Alarm wirusowy: co robić?

Alarm wirusowy: co robić?

Popularne programy antywirusowe idą na skróty, spychając odpowiedzialność na użytkownika. Kto zbyt pochopnie naciśnie niewłaściwy przycisk, może albo złapać wirusa, albo na zawsze usunąć z dysku twardego nieszkodliwy, ale ważny plik. Podobne pułapki czyhają również w emailach. Wiadomość od Visy o zablokowanej karcie kredytowej, pismo od firmy windykacyjnej, dziwna wiadomość od znajomego – teoretycznie w każdym emailu może tkwić wirus. Bezrefleksyjne kasowanie wszystkich podejrzanych plików też nie jest rozwiązaniem. W Internecie sprawy mają się podobnie: jeśli poważna z pozoru strona firmy zgłasza błąd certyfikatu, to ważne jest rozpoznanie fałszywego alarmu. W tym artykule dajemy wam do ręki narzędzie, dzięki któremu w przyszłości, gdy zobaczycie ostrzeżenia o wirusach, nie będziecie mieli wątpliwości, który przycisk wybrać.

Wykrycie wirusa

Win32Blocker.cbuf, HEURtrojan.W32 – tylko nieliczni użytkownicy wiedzą od razu, z którym wirusem należy powiązać pojawienie się tej nazwy na ekranie. A rozpoznanie fałszywego alarmu jest jeszcze trudniejsze. Nowoczesne narzędzia antywirusowe cechuje skuteczność rozpoznawania na poziomie 99 proc. Ma to jednak swoją cenę: ostrzeżenia. Pokażemy, jak sprawdzić, czy faktycznie grozi wam niebezpieczeństwo.

Właściwa weryfikacja ostrzeżeń

Strona virustotal.com za pomocą wielu silników sprawdza pliki i witryny internetowe pod kątem zawartości wirusów. Później możecie zdecydować, czy dać wiarę alarmowi o wirusie

Strona virustotal.com za pomocą wielu silników sprawdza pliki i witryny internetowe pod kątem zawartości wirusów. Później możecie zdecydować, czy dać wiarę alarmowi o wirusie

Generując ostrzeżenie, programy antywirusowe często zmuszają użytkownika do podjęcia decyzji, czy rzekomo zainfekowany plik ma zostać skasowany, przeniesiony do kwarantanny czy skaner antywirusowy po prostu się pomylił. Ważne jest tu przede wszystkim, aby dokładnie wiedzieć, skąd pochodzi plik. Pliki z chronionego środowiska – na przykład z wewnętrznych serwerów firmowych – zostały już najprawdopodobniej zbadane przez skaner antywirusowy klasy Enterprise, a więc są czyste. Również pliki otrzymywane mailem z poważnych źródeł internetowych, takich jak Amazon, możecie sklasyfikować jako wolne od wirusów. Ta zasada naturalnie nie obowiązuje, jeśli mail został sfałszowany. Fałszywe alarmy występują, na przykład gdy zainstalowano równolegle dwa skanery antywirusowe.

Przed oceną ostrzeżenia o wirusie powinniście podjąć następujące kroki: po pierwsze sprawdźcie w wyszukiwarce nazwę wirusa – często już to dostarcza pomocnych wskazówek. Po drugie odwiedźcie stronę virustotal.com. Tutaj możecie przesłać rzekomo zainfekowany plik, który następnie zostanie zbadany wieloma silnikami antywirusowymi. Jeśli większość z nich uzyska wynik pozytywny, to chodzi o wirusa, którego powinniście usunąć za pomocą programu antywirusowego. Jeśli funkcja kasowania nie działa, plik został zablokowany przez system. W tym przypadku skorzystajcie z systemu ratunkowego, który bazuje na Linux Live OS (support.kaspersky.com/pl/4162). Jeśli macie wrażenie, że wasz komputer działa powoli, to być może padliście ofiarą rootkita. Dane na ten temat znajdziecie w Menedżerze zadań. Kiedy nie pracujecie na komputerze, obciążenie procesora nie powinno wynosić więcej niż pięć procent, a wykorzystanie łącza sieciowego nie powinno przekraczać jednego procenta. Jeśli jedna z tych wartości przez cały czas jest mocno podwyższona, może to świadczyć o obecności rootkita. W tym przypadku najlepiej znów sięgnąć po system ratunkowy.

