Vă restaurați PC-ul după un incident? Iată câteva sfaturi și trucuri utile. Utilizatorii PC de rând știu foarte bine că este nevoie de întreținere periodică pentru ca sistemele lor să funcționeze fără probleme. De obicei, implică ștergerea aplicațiilor neutilizate, golirea folderelor de fișiere temporare și a memoriei cache a browserelor web, defragmentarea (pentru utilizatorii de HDD) și altele.

Cum se schimbă această întreținere după o infiltrare cu virus sau malware? Malware-ul sofisticat poate provoca daune serioase în registrul sistemului, în spațiul de stocare sau chiar în memorie, așa că este o idee bună să faceți un „control” după incident, pentru a preveni orice probleme viitoare.

Ce fel de disfuncționalități poate provoca malware-ul?

În primul rând: prevenția este, probabil, cea mai bună cale de a scăpa de malware. Pentru a evita infiltrarea, este esențial să aveți o soluție robustă de securitate pentru endpoint-uri. Totuși, unele amenințări sofisticate pot trece neobservate, evitând detecția și provocând dificultăți chiar și pentru anumite soluții de securitate.

Aflați din acest articol mai multe despre cum malware-ul „fileless” (fără fișiere) poate evita detecția, fiind prezent exclusiv în memoria PC-ului. În același timp, unele atacuri malware folosesc și tehnici „living-off-the-land” (LOL), ceea ce înseamnă că abuzează de procese sau programe legitime ale sistemului pentru activități malițioase. Ele reconfigurează aceste procese, mergând până la modificarea registrului Windows pentru a-și menține persistența, de exemplu.

Care sunt implicațiile? Chiar și după detecția și eliminarea cu succes a malware-ului, utilizarea tehnicilor LOL poate lăsa în urmă mai multe probleme, cum ar fi instabilitatea sistemului din cauza modificărilor făcute în regiștrii sau a configurațiilor alterate. În plus, pot apărea cazuri de corupere sau pierdere a datelor și, uneori, chiar și malware rezidual, deoarece unii atacatori preferă să lase „cai de acces secundar” (backdoors) în sisteme pentru atacuri viitoare.

Curățare digitală în profunzime

„Poate vă întrebați: «Nu ar trebui ca software-ul meu de securitate să poată elimina toate urmele de malware?» Răspunsul este: «Da – într-o lume ideală.» Din păcate, o lume ideală nu are malware, așa că, în lumea reală, software-ul de securitate nu poate garanta stabilitatea completă a sistemului după un comportament malițios”, a comentat Bruce P. Burrell, ESET Research Fellow.

Știați că? O privire în trecutul virușilor
În trecut, unii viruși erau de tip „overwriter” – codul lor era scris peste ceea ce exista deja. Asta însemna că cel puțin o parte din conținutul original era șters, virusul neîncercând deloc să păstreze ceea ce suprascria. Singura modalitate de a reveni la normal era restaurarea copiilor de siguranță ale fișierelor originale.
Apoi existau „data diddlers”, care modificau părți ale codului gazdă – mai mult sau mai puțin la întâmplare. Ceea ce era modificat nu făcea parte din codul malware-ului propriu-zis – ci alte porțiuni care nu erau esențiale pentru funcționarea acestuia.

Spre deosebire de funcția de backup automat a ESET Ransomware Remediation (care protejează și restaurează fișierele în situația unui atac ransomware), în acest caz este necesară restaurarea manuală, deoarece produsele de securitate cu greu vor putea recupera fișierele de sistem corupte sau driverele deteriorate.

Există câteva modalități de a face acest lucru. Să ne concentrăm în special pe Windows, deoarece este cel mai utilizat sistem de operare pentru PC:
– System Restore (Restaurare sistem) – Creând un punct de restaurare a sistemului (practic un backup), puteți reveni la o stare a sistemului anterioară infestării cu malware. Totuși, punctul de restaurare trebuie să existe înainte de infestare și să rămână necompromis în timpul acesteia.
– Refresh (Reîmprospătare) – Această opțiune reinstalează Windows păstrând fișierele personale intacte. Elimină aplicațiile și setările, dar păstrează restul. Tehnic vorbind, ar putea păstra și fișierele malițioase, cu excepția cazului în care sunt detectate anterior, așa că țineți cont de acest aspect.
– Startup Repair (Reparare la pornire) – Instrumentul este foarte util atunci când vreți să rezolvați o problemă anume a sistemului. Scanează computerul pentru probleme și încearcă să le repare pentru următoarea pornire. Conform Microsoft, tool-ul este util în special dacă PC-ul are fișiere de sistem lipsă sau deteriorate, date de configurare a pornirii corupte sau alte probleme.
– Reset (Resetare) – Readuce Windows la starea inițială. Atenție, șterge tot de pe computer, așa că, dacă nu mutați în prealabil fișierele importante pe un hard disk extern, ar trebui să fie ultima soluție la care apelați.

