Як правило, більшість пентестів проводяться за досить простою схемою. Спочатку за допомогою соціальної інженерії забезпечується доступ до цільового середовища або його окремої ланки, а потім проводиться її зараження технічними засобами. Варіації проведення атаки можуть бути різними, проте зазвичай класичний пентест - це сплав технічної частини та соціальної інженерії в різних пропорціях. Недолік класичного пентесту полягає в тому, що треба «намацати» того самого співробітника і після цього переходити до наступного етапу. Якби можна було автоматизувати процес пошуку слабкої ланки та її подальшу експлуатацію, це могло б прискорити процес пентестингу і значно підвищити кінцеві шанси успіх.

WARNING!

Вся інформація надана виключно для ознайомлення. Ні автор, ні редакція не несуть відповідальності за будь-яку можливу шкоду, заподіяну матеріалами цієї статті.

Згідно із відомою статистикою, наведеною антивірусними компаніями, близько 30% користувачів не користуються антивірусами, просто відключають їх або не оновлюють бази. Відштовхуючись від цього, можна стверджувати, що у будь-якій середньостатистичній компанії знайдеться певна група людей, яка дуже зневажливо ставиться до інформаційної безпеки, і, у свою чергу, саме цих людей доцільно використовуватиме проведення атаки. Крім того, будь-яка функціонуюча система може бути схильною до впливу цілого ряду випадкових факторів, які також можуть тимчасово паралізувати систему безпеки:

• злетіли налаштування проксі-сервера, через що антивірусні бази не було оновлено;
• закінчився термін ліцензії антивірусу, а про її продовження керівництво вчасно не подбало;
• збій роботи мережі унеможливив віддалену роздрук файлів, через що всі співробітники були змушені скопіювати документи на флешку і роздрукувати їх в іншому відділі.

Достатньо лише включити уяву, і можна додати ще десяток варіантів розвитку подій. Резюмуючи сказане, можна стверджувати, що у будь-якій середньостатистичній організації є потенційно ненадійні співробітники та іноді виникають обставини, які можуть порушити звичну роботу та паралізувати захист. Тому якщо вдарити у потрібному місці у потрібний час, то атака буде успішною.

Насправді завдання зводиться до наступного: визначити, що на даний момент сталося одне з випадкових подій, що призвело до зниження безпеки, а після цього скористатися цією ситуацією як маскування і непомітно здійснити атаку.

Фактично, завдання зводиться до того, щоб знайти людину, яка забиває на безпеку, і чому б не використовувати для цього флешки?

Багато вірусописарів дуже полюбили флеш-носії, тому що вони дозволяють легко і швидко заражати комп'ютери і навіть найпростіший USB-вірус має непогані шанси на успіх. Бум autorun-вірусів, який припав на 2008 рік, через п'ять років не зменшує обертів, більше того, USB-віруси стали ще нахабнішими і часом навіть не приховують своєї присутності. І в той же час заражена флешка - це універсальний індикатор письменності її власника в питанні елементарної ІБ. Наприклад, якщо зібрати десять флешок у різних людей, то, напевно, у трьох-чотирьох з них будуть на флешках віруси. Якщо за тиждень повторно взяти у цих людей флешки, то у двох-трьох віруси залишаться. Виходячи з цього, можна стверджувати, що на комп'ютерах, з якими працюють з даної флешки, не стоїть навіть найпростіший захист або він з якихось причин відключений або не працює зовсім. Таким чином, навіть якщо поширювати найпересічніший вірус, який успішно детектується всіма антивірусами, тільки серед цієї групи людей, то він зможе заразити велику кількість комп'ютерів, перш ніж буде виявлено. А якщо ці комп'ютери не мають захисту, то він довго зможе залишатися працездатним.