Komputer jest zablokowany

Ransomware blokuje cały komputer i szyfruje części dysku twardego. Przestępcy przesyłają kod odblokowujący tylko po zapłaceniu okupu.

Ransomware blokuje cały komputer i szyfruje części dysku twardego. Przestępcy przesyłają kod odblokowujący tylko po zapłaceniu okupu.

Niektórzy przestępcy instalują na komputerach ofiar ransomware, który blokuje cały system i wyświetla na ekranie komunikat, a dodatkowo szyfruje cały dysk twardy. Po wysłaniu żądanej kwoty do producenta wirusa użytkownik ma dostać hasło odblokowujące. W pierwszej kolejności powinniście poszukać w Sieci nazw wyświetlanych na ekranie, np. MoneyPark i Ransomware. Gros firm dostarczających oprogramowanie antywirusowe oferuje na swoich stronach specjalne narzędzia do usuwania wirusów i hasła odblokowujące. W większości przypadków pomocny będzie również zestaw ratunkowy. Aby zamknąć drogi przenikania wirusów, należy zaktualizować całe oprogramowanie – do najnowszych wersji.

Wiadomości śmieci

Oto email z iPKO: “Dostęp do Twojego konta została zablokowany”. Teraz na firmowej stronie masz potwierdzić swoje dane w celu odblokowania konta. Adres nadawcy pasuje do banku, wiadomość ma także spersonalizowany nagłówek. Czasami nawet doświadczonym użytkownikom trudno jest rozpoznać, czy chodzi o autentyczną wiadomość czy o phishingowy mail. Pokażemy, na jakie detale powinniście zwrócić uwagę, aby w przyszłości nie dać się oszukać.

Rozpoznanie phishingowej wiadomości

Nie rozpoznacie phishingowego maila wyłącznie po adresie nadawcy, bo oszuści mogą go z łatwością zmanipulować. Wskazówką świadczącą o autentyczności adresu jest serwer email, przez który wiadomość została przysłana. Tę znajdziecie w tekście źródłowym wiadomości, który np. w Outlooku otworzycie, wchodząc w »Plik | Właściwości«. W Gmailu otwieracie wiadomość i klikacie na strzałce obok przycisku odpowiedzi. Tutaj wybieracie »Pokaż oryginał«. W tekście źródłowym, wyszukujemy słowo »Received«, za nim znajdziecie serwer nadawcy. Ten powinien mieć tę samą domenę co firma, od której pochodzi wiadomość. Jeśli tak nie jest, najprawdopodobniej macie do czynienia z phishingiem i najlepiej taką wiadomość skasować. Sprawdzanie serwera nie zawsze okazuje się dobrym rozwiązaniem, bo zwłaszcza małe firmy stawiają na serwery poczty zewnętrznych usługodawców, a w takim przypadku domena nie zgadza się już z adresem firmy. Ponieważ jednak atakujący podrabiają prawie wyłącznie wielkie strony internetowe, badanie serwera jest wiarygodną metodą.

We właściwościach wiadomości znajdziecie serwer poczty nadawcy 1, którego nazwa powinna pasować do nadawcy. Ważna jest również sygnatura 2, którą sprawdzają aktualne programy pocztowe.

We właściwościach wiadomości znajdziecie serwer poczty nadawcy (1) , którego nazwa powinna pasować do nadawcy. Ważna jest również sygnatura (2) , którą sprawdzają aktualne programy pocztowe.

Cyberprzestępcy podszywają się nie tylko pod instytucje finansowe, takie jak PKO czy Visa. Aby wprowadzić do komputera wirusa przez email, udają też często firmy spedycyjne, Pocztę Polskę czy DHL. W ten sposób obchodzą opisane powyżej badanie serwera poczty, bo po prostu dopasowują nazwę rzekomej firmy windykacyjnej do stosowanego serwera poczty. W wiadomości znajduje się załącznik z roszczeniem, który często zawiera wirusa. Niektóre pisma zawierają nawet spersonalizowany nagłówek. Wiadomości od znajomych Niesłusznie często zaleca się, aby ufać wiadomościom pochodzą- cym od znanych nadawców. To zła praktyka, bo nasi znajomi mogli paść ofiarą hakerskiego ataku. Wtedy w grę wchodzą dwa scenariusze: otrzymamy email od znajomego, jednak jego treść jest naszpikowana reklamą albo podejrzany tekst naciska na otwarcie dołączonego do wiadomości łącza. Takim wiadomościom nie powinniście ufać. Ich autentyczność możecie sprawdzić, badając serwer poczty: domena pocztowa, na przykład wp.pl, musi zgadzać się z nazwą serwera nadawcy. Może się jednak zdarzyć, że email od waszego znajomego wyląduje w folderze ze spamem, mimo że jest prawdziwy i nie zawiera wirusów. W tym przypadku po prostu mamy do czynienia z błędem klasyfikacyjnym filtra antyspamowego, który określone fragmenty tekstu niesłusznie rozpoznaje jako spam. Chcąc mieć absolutną pewność, możemy po prostu zatelefonować do znajomego. Jeśli faktycznie ma na komputerze spamującego wirusa, będzie wam wdzięczny za informację o nim.

