De regulă, majoritatea pentest-urilor se desfășoară după o schemă destul de simplă. În primul rând, cu ajutorul ingineriei sociale, se asigură accesul la mediul țintă sau legătura sa individuală, iar apoi este infectat prin mijloace tehnice. Variațiile atacului pot fi diferite, dar de obicei un pentest clasic este o fuziune a părților tehnice și a ingineriei sociale în diferite proporții. Dezavantajul unui pentest clasic este că trebuie să „bâjbâi” același angajat și apoi să treci la următoarea etapă. Dacă ar fi posibilă automatizarea procesului de găsire a unei verigi slabe și de exploatare ulterioară a acesteia, acest lucru ar putea accelera procesul de testare și ar crește semnificativ șansele finale de succes.

AVERTIZARE!

Toate informațiile sunt furnizate doar în scop informativ. Nici autorul, nici editorii nu sunt responsabili pentru eventualele daune cauzate de materialele acestui articol.

Conform unor statistici cunoscute furnizate de companiile antivirus, aproximativ 30% dintre utilizatori nu folosesc antivirusuri, pur și simplu le dezactivează sau nu actualizează baza de date. Pe baza acestui fapt, se poate argumenta că în orice companie obișnuită există un anumit grup de oameni care disprețuiesc foarte mult securitatea informațiilor și, la rândul lor, acești oameni sunt recomandați să îi folosească pentru a efectua un atac. În plus, orice sistem de funcționare poate fi influențat de o serie de factori aleatori, care pot, de asemenea, paraliza temporar sistemul de securitate:

• s-au pierdut setările serverului proxy, motiv pentru care bazele de date antivirus nu au fost actualizate;
• Licența antivirus a expirat, iar conducerea nu s-a ocupat de reînnoirea ei la timp;
• O defecțiune a rețelei a făcut imposibilă imprimarea de la distanță a fișierelor, motiv pentru care toți angajații au fost forțați să copieze documente pe o unitate flash și să le imprime într-un alt departament.

Trebuie doar să-ți pornești imaginația și poți adăuga încă o duzină de opțiuni pentru desfășurarea evenimentelor. Rezumând ceea ce s-a spus, se poate argumenta că în orice organizație obișnuită există angajați potențial nesiguri și uneori apar circumstanțe care pot perturba munca obișnuită și pot paraliza protecția. Prin urmare, dacă loviți în locul potrivit la momentul potrivit, atacul va avea succes.

De fapt, sarcina se rezumă la următoarele: să se determine că unul dintre evenimentele întâmplătoare a avut loc în acest moment, ceea ce a dus la o scădere a securității, și apoi să folosească această situație ca o deghizare și să efectueze un atac neobservat.

De fapt, sarcina se rezumă la găsirea unei persoane care neglijează securitatea și de ce să nu folosești unități flash pentru asta?

Mulți scriitori de viruși sunt foarte pasionați de mediile flash, deoarece fac ușor și rapid infectarea computerelor și chiar și cel mai elementar virus USB are șanse mari de succes. Boom-ul virușilor de rulare automată, care a avut loc în 2008, nu a încetinit cinci ani mai târziu, virușii USB au devenit și mai îndrăzneți și uneori nici măcar nu își ascund prezența; Și, în același timp, o unitate flash infectată este un indicator universal al alfabetizării proprietarului său în securitatea informațiilor de bază. De exemplu, dacă colectați zece unități flash de la persoane diferite, atunci probabil trei sau patru dintre ele vor avea viruși pe unitățile flash. Dacă o săptămână mai târziu luăm din nou unitățile flash de la acești oameni, atunci două sau trei vor avea în continuare viruși. Pe baza acestui fapt, se poate argumenta că computerele care sunt folosite de pe această unitate flash nu au nici măcar cea mai elementară protecție, sau din anumite motive este dezactivată sau nu funcționează deloc. Astfel, chiar dacă distribuiți cel mai obișnuit virus, care este detectat cu succes de către toate antivirusurile, numai în rândul acestui grup de oameni, acesta va putea infecta un număr mare de computere înainte de a fi detectat. Și din moment ce aceste computere nu au protecție, atunci va putea, de asemenea, să rămână operațional pentru o perioadă lungă de timp.