Pentru utilizatorii avansați, o idee bună este să folosească linia de comandă din Windows Terminal în modul administrator și să tasteze următoarele comenzi:
– Rulați System File Checker. Tastați sfc /scannow în Terminal și apăsați Enter. Aceasta va verifica sistemul și va repara eventualele elemente lipsă sau corupte din registru.
– Rulați CHKDSK. Tastați chkdsk c: (înlocuiți „c:” cu litera unității dorite) și apăsați Enter. Sistemul va verifica erorile din sistemul de fișiere, dar nu le va repara automat.
– Pentru reparare, trebuie să rulați chkdsk [litera unității]: /f, care repară erorile discului. Există și comanda chkdsk [litera unității]: /r, care extinde /f și repară sectoarele defecte de pe disc. Atenție: înainte de a rula /r, faceți un backup complet. Deoarece comanda verifică sectoarele defecte, fișierele aflate pe acestea pot fi pierdute în timpul procesului.

Probabil merită menționat că atât SFC, cât și CHKDSK pot dura ceva timp să ruleze, în special CHKDSK cu opțiunile /f și /r. Totuși, acestea nu ar trebui să deranjeze utilizarea normală a calculatorului, deși ar fi înțelept să le lăsați să ruleze neîntrerupt pentru a fi în siguranță.

Alternativ, puteți folosi instrumentul Deployment Image Servicing and Management (DISM). Comparativ cu SFC și CHKDSK, este puțin mai eficient și este recomandat când apar erori frecvente sau blocări ale sistemului. Ajută la curățarea fișierelor de sistem, a imaginilor de sistem (un instantaneu al întregului sistem la un moment dat) sau a procesului de instalare. Totuși, înainte de utilizare, efectuați un backup complet, deoarece DISM poate aduce modificări majore sistemului.

Între DISM, CHKDSK și SFC, utilizatorul ar trebui să analizeze cu atenție care opțiune i se potrivește cel mai bine, în funcție de problema cu care se confruntă.

Coruperea DISM, eliminată

Există trei utilizări principale ale instrumentului DISM care pot ajuta la remediere. Să începem cu cea mai simplă și să mergem către cea mai complexă:
– CheckHealth – Comanda detectează dacă există corupere în imaginea sistemului, dar nu o repară. Pentru aceasta, tastați în Terminal:
DISM /Online /Cleanup-Image /CheckHealth.
– ScanHealth – Un pas mai avansat este ScanHealth, care încearcă să identifice problemele prezente în imaginea sistemului. Tastați în Terminal:
DISM /Online /Cleanup-Image /ScanHealth.
– RestoreHealth – Această opțiune scanează și repară orice probleme din imaginea sistemului. Tastați în Terminal:
DISM /Online /Cleanup-Image /RestoreHealth. Comanda se conectează la serviciul Windows Update pentru a înlocui fișierele problematice, așa că poate dura mai mult să se finalizeze, dar timpul investit merită efortul. Ar fi mult mai frustrant să rămână reziduuri de malware în sistem.

Toate acestea necesită o conexiune online. Există și o a patra opțiune (install.wim), care poate prelua datele necesare de pe un alt dispozitiv sau mediu de stocare, însă trebuie să aveți o imagine de sistem care să corespundă exact cu versiunea de Windows instalată pe PC-ul dvs.

Pentru calculatoarele cu Windows 11, Microsoft pune la dispoziție o pagină oficială de unde utilizatorii pot descărca sistemul de operare. Este întotdeauna mai sigur să folosiți sursele oficiale. Așadar, dacă dețineți o cheie de licență, puteți urma instrucțiunile de pe pagină pentru a vă remedia sistemul de operare.

Gânduri la final

Cu excepția reinstalării complete a sistemului de operare (un proces destul de îndelungat), aceștia ar trebui să fie pașii cei mai accesibili pentru oricine dorește să-și restaureze PC-ul după o infiltrare.

Pentru o optimizare suplimentară, recomandăm să citiți articolele lui Aryeh Goretsky despre reinstalarea software-ului de securitate pentru a-l menține în stare optimă, precum și despre recuperări și backup-uri.

Acest articol a fost scris și editat cu contribuții valoroase din partea ESET Research Fellow, Bruce P. Burrell, și ESET Distinguished Researcher, Aryeh Goretsky. Le mulțumim pentru observațiile precise și expertiza lor.