Nie instaluj antywirusa!
Bardzo prawdopodobną przyczyną takiego zachowania się komputera i systemu operacyjnego jest infekcja. Działający w systemie złośliwy kod skutecznie kradnie moc obliczeniową (niech to będzie np. złośliwe narzędzie do kopania kryptowalut – bardzo “modne” ostatnio działanie wśród cyberprzestępców), spowalniając pracę komputera. Ponieważ mamy tu sytuację z gatunku “mleko się rozlało” instalowanie w zainfekowanym systemie jakichkolwiek narzędzi antywirusowych nie jest dobrym pomysłem. Nie instaluj na zainfekowanym systemie żadnego antywirusa!
W zależności od wyrafinowania szkodnika, który zaatakował dany komputer może skończyć się nawet utratą danych, czy dostępu do systemu. A tego przecież nie chcemy. Złośliwy kod już rezyduje w systemie, w pamięci RAM i – być może – stosuje zaawansowane techniki ukrywania swojej obecności oraz monitoruje próby ewentualnej neutralizacji. Dlatego przede wszystkim zachowajmy spokój. Dopóki system działa względnie normalnie i nie próbujemy chaotycznie pozbyć się malware’u, mamy większe szanse na wyleczenie. Paradoksalnie interesy przestępcy i ofiary są w tym momencie częściowo zgodne. Zaatakowany użytkownik wciąż ma dostęp do swoich danych (choć utrudniony ze względu na spadek wydajności), a agresor wciąż może kraść wydajność i zbierać z tego tytułu profity w postaci kolejnych obliczonych bloków kryptowaluty.
Działania, jakie musimy podjąć można podzielić na dwa główne etapy. Pierwszym będzie przygotowanie odpowiedniego narzędzia dezynfekującego (artykuł oparliśmy na bezpłatnym i skutecznym narzędziu Kaspersky Rescue Disk 2018), a drugim przeprowadzenie właściwej dezynfekcji zaatakowanego komputera. Zacznijmy od etapu pierwszego.
Wydajność Windows i malware – przygotowanie odpowiednich narzędzi
Pierwsza podstawowa sprawa: etap ten musimy przeprowadzić na innym komputerze niż jednostka, którą chcemy wyleczyć. Wyjaśniliśmy to częściowo wyżej, nie wiemy co zaatakowało komputer, ani jakie są możliwości szkodliwego kodu w zakresie monitorowania działań użytkownika. Przygotujmy na wstępie pendrive’a o pojemności co najmniej 2 GB oraz zapewnijmy dostęp do innego, niezainfekowanego komputera mającego dostęp do internetu. Teoretycznie zamiast pendrive’a można użyć zapisywalnej płyty DVD, ale naszym zdaniem pendrive jest szybszy i wygodniejszy w użyciu.
Pobranie potrzebnych plików
Gdy już mamy dostęp do innego komputera uruchamiamy przeglądarkę internetową i odwiedzamy witrynę z potrzebnym nam później narzędziem dezynfekującym: Kaspersky Rescue Disk 2018. Program ten jest bezpłatny, nie wymaga żadnej rejestracji, znajdziemy go na wydzielonej stronie w polskojęzycznym serwisie firmy Kaspersky Lab.
Gdy wymieniona strona otworzy się w przeglądarce, klikamy przycisk Pobierz i zapisujemy na dysku komputera, z którego korzystamy plik o nazwie krd.iso. Przypominam raz jeszcze – to nie może być zainfekowany komputer! Pobierany plik ma rozmiar nieco ponad 500 MB, dlatego w zależności od wydajności łącza internetowego, z którego w danej chwili korzystamy uzbrójmy się w stosowną porcję cierpliwości.
Kolejnym narzędziem, którego będziemy potrzebować w celu przeniesienia pobranego pakietu dezynfekującego na penrive’a w odpowiedni sposób jest program Rufus. Program ten można pobrać z witryny domowej projektu. Zalecam pobranie wersji Rufus Portable, która nie wymaga instalacji. W chwili powstawania niniejszego poradnika aktualna wersja oznaczona była numerem 3.2. W ten sposób pobrany zostanie plik o nazwie rufus-3.2p.exe.