Implementarea

Pe un anumit computer la care sunt conectate periodic unități flash, instalăm un program special care funcționează conform următorului algoritm. Când conectați o altă unitate flash, programul încearcă să stabilească dacă este infectată. Deoarece este imposibil să luați în considerare întreaga varietate de viruși USB, este logic să folosiți o abordare euristică pentru a determina infecția pe baza următoarelor criterii:

• prezența fișierului autorun.inf;
• Atributele fișierului RHS;
• dimensiunea mică a fișierului suspect;
• sistemul de fișiere nu este NTFS;
• absența unui folder numit autorun.inf;
• prezența fișierelor de comenzi rapide.

Dacă această unitate flash este infectată, programul o scrie în baza de date indicând numărul de serie și hash-ul fișierului suspect. Dacă după câteva zile unitatea flash este reconectată la acest computer (și acest lucru se întâmplă aproape întotdeauna) și există încă fișiere suspecte pe ea, atunci este infectată cu „virusul” nostru; dacă nu mai există niciun fișier suspect, programul șterge numărul de serie al acestei unități flash din baza de date. Când un computer nou este infectat, virusul își amintește numărul de serie al unității flash a mamei și nu îl infectează și nu îl analizează niciodată, pentru a nu se dezvălui după un timp dacă proprietarul unității flash „devine mai înțelept”.

Pentru a obține numărul de serie, vom scrie următoarea funcție pe baza API-ului GetVolumeInformation:

String GetFlashSerial(AnsiString DriveLetter) ( DWORD NotUsed; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof(VolumeInfo), &VolumeSerialNumber, &gVolumeNumbered, &gVolumeNumbers , 0); return S.sprintf("%X", VolumeSerialNumber);

Trebuie remarcat faptul că funcția GetFlashSerial nu primește un identificator static unic de dispozitiv, ci doar numărul de serie al volumului. Acest număr este setat ca număr aleatoriu și, de regulă, se modifică de fiecare dată când dispozitivul este formatat. Pentru scopurile noastre, este suficient doar numărul de serie al unității flash, deoarece sarcina de hard binding nu este necesară, iar formatarea implică distrugerea completă a informațiilor, echivalând de fapt unitatea flash formatată cu una nouă.

Acum să trecem la implementarea euristicii în sine.

Bool IsItABadFlash(AnsiString DriveLetter) ( DWORD NotUsed; char drive_fat; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; GetVolumeInformation(AnsiString(DriveLetter + ":\\").c_str() , NULL, sizeof(VolumeInforial),Umber, &NumberSerial,U &VolumeFlags, drive_fat, sizeof(drive_fat)); bool badflash=false if ((String(drive_fat)!="NTFS") && (FileExists(DriveLetter + ":\\autorun.inf"))) ( DWORD dwAttrs; dwAttrs; = GetFileAttributes(AnsiString(DriveLetter + ":\ \autorun.inf").c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN) && (dwAttrs & FILE_ATTRIBUTE =) true (;)fILE_ATTRIBUTE =) (!badflash) ( TSearchRec sr; FindFirst(DriveLetter+":\\*.lnk", faAnyFile, sr); int filep=sr.Name.LastDelimiter("."); AnsiString filebez=sr.Name.SubString(1, filep-1); if (DirectoryExists(DriveLetter+":\\"+filebez)) ( DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+":\\"+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYSTEM) && (dwAttrs & FILE_ATTRIBUTE_HIDDEN)) ( badflash = adevărat; ) ) ) return badflash; )

Algoritmul funcției euristice este destul de simplu. În primul rând, filtrăm toate dispozitivele cu sistemul de fișiere NTFS și pe cele care nu conțin un fișier autorun.inf. De regulă, toate unitățile flash vin cu sistemul de fișiere FAT32 în mod implicit (mai rar FAT și chiar mai rar exFAT), dar uneori administratorii de sistem sau alți angajați ai departamentului IT le formatează în sistemul NTFS pentru nevoile lor. Nu avem nevoie de „oameni inteligenți”; îi excludem imediat. Următorul pas este să verificați fișierul autorun.inf pentru atributele „ascunse” și „sistem”. Fișierul autorun.inf poate aparține unui program complet legitim, dar dacă aceste atribute sunt prezente în el, atunci este foarte probabil ca unitatea flash să fie infectată cu un virus.