Реалізація

На певний комп'ютер, до якого періодично підключають флешки, встановлюємо спеціальну програму, що працює за алгоритмом. При підключенні чергової флешки програма намагається визначити, чи вона заражена. Так як не можна врахувати все різноманіття USB-вірусів, то є сенс використовувати евристичний підхід визначення зараження на основі наступних критеріїв:

• наявність файлу autorun.inf;
• атрибути файлів RHS;
• мінімальний розмір підозрілого файлу;
• файлова система не NTFS;
• відсутність папки з ім'ям autorun.inf;
• наявність файлів ярликів.

Якщо ця флешка заражена, то програма записує її в базу із зазначенням серійного номера та хеша підозрілого файлу. Якщо через кілька днів флешка повторно підключається до цього комп'ютера (а таке відбувається майже завжди) і на ній так само залишаються підозрілі файли, то проводиться її зараження нашим «вірусом»; якщо ж підозрілого файлу не залишилося, програма видаляє з бази серійний номер цієї флешки. Коли ж заражається новий комп'ютер, вірус запам'ятовує серійний номер материнської флешки і ніколи її не заражає і аналізує, щоб згодом не видати себе, якщо власник флешки «порозумнішає».

Для отримання серійного номера напишемо наступну функцію на основі API GetVolumeInformation:

String GetFlashSerial(AnsiString DriveLetter) ( DWORD NotUsed; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; tUsed, &VolumeFlags, NULL , 0); String S;

Слід зазначити, що функція GetFlashSerial отримує не статичний унікальний кодифікатор пристрою, лише серійний номер тома. Цей номер визначається випадковим числом і, як правило, змінюється щоразу при форматуванні пристрою. У наших же цілях достатньо лише серійного номера флешки, оскільки завдання жорсткої прив'язки не варте, а форматування передбачає повне знищення інформації, фактично прирівнюючи відформатовану флешку до нової.

Тепер приступимо до реалізації самої евристики.

Bool IsItABadFlash(AnsiString DriveLetter) ( DWORD NotUsed; char drive_fat; DWORD VolumeFlags; char VolumeInfo; DWORD VolumeSerialNumber; umeSerialNumber, &NotUsed, &VolumeFlags, drive_fat, sizeof(drive_fat)); bool badflash=false; = GetFileAttributes(AnsiString(DriveLetter + ":\ \autorun.inf").c_str()); if (!badflash) ( TSearchRec sr; FindFirst(DriveLetter+":\\*.lnk", faAnyFile, sr); int filep=sr.Name.LastDelimiter("."); filep-1); if (DirectoryExists(DriveLetter+":\\"+filebez)) ( DWORD dwAttrs = GetFileAttributes(AnsiString(DriveLetter+":\\"+filebez).c_str()); if ((dwAttrs & FILE_ATTRIBUTE_SYS) (dwAttrs & FILE_ATTRIBUTE_HIDDEN)) (badflash = true;

) ) ) return badflash; )

Алгоритм евристичної функції досить простий. Спочатку ми відсіюємо всі пристрої з файловою системою NTFS та ті, що не містять файл autorun.inf. Як правило, всі флешки за замовчуванням йдуть з файловою системою FAT32 (рідше FAT і ще рідше exFAT), проте іноді системні адміністратори або інші співробітники IT-відділу форматують їх у систему NTFS для своїх потреб. «Розумники» нам не потрібні, їх ми одразу виключаємо. Наступним етапом перевіряємо файл autorun.inf на атрибути "прихований" та "системний". Файл autorun.inf може належати і до законної програми, але якщо в ньому присутні дані атрибути, то можна з дуже великою ймовірністю стверджувати, що флешка заражена вірусом.

Звичайно, евристика має свої похибки та нюанси, тому є сенс її ретельно опрацювати до конкретного завдання, проте в нашому випадку можна зі 100% ймовірністю стверджувати її коректність.