Problemy w sieci

Na poważnych stronach nagle pojawia się podejrzanie dużo reklam, a przeglądarka ostrzega przed sfałszowanym certyfi katem? Wyjaśnimy, kiedy chodzi o błąd na stronie internetowej, a kiedy faktycznie zagraża wam niebezpieczeństwo. Wtyczki adware Podczas przeglądania Internetu pojawia się za dużo reklamowych pop-upów? Może za to odpowiadać wtyczka adware albo zawirusowane rozszerzenie. Takie dodatkowe oprogramowanie zagnieżdża się głęboko w przeglądarce i można je usunąć w kilku krokach. W pierwszej kolejności powinniście zainstalować program AdwCleaner i go uruchomić. Narzędzie usunie z waszego komputera niepożądany adware i paski narzędzi.

Potem musicie sami wziąć się do pracy. Wejdźcie do menu rozszerzeń waszej przeglądarki. W Firefoxie znajdziecie je, wchodząc w »Dodatki | Rozszerzenia«. Tam zobaczycie zainstalowane narzędzia dodatkowe. Wyłączcie wszystkie, których nie jesteście w stanie sklasyfikować z całą pewnością jako godne zaufania. To samo zróbcie w przypadku pozycji »Wtyczki«. Oprócz tego wszystkie wtyczki należy zawsze aktualizować – do najnowszych wersji. Praktyczna funkcja: w Firefoxie na życzenie wyszukiwaniem aktualizacji zajmie się sama przeglądarka. Badanie błędów certyfikatu Jeśli podczas otwierania witryny internetowej pojawia się błąd certyfikatu, wcale nie musi to znaczyć, że strona jest sfałszowana. Często strona po prostu używa starego certyfikatu. Aby to zbadać, w ostrzeżeniu kliknijcie »Szczegóły«. Większość przeglądarek w tym miejscu przybliża problem. Jeśli jest nim tylko przestarzała sygnatura, możemy spokojnie korzystać z witryny. Jeśli np. firma przeniosła części strony na zewnętrzny serwer, nazwa nie pasuje już do certyfikatu. Wynikiem jest błąd certyfikatu. Pojawiające się ostrzeżenie może być też jednak przesłanką wskazującą na sfałszowany certyfikat. Wtedy lepiej przerwać korzystanie z witryny.

Ale nawet jeśli nie ma żadnego błędu, wasz komputer może być zagrożony, bo w niektórych przypadkach hakerzy zdobywają tak zwane certyfikaty root. Pozwala to na wystawianie ważnych certyfikatów dla takich stron jak Google czy Microsoft. Taki sfałszowany root-CA należy na szczęście do rzadkości i szybko jest blokowany. W Windows lista zablokowanych certyfikatów jest uaktualniana przez aktualizacje systemu. Niektóre przeglądarki wykorzystują własne bazy danych. Dlatego bardzo ważne jest, aby zawsze aktualizować Windows i przeglądarkę. Rozpoznawanie ataku na hasło Jeśli podczas następnego logowania na konto online otrzymacie powiadomienie, że stwierdzono niezwykłą aktywność na koncie albo że miała miejsce nieudana próba logowania, to przy logowaniu się do stron z ważnymi danymi powinniście w przyszłości korzystać z zabezpieczonej przeglądarki, np. BitBox (sirrix.com). Tutaj przeglądarka uruchamia się w chronionym przed wirusami środowisku linuksowym. Hakerskie ataki na wasz komputer są więc już niemożliwe.