În zilele noastre, mulți scriitori de viruși sunt mai puțin probabil să folosească fișierul autorun.inf pentru a infecta mașinile. Există mai multe motive: în primul rând, aproape toți antivirusurile sau utilizatorii dezactivează opțiunea de rulare automată; în al doilea rând, pe un computer pot exista mai mulți viruși care folosesc aceeași metodă de distribuție și fiecare dintre ei suprascrie fișierul în felul său. Prin urmare, metoda de infectare prin crearea de comenzi rapide și ascunderea folderelor originale a început să fie folosită din ce în ce mai des. Pentru a nu lăsa aceste unități flash nesupravegheate, verificăm prezența unui fișier de comandă rapidă și prezența unui folder cu același nume în rădăcina volumului. Dacă folderul are și atributele „ascuns” și „sistem”, atunci marchem această unitate flash ca fiind infectată.

Desigur, euristicile au propriile erori și nuanțe, așa că este logic să le elaborăm cu atenție pentru o anumită sarcină, dar în cazul nostru putem confirma cu 100% probabilitate că sunt corecte.

Dacă totul este în general clar cu analiza euristică a unei unități flash, atunci sunt posibile nuanțe de „infecție”. De exemplu, puteți pur și simplu să suprascrieți vechiul virus cu al nostru fără modificări la fișierul autorun.inf, fișiere, comenzi rapide etc. Astfel, „virusul” nostru va câștiga controlul pe noul computer, dar mai întâi este mai bine să faceți și o copie veche a virusului și să o salvați în același director cu un nume ușor diferit. Dacă dintr-un motiv oarecare rulează un antivirus pe un alt computer, acesta va detecta vechiul virus, îl va elimina, va avertiza utilizatorul că amenințarea a fost distrusă cu succes - și, prin urmare, va oferi utilizatorului un fals sentiment de securitate și „ virus” va trece neobservat.

În plus, în numărul din decembrie al revistei Hacker, am scris și despre vulnerabilitățile de deturnare a DLL-urilor din diferite programe software și despre utilizarea eficientă a acestuia. Prin urmare, dacă se presupune că unitățile flash pot conține programe precum manageri de parole sau versiuni portabile ale diferitelor software-uri, atunci este logic să exploatem această vulnerabilitate și, prin urmare, să extindem gama de mașini afectate și valoarea datelor obținute pentru pentesting.

Apropo, nu are întotdeauna sens să apelezi la infectarea unităților flash. De exemplu, dacă departamentul de securitate a informațiilor are sarcina de a monitoriza periodic angajații pentru prezența „persoanelor nesigure”, atunci este mai logic să instalați acest program pe mai multe mașini și să înregistrați pur și simplu numerele de serie ale unităților flash și momentul creării. a fișierului rău intenționat pentru a colecta statistici. Astfel, nu este nevoie să căutați literal toți angajații și, în același timp, confidențialitatea datelor de pe unitățile flash este menținută și, pe baza datelor obținute, se poate judeca și posibila infectare a computerelor de acasă ale utilizatorilor și a statului. a securității informațiilor în general. La urma urmei, așa cum am scris mai devreme, orice sistem este supus unor factori aleatori și riscul de amenințări nu poate fi exclus.

Testare

După ce am implementat programul într-o rețea de dimensiuni relativ medii, în decurs de o săptămână am primit date destul de elocvente. Peste 20% din toate unitățile flash conectate au fost infectate cu un fel de virus sau troian, iar mai mult de 15% au fost încă infectate când au fost reconectate câteva zile mai târziu. De asemenea, trebuie remarcat faptul că multe computere aveau protecție antivirus, care își îndeplinea periodic atribuțiile. Cu toate acestea, indiferența obișnuită față de avertismentul antivirus pop-up cu care utilizatorii au fost obișnuiți de mult atunci când conectează o unitate flash nu le-a permis să presupună că au de-a face cu o amenințare complet diferită. Un fals sentiment de securitate a permis utilizatorilor să conecteze unitatea flash la diferite computere fără jenă, iar programul nostru și-a făcut treaba cu succes.