Якщо з евристичним аналізом флешки все зрозуміло, то з «зараженням» можливі нюанси. Наприклад, можна просто перезаписати старий вірус нашим без будь-яких поправок у файл autorun.inf, файли, ярлики та інше. Таким чином, наш «вірус» отримає управління на новому комп'ютері, але попередньо краще також зробити стару копію вірусу і зберегти в тому ж каталозі з ім'ям, що трохи відрізняється. Якщо з якихось причин на іншому комп'ютері працюватиме антивірус, то він виявить старий вірус, видаляє його, видасть користувачеві попередження про успішне знищення загрози - і тим самим забезпечить помилкове почуття безпеки у користувача, а наш вірус залишиться непоміченим.

Крім цього, у грудневому випуску «Хакера» ми також писали про вразливості DLL hijacking у різному програмному забезпеченні та про його ефективне застосування. Тому якщо передбачається, що на флешках можуть бути такі програми, як менеджери паролів або портативні версії різного ПЗ, то є сенс використовувати дану вразливість і тим самим розширити спектр уражених машин і цінність отриманих даних для пентесту.

До речі, не завжди має сенс вдаватися до зараження флешок. Наприклад, якщо у ІБ-відділу стоїть завдання просто періодичного моніторингу співробітників на наявність «ненадійних людей», то розумніше встановити цю програму на кілька машин і просто записувати серійні номери флешок та час створення шкідливого файлу для збору статистики. Тим самим не потрібно буквально обшукувати всіх співробітників, і при цьому зберігається конфіденційність даних на флешках, а на основі отриманих даних можна судити також про можливе зараження домашніх комп'ютерів користувачів та стану ІБ в цілому. Адже, як ми вже писали раніше, будь-яка система схильна до випадкових факторів і не виключений ризик появи загроз.

Тестування

Розгорнувши програму відносно середньої за масштабом мережі, вже за тиждень ми отримали досить промовисті дані. Більше 20% всіх підключених флешок були інфіковані яким-небудь вірусом або трояном, і більше 15% залишалися інфікованими при повторному підключенні через пару днів. Слід зазначити, що у багатьох комп'ютерах стояла антивірусна захист, яка періодично виконувала свої обов'язки. Однак та звична байдужість до попередження антивірусу, що вискакує, до якого вже давно звикли користувачі при підключенні флешки, не дозволяла їм припустити, що вони мають справу з зовсім іншою загрозою. Хибне почуття безпеки дозволяло користувачам без збентеження підключати флешку до різних комп'ютерів, а нашій програмі успішно робити свою справу.

Коротко про алгоритм

• Встановлюємо нашу програму на комп'ютери у компанії.
• Скануємо флешки, що підключаються, на наявність ознак зараженості.
• "Заражаємо" флешки користувачів нашим тестовим "вірусом" або переписуємо їх номери для статистики.
• Доповідаємо начальству, караємо користувачів-роздолбаїв, тримаємо, не пускаємо та забороняємо.

Висновок

Підсумовуючи межу, можна сказати, що головний недолік цього - його невизначеність. Ніхто не знає, коли саме до комп'ютера буде підключена та сама «підходяща» флешка, оскільки це сильно залежить від середовища, в якому розгорнуто програму. Однак цей недолік не применшує головної переваги методу. Можна дуже довго залишатися непоміченими і, розчиняючись серед інших загроз, вражати нові і нові машини повністю в автоматичному режимі. Неважко помітити, що така методика має певний ефект масштабу. Чим більше співробітників працює в організації і чим різноманітнішими внутрішні комунікації, тим більшим буде результат. Хоча цей підхід добре працюватиме в структурі абсолютно будь-якого масштабу, адже його основне завдання зводиться не до масового ураження системи, а до цільового удару по найслабшій ланці - людині. ][

При зараженні комп'ютера вірусом (або підозрі на це) важливо дотримуватися 4 правил:

Насамперед, не треба поспішати і приймати необачних рішень. Як кажуть, "сім разів відміряй, один раз відріж" - непродумані дії можуть призвести не тільки до втрати частини файлів, які можна було б відновити, але і повторного зараження комп'ютера.