Narzędzie Rufus jest nam potrzebne dlatego, że pakiet Kaspersky Rescue Disk 2018 musi być uruchomiony z nośnika, który dla leczonego komputera ma być rozpoznawalny jako nośnik rozruchowy, czyli taki, z którego można uruchomić system operacyjny – oczywiście inny, niż ten zainfekowany. Zakładamy, że na pendrivie, który przeznaczyliśmy do naszych działań nie ma żadnych ważnych danych. Jeżeli tak nie jest, zanim przejdziemy do kolejnych działań należy te dane skopiować w bezpieczne miejsce, gdyż przestrzeń pendrive’a będzie wykasowana.
Tworzenie rozruchowego pendrive’a z Kaspersky Rescue Disk 2018
OK, do dzieła. Podłączamy nasz pendrive do wolnego gniazda USB w użyczonym nam tymczasowo, niezainfekowanym komputerze, następnie uruchamiamy pobrany wcześniej program Rufus, klikając po prostu dwukrotnie w Eksploratorze Windows plik rufus-3.2p. Na ekranie zobaczymy okno programu Rufus:
- Upewnijmy się, że na liście rozwijalnej Urządzenie wybrany jest właściwy nośnik (Rufus powinien automatycznie wykryć podłączony wcześniej pendrive, ale jeżeli do danego komputera jest podłączonych więcej nośników USB, należy sprawdzić czy wybrany jest odpowiedni).
- Klikamy przycisk Wybierz, a następnie w otwartym oknie wskazujemy wcześniej pobrany plik krd.iso, czyli pakiet instalacyjny Kaspersky Rescue Disk 2018. Spowoduje to wpisanie nazwy wybranego pliku w pole Wybór bootowania. Nazwa ta pojawi się również na samym dole okna obok napisu Używany obraz.
- Upewniamy się, że z listy Schemat partycjonowania wybrana jest wartość MBR.
- Na liście Docelowy system powinna być wybrana wartość BIOS lub UEFI.
- Pole Nazwa woluminu wypełni się automatycznie hasłem KRD. Nie zmieniamy tego.
- Pozostałe opcje pozostawiamy bez zmian i klikamy START.
Zobaczymy teraz następujące okno dialogowe:
W oknie tym pozostawiamy zaznaczoną domyślną opcję Zapisz w trybie Obraz ISO (zalecane) i klikamy przycisk OK. Pojawi się kolejne okienko:
W nim również klikamy OK. Rozpocznie się rozpakowywanie pakietu instalacyjnego Kaspersky Rescue Disk 2018 bezpośrednio na pendrive, wraz z przeniesieniem danych rozruchowych umożliwiających uruchomienie zainfekowanego peceta z przygotowanego właśnie nośnika. Proces zapisu danych potrwa kilka minut. Jego zakończenie zostanie zasygnalizowane pojawieniem się komunikatu Gotowy w sekcji Stan. Tak jak na poniższej ilustracji:
Klikamy przycisk ZAMKNIJ, odłączamy przygotowanego już pendrive’a ratunkowego od komputera, usuwamy z dysku użyczonego nam peceta pliki krd.iso oraz rufus-3.2p (chyba, że właściciel użyczonego nam komputera również będzie chciał z nich skorzystać i przygotować na wszelki wypadek ratunkowy nośnik również dla siebie). Dziękujemy za skorzystanie z komputera i z pendrive’em w dłoni idziemy do zainfekowanej maszyny.
Co dalej? O tym już na następnej stronie.
Wydajność Windows i malware – właściwa dezynfekcja
Powróciliśmy do potencjalnie zainfekowanej maszyny, ale teraz nie jesteśmy już bezradni – dysponujemy gotowym narzędziem, które może pomóc odzyskać pełną wydajność Windows i pozbyć się szkodników kradnących naszą moc obliczeniową. Zanim jednak rozpoczniemy dezynfekcję musimy ustawić odpowiednią kolejność urządzeń rozruchowych przeszukiwanych przez komputer.
Ustawienie urządzeń rozruchowych
Chodzi o to, by komputer, który chcemy wyleczyć poszukiwał informacji rozruchowych najpierw na podłączonym do niego pendrivie, a nie na zainstalowanym wewnątrz dysku twardym lub SSD, na którym rezyduje zainfekowany system operacyjny. W tym celu musimy zmienić domyślne ustawienia BIOS-u. Aby wejść do programu konfiguracyjnego BIOS/UEFI,należy bezpośrednio po włączeniu komputera/laptopa nacisnąć klawisz Delete lub F2, a w niektórych przypadkach F10 (w przypadku wątpliwości należy to sprwdzić w instrukcji płyty głównej komputera, bądź w instrukcji laptopa). Przed uruchomieniem programu konfiguracyjnego BIOS/UEFI podłączmy przygotowanego pendrive’a do gniazda USB.