Pe scurt despre algoritm

• Ne instalăm programul pe computerele din companie.
• Scanăm unitățile flash conectate pentru semne de infecție.
• „Infectăm” unitățile flash ale utilizatorilor cu „virusul” nostru de testare sau le rescriem numerele pentru statistici.
• Raportăm autorităților, pedepsim utilizatorii necinstiți, îi păstrăm, nu îi lăsăm să intre și îi interzicem.

Concluzie

Pentru a rezuma, putem spune că principalul dezavantaj al acestei metode este incertitudinea ei. Nimeni nu știe exact când unitatea flash „adecvată” va fi conectată la computer, deoarece depinde foarte mult de mediul în care este implementat programul. Cu toate acestea, acest dezavantaj nu scade avantajul principal al metodei. Puteți rămâne neobservat foarte mult timp și, dizolvând printre alte amenințări, să loviți din ce în ce mai multe vehicule noi complet automat. Este ușor de observat că această tehnică are un anumit efect de scară. Cu cât lucrează mai mulți angajați într-o organizație și cu cât sunt mai diverse comunicări interne, cu atât rezultatul este mai mare. Deși această abordare va funcționa perfect într-o structură de absolut orice scară, deoarece sarcina sa principală nu este o înfrângere masivă a sistemului, ci o lovitură direcționată către cea mai slabă verigă - persoana. ][

Când computerul este infectat cu un virus (sau îl bănuiți), este important să urmați 4 reguli:

În primul rând, nu este nevoie să vă grăbiți și să luați decizii pripite. După cum se spune, „măsurați de două ori, tăiați o dată” - acțiunile neconsiderate pot duce nu numai la pierderea unor fișiere care ar putea fi recuperate, ci și la reinfectarea computerului.

Cu toate acestea, o acțiune care trebuie luată imediat este oprirea computerului pentru a împiedica virusul să-și continue activitatea. Toate acțiunile de detectare a tipului de infecție și de tratare a computerului trebuie efectuate numai după repornirea computerului de pe o dischetă protejată la scriere „de urgență” cu sistemul de operare. În acest caz, ar trebui să utilizați fișiere executabile situate numai pe dischete protejate la scriere de „de urgență”. Nerespectarea acestei reguli poate duce la consecințe foarte grave, deoarece la încărcarea sistemului de operare sau la rularea unui program de pe un disc infectat, un virus poate fi activat în computer, iar dacă virusul rulează, tratarea computerului va fi inutilă, deoarece va fi însoțită de infecția ulterioară a discurilor și a programelor.

Dacă nu aveți suficientă experiență și cunoștințe pentru a vă trata computerul, cereți ajutor colegilor mai experimentați sau chiar specialiștilor.

Prevenirea infecției cu virus

1). Copierea informațiilor și controlul accesului:

Ar fi o idee bună să aveți și, dacă este necesar, să actualizați copii de arhivă și de referință ale pachetelor software și ale datelor pe care le utilizați. Înainte de a arhiva datele, este recomandabil să le verificați pentru viruși. De asemenea, este recomandabil să copiați informațiile de service de pe disc, cum ar fi memoria nevolatilă a computerului, pe dischete.

Puteți copia și restaura astfel de informații utilizând programul Rescue din Norton Utilities.

2). Protecția la scriere ar trebui instalată pe dischetele de arhivă. Nu trebuie să vă implicați în copierea fără licență sau ilegală a software-ului de pe alte computere. Ei pot avea un virus.

3). Toate datele care vin din exterior ar trebui verificate pentru viruși, în special fișierele „descărcate” de pe Internet.

4). Este necesar să pregătiți în prealabil un pachet de recuperare pe dischete protejate la scriere.

5). Pentru lucrări normale care nu sunt legate de restaurarea computerului, ar trebui să dezactivați pornirea de pe o dischetă. Acest lucru va preveni infectarea cu virusul de boot.

