjesz, że Twoje dane logowania znajdują się w sieci? Oczywiście je zmień i - jeśli jest to możliwe - wprowadź uwierzytelnianie dwuskładnikowe.
Obserwujesz podejrzany ruch sieciowy
Obserwujesz podejrzany ruch sieciowy
Wiele szkodników zostało wykrytych dzięki zauważeniu dziwnego ruchu sieciowego. Na przykład źle ustawiony atak DDoS - serwery pewnej firmy były bombardowane olbrzymimi transferami plików z krajów, w których nie miała ona żadnych interesów. Gdyby firmy przykładały większa uwagę do obserwacji ruchu sieciowego, mniej potrzebna byłaby im pomoc po tym, gdy nastąpiło zhakowanie. Na przykład większość stacji roboczych nie powinna używać protokołów non-HTTP/non-HTTPS aby komunikować się z innymi miejscami w sieci.
Co robić, gdy wykrywasz podejrzany ruch, który ciężko wytłumaczyć? Najlepiej przerwać połączenie, a także zablokować źródło komunikacji przychodzącej.
Autorzy
Henryk Tur
PCWorld
Redaktor dzialu Hardware
W styczności z komputerami od 1986 roku, w IDG od 2011. Zajmuje się poradami, programami oraz artykułami związanymi z ogólnie pojętą branżą IT.
Więcej: Henryk Tur