Po uruchomieniu programu konfiguracyjnego BIOS/UEFI przejdźmy do menu Boot (może się ono nazywać też Boot Setup lub podobnie), gdzie znajdują się opcje decydujące o kolejności rozpoznawania urządzeń rozruchowych przez komputer. W naszym przypadku przypisaliśmy urządzenie USB do opcji Boot Option #1, co oznacza, że komputer rozpocznie poszukiwanie informacji rozruchowych właśnie od tego nośnika. Opcja Windows Boot Manager lub Windows, bądź HDD czy SSD musi znajdować się za ustawionym nośnikiem USB. Może się tak zdarzyć, że mimo ustawionej poprawnie kolejności urządzeń rozruchowych, komputer i tak będzie startować z Windows. W takim przypadku w ogóle wyłączmy rozpoznawanie kolejnego urządzenia rozruchowego ustawiając mu opcję Disabled. Nie wpłynie to na rozpoznanie plików zapisanych na dyskach w leczonym komputerze przez narzędzie Kaspersky Rescue Disc 2018, które ma własne procedury dostępu do zainstalowanych fizycznie nośników pamięci masowej.Po ustawieniu właściwej kolejności urządzeń rozruchowych, przejdźmy do menu zapisu i wybierzmy polecenie Save Changes lub Save & Exit (zależnie od komputera). Maszyna uruchomi się ponownie i teraz powinna już poszukiwać informacji rozruchowych na podłączonych pendrivie.
Uruchamianie Kaspersky Rescue Disk 2018
Jeżeli wszystko wykonaliśmy poprawnie, po ponownym uruchomieniu się komputera na ekranie zamiast charakterystycznego, kręcącego się kółeczka – symbolu ładującego się systemu Windows, powinniśmy zobaczyć komunikat Press ESC to load Kaspersky Rescue Disk. Komunikat ten jest wyświetlany przez 10 sekund. W tym czasie musimy wcisnąć na klawiaturze klawisz [Esc], by rozpocząć ładowanie systemu ratunkowego z podłączonego pendrive’a.
Po krótkiej chwili na ekranie zobaczymy charakterystyczne tło z logo Kaspersky Lab i menu wyboru wersji językowej. W zależności od naszych preferencji możemy wybrać anglojęzyczny (opcja domyślna) lub rosyjskojęzyczny interfejs. Wybór zatwierdzamy klawiszem [Enter].Po chwili na ekranie zobaczymy kolejne menu. Zakładając, że nasz komputer nie ma problemów sprzętowych (karta graficzna działa poprawnie) zalecane jest wybranie opcji domyślnej, czyli Kaspersky Rescue Disk. Graphic Mode. Dopiero, gdy to nie zadziała, spróbujmy z opcją drugą: Kaspersky Rescue Disk. Limited graphic mode. Pozostałe opcje nie spowodują załadowania środowiska ratunkowego i nie są nam w tym momencie potrzebne.Kilkanaście sekund później, na ekranie powinniśmy zobaczyć coś w rodzaju pulpitu systemu operacyjnego. W istocie jest to pulpit zmodyfikowanego przez firmę Kaspersky Lab systemu Gentoo Linux, gdyż to właśnie na tej dystrybucji Linuksa firma oparła swoje narzędzie. Wyświetlone zostanie też okno z licencją, którą musimy potwierdzić zaznaczając widoczne w dolnej części tego okienka pola wyboru. Zanim jednak to zrobimy, najpierw połączmy się z naszą domową siecią bezprzewodową. Jest to konieczne, by wbudowany w uruchomione środowisko skaner antywirusowy mógł zostać zaktualizowany o najnowsze sygnatury zagrożeń, co zmaksymalizuje skuteczność detekcji.W celu połączenia środowiska ratunkowego z domową siecią WiFi należy – podobnie jak w systemie Windows – kliknąć ikonkę konfiguracji sieci wyświetlaną w zasobniku ikonek w dolnym, prawym rogu okna. Kliknięcie ikony wywoła listę sieci Wi-Fi wykrytych przez kartę bezprzewodową. Z listy wybieramy naszą domową sieć.Po jej wybraniu, należy wprowadzić hasło dostępowe do sieci bezprzewodowej, a następnie kliknąć przycisk Connect.Jeżeli operacje wykonaliśmy poprawnie, wyświetlony zostanie komunikat potwierdzający poprawne połączenie komputera z wybraną siecią bezprzewodową. Teraz możemy zatwierdzić wcześniej opisane okienko z licencją wciąż widoczne na pulpicie, klikając w nim przycisk Accept.