6). Utilizați programe de filtrare pentru detectarea timpurie a virușilor.

7). Verificați periodic discul cu programe precum AVP sau Dr. Web pentru a detecta posibile erori de apărare.

8). Actualizați baza de date a programului antivirus (AVP face acest lucru în 8-10 minute).

Și cel mai important, nu permiteți utilizatorilor dubioși să vă acceseze computerul.

5. Lista literaturii folosite

1. Petrov M. S., „Virușii informatici”, M.: 2002.

2. Figurnov V.E. „PC IBM pentru utilizator. Curs scurt”, Infra-M.: 2001.

3. Starkov V.A. „ABC-ul unui computer personal”, M.: 2000.

4. Bezrukov N. N. „Virologie computerizată”: carte de referință. 1991 manual

Vi se va solicita să descărcați „Virusul” pe oricare dintre terminalele Institutului. Aceasta, la rândul său, va declanșa o nouă misiune, Underground și Undercover.

Ghid pas cu pas pentru a descărca virusul:

1. Găsiți orice terminal din Institut
2. Introduceți o holobandă (butonul [R])
3. Selectați „Virus” din listă
4. Faceți clic pe toate elementele din meniu – Scanare rețea / Mesaj de la Tom / Copiați mesajul criptat.
5. Reveniți la meniul principal. Ar trebui să existe o nouă linie în ea despre un răspuns urgent - deschis - gata.

Răspunsul va indica locul întâlnirii. Urmăm marcajul de pe busolă și îl întâlnim pe Liam:

După conversație, se va oferi să se întâlnească cu „sintetizatorul lui”, comunicăm, aflăm că mai au 13 sintetizatoare care vor să evadeze din Institut. Și Liam are o idee despre cum să-i trimitem pe toți la suprafață odată, dar pentru asta vom avea nevoie de ajutorul nostru - pentru a obține detalii de acces la vechiul sistem de securitate al Institutului de Tehnologie - „Code Protector”, care se află undeva în Commonwealth-ul.

Mergem la metrou și vorbim cu Desdemona.

Ea vă va cere să lăsați un raport pe terminalul PAM să mergem la el.

Selectați „Raport deschis despre Institut”. Apoi vorbim cu robotul PAM, acesta stă în apropiere (notă: terminalul PAM și robotul PAM sunt lucruri diferite).

Ni se spune locul următoarei vizite - „Cambridge Polymer Laboratory”, mergem acolo.

În clădire suntem întâmpinați de robotul Molly (un robot destul de amuzant care va da sarcina suplimentară „Cambridge Polymer Laboratory”). După ce am vorbit cu robotul, căutăm această cameră:

Pentru a ajunge acolo, va trebui fie să spargeți terminalul la nivelul „Hard”, fie să mai alergați puțin prin clădire și să găsiți o cale de a intra în cameră prin ultimul etaj (va fi o gaură în podea).

Ajungem la terminalul dorit - vor fi multe puncte acolo, avem nevoie de o „Solicitare pentru emiterea unei parole (arhivă)”.

Pentru a părăsi camera, deschideți ușa folosind un alt terminal din cameră.

Ne întoarcem la Desdemona și vorbim. Apoi ne întoarcem la Institut și comunicăm cu Liam și Z1-14.

Acesta din urmă va spune că are nevoie de timp pentru a vorbi cu prietenii. Ne așezăm pe o bancă din apropiere și parcurgem 24 de ore. Vorbim din nou cu Z1-14.

Va spune că sintetizatoarele sunt gata să lupte pentru libertate, dar au nevoie de arme, pe care, în general, le pot face singuri, dar au nevoie de materiale.

Intrăm în tunel și ucidem paznicii.

Revenim la Z1-14, va spune că încep să asambleze armele, dar va dura timp.

Apoi sarcina va fi „întreruptă” până la finalizarea sarcinii Start. După finalizarea acestei sarcini, imediat după întâlnirea directorilor, un sintetizator vă va aborda și vă va spune că în camera dvs. atunci trebuie să mergeți acolo urgent. Este clar că nu există inundații, Z1-14 trebuie doar să ne întâmpine.