Тим не менш, одна дія має бути виконана негайно, - треба вимкнути комп'ютер, щоб вірус не продовжував свою роботу. Усі дії щодо виявлення виду зараження та лікування комп'ютера слід виконувати лише після перезавантаження комп'ютера із захищеною від запису "аварійної" дискети з операційною системою. При цьому слід користуватися файлами, що виконуються тільки на захищених від запису "аварійних" дискетах. Недотримання цього правила може призвести до дуже важких наслідків, оскільки при завантаженні ОС або запуску програми із зараженого диска в комп'ютері може бути активований вірус, а при працюючому вірусі лікування комп'ютера буде безглуздим, оскільки воно супроводжуватиметься подальшим зараженням дисків та програм.

Якщо Ви не маєте достатніх досвіду та знань для лікування комп'ютера, попросіть про допомогу більш досвідчених колег або навіть фахівців.

Профілактика проти зараження вірусом

1). Копіювання інформації та розмежування доступу:

Непогано б мати і при необхідності оновлювати архівні та еталонні копії пакетів програм і даних, що використовуються Вами. Перед архівацією даних доцільно перевірити їх наявність вірусу. Доцільно також скопіювати на дискети службову інформацію вашого диска, типу про енергонезалежну пам'ять комп'ютера.

Копіювання та відновлення подібної інформації можна виконати за допомогою програми Rescue програмного комплексу Norton Utilities.

2). Слід встановити захист від запису на архівних дискетах. Не слід займатися неліцензійним та нелегальним копіюванням програмного забезпечення з інших комп'ютерів. Там може бути вірус.

3). Всі дані, що надходять ззовні, варто перевіряти на віруси, особливо файли, "завантажені" з Інтернету.

4). Треба заздалегідь підготувати пакет, що відновлює, на дискетах із захистом від запису.

5). На час звичайної роботи, не пов'язаної з відновленням комп'ютера, варто вимкнути завантаження з дискети. Це запобігатиме зараженню завантажувальним вірусом.

6). Використовуйте програми – фільтри для раннього виявлення вірусів.

7). Періодично перевіряйте диск програмами типу AVP чи Dr. Веб для виявлення можливих провалів в обороні.

8). Поновлюйте базу антивірусних програм (AVP робить це за 8-10 хвилин).

І головне - не допускайте до комп'ютера сумнівних користувачів.

5. Список використаної літератури

1. Петров М. З., «Комп'ютерні віруси», М.:2002г.

2. Фігурнов В.Е. IBM PC для користувача. Короткий курс», Інфра-М.: 2001р.

3. Старков В.А. «Абетка персонального комп'ютера», М.: 2000р.

4. Безруков Н. Н. "Комп'ютерна вірусологія": довід. керівництво 1991

Вам буде запропоновано завантажити "Вірус" на будь-якому з терміналів Інституту. Це, у свою чергу, запустить нове завдання «Під землею та під прикриттям».

Поетапний посібник із завантаження вірусу:

1. Знайдіть будь-який термінал в Інституті
2. Вставте голозапис (кнопка [R])
3. Виберіть зі списку "Вірус"
4. "Прокличте" всі пункти в меню - Сканування мережі / Повідомлення від Тому / Копіювати зашифроване повідомлення.
5. Поверніться до головного меню. У ньому має з'явитися новий рядок про термінову відповідь – відкриваємо – готово.

У відповіді буде сказано місце зустрічі. Ідемо маркером на компасі і зустрічаємо Лайама:

Після розмови він запропонує зустрітися зі «своїм синтом», спілкуємося, дізнаємося, що мають ще 13 синтів, які хочуть втекти з Інституту. І Лайам має ідею, як відправити на поверхню відразу всіх, але для цього потрібна буде наша допомога – отримати реквізити доступу до старої охоронної системи Технологічного інституту – «Захисника коду», які знаходяться десь у Співдружності.