Właściwa dezynfekcja
Po zamknięciu okna z licencją na ekranie zobaczymy właściwe okno programu Kaspersky Rescue Tool.Zanim jednak uruchomimy proces skanowania, warto użyć opcji Change parameters, aby wskazać skanerowi wszystkie partycje/dyski w komputerze (domyślnie narzędzie skanuje tylko partycję systemową, na której rezyduje Windows). Przy okazji, jeżeli wcześniej się pośpieszyliście i zaakceptowaliście licencję przed połączeniem komputera z siecią bezprzewodową, to teraz macie też okazję zaktualizować wbudowaną w skaner bazę sygnatur zagrożeń. Wystarczy kliknąć odnośnik Update now wyświetlany na żółtym pasku w górnej części okna.
Po wybraniu opcji Change parameters wyświetlone zostanie okno Settings, w którym zaznaczmy pole wyboru All volumes, co spowoduje, że skaner będzie poszukiwał szkodników na wszystkich dyskach/partycjach w danym komputerze. Po zatwierdzeniu wprowadzonych zmian kliknięciem przycisku OK klikamy przycisk Start scan, co rozpoczyna skanowanie komputera.Proces skanowania może potrwać długo. Jest to zależne od ilości danych na komputerze. Ponieważ jednak Kaspersky Rescue Disk to w istocie Gentoo Linux, nic nie stoi na przeszkodzie, aby w oczekiwaniu na zakończenie skanowania uruchomić przeglądarkę (na pulpicie jest ikona Firefoksa) i poczytać ciekawe teksty w ciekawym serwisie.Wykrycie jakiegokolwiek obiektu budzącego wątpliwości silnika antywirusowego firmy Kaspersky Lab jest sygnalizowane już podczas skanowania. W oknie Kaspersky Rescue Tool zobaczymy po prostu komunikat o ilości wykrytych obiektów. Nie przerywamy skanowania, czekamy na jego zakończenie.Gdy skanowanie się zakończy, wyświetlone zostanie okno raportu, zawierające opcje pozwalające zdecydować co dalej zrobić z wykrytymi obiektami. Nie wszystkie okażą się złośliwym kodem. W naszym testowym komputerze narzędzie Kaspersky Rescue Disk wykryło obiekt określony w bazie Kaspersky Lab jako tzw. potencjalnie niepożądana aplikacja. Tym mianem określany jest kod, który nie jest złośliwy, ale stanowi potencjalne zagrożenie, jeżeli został zainstalowany bez wiedzy właściciela komputera. Ponieważ w naszym przypadku wykryte zostało jedno z używanych narzędzi, z listy rozwijalnej wybraliśmy opcję Skip, czyli “pomiń”. Oczywiście w przypadku obiektów jawnie określonych jako zagrożenie (zwracajcie uwagę na komunikat widoczny pod nazwą wykrytego obiektu/pliku) należy wybrać polecenie Delete lub co najmniej przeniesienie do kwarantanny (Copy to quarantine). W przypadku dużej liczby wykrytych obiektów najlepiej posłużyć się poleceniami widocznymi w górnej części okna. Polecenie Neutralize all usuwa wszelkie wykryte szkodniki, natomiast Copy all to quarantine przenosi wszystkie wykryte obiekty do kwarantanny.
Po wykonaniu wszystkich powyższych działań, komputer powinien być skutecznie zdezynfekowany. Można wyłączyć środowisko ratunkowe (w podobny sposób jak w Windows, wybierając przycisk w dolnym, lewym rogu ekranu, a następnie polecenie Shutdown), następnie przywrócić w programie konfiguracyjnym BIOS/UEFI pierwotną kolejność urządzeń rozruchowych. Pamiętajcie też o odłączeniu pendrive’a. Warto zachować go na później, tak na wszelki wypadek. Takie narzędzie ratunkowe czasem może się przydać. Oby jak najrzadziej.
Po zdezynfekowaniu komputera i ponownym uruchomieniu systemu Windows, powinniśmy – o ile faktycznie malware został wykryty i zneutralizowany – odczuć poprawę wydajności systemu Windows i uruchamianych w nim aplikacji. To dobry moment, żeby pomyśleć o ochronie już teraz, a nie znowu, gdy “mleko ponownie się rozleje”. | CHIP