El va spune că Institutul a transferat în secret locația bazei subterane către Frăția Oțelului și trebuie să fie avertizați urgent. Mergem la metrou și vorbim cu Desdemona.

Acest lucru completează sarcina.

Răsplată

• 400 (?) experiență
• Pistol cu ​​cuie
• cui feroviar (56)

Dacă pe computer apare un mesaj text care spune că fișierele dvs. sunt criptate, atunci nu vă grăbiți să intrați în panică. Care sunt simptomele criptării fișierelor? Extensia obișnuită se schimbă în *.vault, *.xtbl, * [email protected] _XO101 etc. Fișierele nu pot fi deschise - este necesară o cheie, care poate fi achiziționată prin trimiterea unei scrisori la adresa specificată în mesaj.

De unde ai luat fișierele criptate?

Computerul a prins un virus care a blocat accesul la informații. Programele antivirus le lipsesc adesea deoarece programul se bazează de obicei pe un utilitar de criptare gratuit inofensiv. Veți elimina virusul în sine suficient de repede, dar pot apărea probleme serioase la decriptarea informațiilor.

Suportul tehnic de la Kaspersky Lab, Dr.Web și alte companii binecunoscute care dezvoltă software antivirus, ca răspuns la solicitările utilizatorilor de a decripta datele, raportează că este imposibil să faci acest lucru într-un timp acceptabil. Există mai multe programe care pot prelua codul, dar pot funcționa doar cu viruși studiați anterior. Dacă întâlniți o nouă modificare, atunci șansele de a restabili accesul la informații sunt extrem de scăzute.

Cum ajunge un virus ransomware pe un computer?

În 90% din cazuri, utilizatorii înșiși activează virusul pe computerul lor, deschizând scrisori necunoscute. Apoi este trimis un mesaj pe e-mail cu un subiect provocator - „Citație”, „Datoria la împrumut”, „Notificare de la biroul fiscal”, etc. În interiorul scrisorii false există un atașament, după descărcare, pe care ransomware-ul ajunge pe computer și începe să blocheze treptat accesul la fișiere.

Criptarea nu are loc instantaneu, astfel încât utilizatorii au timp să elimine virusul înainte ca toate informațiile să fie criptate. Puteți distruge un script rău intenționat folosind utilitarele de curățare Dr.Web CureIt, Kaspersky Internet Security și Malwarebytes Antimalware.

Metode de recuperare a fișierelor

Dacă protecția sistemului a fost activată pe computerul dvs., atunci chiar și după acțiunea unui virus ransomware există șansa de a readuce fișierele la starea lor normală folosind copii umbre ale fișierelor. Ransomware-ul încearcă de obicei să le elimine, dar uneori nu reușesc să o facă din cauza lipsei drepturilor de administrator.

Restaurarea unei versiuni anterioare:

Pentru ca versiunile anterioare să fie salvate, trebuie să activați protecția sistemului.

Important: protecția sistemului trebuie să fie activată înainte de apariția ransomware-ului, după care nu va mai ajuta.

1. Deschide Proprietăți computer.
2. Din meniul din stânga, selectați Protecție sistem.
   
3. Selectați unitatea C și faceți clic pe „Configurare”.
4. Alegeți să restabiliți setările și versiunile anterioare ale fișierelor. Aplicați modificările făcând clic pe „Ok”.

Dacă ați făcut acești pași înainte de apariția virusului de criptare a fișierelor, atunci după curățarea computerului de codul rău intenționat, veți avea șanse mari să vă recuperați informațiile.

Folosind utilități speciale

Kaspersky Lab a pregătit mai multe utilitare pentru a ajuta la deschiderea fișierelor criptate după eliminarea virusului. Primul decriptor pe care ar trebui să-l încercați este Kaspersky RectorDecryptor.

1. Descărcați programul de pe site-ul oficial Kaspersky Lab.
2. Apoi rulați utilitarul și faceți clic pe „Start scan”. Specificați calea către orice fișier criptat.

Dacă programul rău intenționat nu a schimbat extensia fișierelor, atunci pentru a le decripta trebuie să le colectați într-un folder separat. Dacă utilitarul este RectorDecryptor, descărcați încă două programe de pe site-ul oficial Kaspersky - XoristDecryptor și RakhniDecryptor.

Cel mai recent utilitar de la Kaspersky Lab se numește Ransomware Decryptor. Ajută la decriptarea fișierelor după virusul CoinVault, care nu este încă foarte răspândit pe RuNet, dar poate înlocui în curând și alți troieni.

Să ne uităm la cele mai eficiente metode pentru a elimina complet un virus de pe o unitate flash și a nu-l pierde.

Utilizarea unităților USB este o modalitate simplă și convenabilă de a muta rapid orice fișiere între dispozitive.

Pe lângă toate avantajele, există și o parte negativă - infecția rapidă cu virusul.

Este suficient să conectați unitatea la un computer deja infectat, astfel încât virusul să fie adăugat pe unitatea flash fără semne vizibile.

Sarcină malware– distribuie codul infectat altor computere. Acest cod poate avea o varietate de scopuri - de la furtul datelor dvs. la utilizarea .

Cu ce ​​virus poate fi infectat unitatea flash?

Există patru tipuri principale de viruși pentru unități flash care sunt comune astăzi:

• Dăunătorul care creează comenzi rapide . Esența acestui virus este că, după ce este mutat pe o unitate flash, toate fișierele (foldere, documente, imagini, videoclipuri, programe executabile) sunt convertite în comenzi rapide;
• Al doilea tip creează o comandă rapidă în folderul de sistem „Computerul meu” pentru a lansa o unitate externă, înlocuind utilitarul standard. Drept urmare, după ce face clic pe această comandă rapidă, utilizatorul începe instalarea în fundal a programului virus și abia apoi deschide folderul cu fișierele;
• . Adesea, când deschideți fișiere pe alte computere, puteți vedea că folderul unității conține documente necunoscute cu informații despre extensie, exe, dll, tte, vierme și alte extensii. Toți sunt troieni. Acest tip de virus este cel mai comun și nu pe toate computerele utilizatorul va vedea locația fișierului. Adesea este pur și simplu ascuns;
• Virus ransomware - cel mai periculos tip. Criptează toate fișierele aflate pe unitate și pot fi decriptate doar prin transferul de bani către creatorul virusului în contul specificat de program. După aceasta, se presupune că veți primi o cheie de deblocare. Dacă vă confruntați cu acest tip de dăunător, nu vă recomandăm insistent să vă trimiteți banii. În cele mai multe cazuri, problema poate fi rezolvată folosind utilitare speciale de decriptare care determină tipul de cifră și .

Pot exista și alte modificări ale programelor malware. De exemplu, cele care combină două tipuri simultan - înlocuirea fișierelor cu comenzi rapide plus distribuirea către computer printr-un fișier ascuns sau utilități care rulează în fundal împreună cu înlocuirea comenzii rapide pentru lansarea unei unități externe și alte variații.

Pasul 1 - Scanați unitatea flash USB

Primul și principalul pas pe care trebuie să-l faceți pentru a elimina virușii de pe o unitate flash este lansarea unei scanări a unității cu antivirus sau Defender încorporat.

Dacă apar probleme cu fișierele de unitate (de exemplu, incapacitatea de a le deschide, încălcarea conținutului folderelor), vă recomandăm să utilizați cel încorporat, precum și o copie autentică a oricărui alt antivirus puternic (, Norton).

Acest lucru vă va crește șansa de a detecta chiar și cele mai noi versiuni de software antivirus și de a vă păstra fișierele intacte.

Urmați instrucțiunile pentru a scana unitatea flash folosind utilitarul standard Windows Defender:

• Conectați unitatea flash la computer, dar nu deschideți conținutul acesteia;
• Apoi, deschideți o fereastră "Calculatorul meu";
• Găsiți comanda rapidă a unității flash conectate și faceți clic dreapta pe ea. Din lista de acțiuni, selectați „Scanați cu Windows Defender”;

• Așteptați rezultatul scanării și permiteți Windows Defender să scape de toate fișierele periculoase.

Dacă aveți un alt antivirus instalat pe computer, puteți scana unitatea flash exact în același mod.

După ce faceți clic dreapta pe pictograma unității flash, lista de acțiuni va afișa nu numai Defenderul standard, ci și opțiunea de a scana folosind programul de care aveți nevoie.

Dacă ați deschis deja o unitate flash cu un virus, este foarte probabil ca acesta să fi pătruns în computer.

Pentru a scana și elimina dăunătorul, urmați acești pași:

• Deschideți bara de căutare din bara de activități și tastați Defender. În rezultate, faceți clic pe pictogramă "Centru de securitate";

• Apoi, accesați fila „Protecție împotriva virușilor și amenințărilor”. În partea dreaptă a ferestrei, faceți clic pe câmp „Scanare extinsă”. Poate dura până la jumătate de oră. De asemenea, puteți utiliza verificarea rapidă. În acest fel, antivirusul va scana doar fișierele de sistem care sunt cel mai probabil să fie infectate.

• După detectarea fișierelor suspecte și a obiectelor infectate, se recomandă ștergerea acestora. Puteți face acest lucru imediat în fereastra Windows Defender.

Dacă elementul infectat se dovedește a fi un fișier important pentru dvs., din care nu există o copie, mutați obiectul în carantină și așteptați până când toate părțile infectate ale codului sunt șterse.

După aceasta, veți putea lucra cu acest fișier în siguranță, dar există posibilitatea ca virusul să se răspândească din nou dacă Defender nu vede toate datele rău intenționate.

Înștiințare! Pentru a detecta eficient orice tip de virus, cele mai recente actualizări trebuie să fie instalate pe computer. Dacă ați dezactivat opțiunea de actualizare automată, deschideți fereastra de setări folosind tasteleVictorie-> eu. Apoi accesați „Centrul de actualizare și securitate” și instalați manual toate cele mai recente pachete de actualizare de la dezvoltator. Abia după aceasta, începeți să scanați sistemul și unitățile flash conectate.

În ciuda faptului că Defender este un program standard, face o treabă foarte bună în identificarea și eliminarea virușilor, dar pentru ca acesta să funcționeze eficient trebuie folosit exclusiv.

Doar prin copii autentice ale sistemului de operare dezvoltatorii vor putea distribui actualizări de securitate și baze de date cu informații despre cele mai recente versiuni de viruși, cu care Defender lucrează ulterior.

Pasul 2 – Formatați USB

Următorul pas pentru a vă curăța unitatea flash de viruși implică ștergerea completă a întregului conținut al unității.

Formatarea nu poate fi anulată, așa că asigurați-vă că nu pierdeți fișiere importante.

Această metodă este eficientă, deoarece, ca urmare, absolut toate scripturile rău intenționate și fișierele ascunse vor fi șterse.

Urmează instrucțiunile:

• Conectați unitatea USB la computer și deschideți fereastra My Computer;
• Apoi, faceți clic dreapta pe pictograma dispozitivului și selectați "Format";

• În fereastra nouă, faceți clic pe „Începeți”.

Ca rezultat, fereastra „Computerul meu” va actualiza automat datele și veți putea folosi o unitate flash complet sigură și curată.

Pasul 3 – Editarea pornirii

În 90% din cazuri, un virus de pe o unitate flash se răspândește pe computer.

Dacă ați deschis anterior conținutul unității pe computer, reconectarea chiar și a unei unități flash deja formatate o va infecta din nou cu un virus.

Vă recomandăm nu numai scanarea și curățarea unității flash, ci și editarea procesului de rulare automată a virusului folosind fereastra sistemului. Mulți dăunători lucrează în fundal și sunt lansati când computerul este pornit, așa că nu îi puteți urmări.

Urmează instrucțiunile:

• Deschideți Task Manager făcând clic dreapta pe tava Windows.În lista care apare, selectați utilitarul dorit;

• În fereastra nouă, accesați fila „Pornire”. Vizualizați întreaga listă de aplicații care rulează cu sistemul de operare. Dacă vedeți un proces cu care nu sunteți familiarizat, dezactivați-l.