Ідемо у підземку, розмовляємо з Дездемоною.

Вона попросить залишити звіт на терміналі ПАМ ідемо до нього.

Обираємо "Відкрити звіт про Інститут". Потім говоримо з роботом ПАМ, він стоїть поруч (примітка: термінал ПАМ та робот ПАМ це різні речі).

Нам повідомляють місце наступного відвідування - «Лабораторія Кембридж Полімер», вирушаємо туди.

У будівлі нас зустрічає робот Моллі (досить кумедний робот, який дасть додаткове завдання «Лабораторія Кембридж Полімер»). Після розмови з роботом шукаємо таку кімнату:

Щоб потрапити туди, потрібно буде або зламати термінал рівня «Складний», або ще трохи побігати по будівлі, і знайти прохід у кімнату через верхній поверх (там буде дірка в підлозі).

Добираємось до потрібного терміналу – там буде багато пунктів, нам потрібний «Запит на видачу пароля (архів)».

Щоб вийти з кімнати, відкрийте двері за допомогою іншого терміналу в кімнаті.

Повертаємось до Дездемони, розмовляємо. Потім повертаємося до Інституту та спілкуємося з Лайамом та Z1-14.

Останній скаже, що йому потрібен час, щоб поговорити з друзями. Сідаємо на лавці поруч і прокручуємо 24 години. Знов розмовляємо з Z1-14.

Він скаже, що синти готові боротися за свободу, але їм потрібна зброя, яку вони загалом можуть зробити собі самі, але потрібні матеріали.

Вирушаємо в тунель та вбиваємо охоронців.

Повертаємося до Z1-14, він скаже, що вони починають збирання зброї, але на це піде час.

Далі завдання буде «на паузі», доки не буде виконано завдання Запуск . Після виконання цього завдання, відразу після наради директорів, до вас підійде синт і скаже що у вашій кімнаті потім потрібно терміново туди сходити. Зрозуміло, що ніякого потопу немає, просто Z1-14 потрібно з нами зустрітися.

Він скаже, що Інститут таємно передав Братству стали місце розташування бази підземки, і їх потрібно терміново попередити. Вирушаємо в підземку, і говоримо з Дездемоною.

На цьому завдання завершується.

Нагорода

• 400 (?) досвіду
• Цвяхів
• Залізничний цвях (56)

Якщо на комп'ютері з'явилося текстове повідомлення, в якому написано, що файли зашифровані, то не поспішайте панікувати. Які ознаки шифрування файлів? Звичне розширення змінюється на *.vault, *.xtbl, * [email protected] _XO101 і т.д. Відкрити файли не можна – потрібен ключ, який можна придбати, надіславши листа на вказану в повідомленні адресу.

Звідки у вас зашифровані файли?

Комп'ютер підхопив вірус, який закрив доступ до інформації. Часто антивіруси їх пропускають, тому що в основі цієї програми зазвичай лежить якась невинна безкоштовна утиліта шифрування. Сам вірус ви видалите досить швидко, але з розшифровкою інформації можуть виникнути серйозні проблеми.

Технічна підтримка Лабораторії Касперського, Dr.Web та інших відомих компаній, які займаються розробкою антивірусного програмного забезпечення, у відповідь на прохання користувачів розшифрувати дані повідомляє, що зробити це за прийнятний час неможливо. Є кілька програм, які можуть підібрати код, але вони вміють працювати тільки з раніше вивченими вірусами. Якщо ви зіткнулися з новою модифікацією, то шансів на відновлення доступу до інформації надзвичайно мало.

Як вірус-шифрувальник потрапляє на комп'ютер?

У 90% випадків користувачі самі активують вірус на комп'ютері, відкриваючи невідомі листи. Після цього на e-mail приходить послання з провокаційною темою – «Порядок денний до суду», «Заборгованість за кредитом», «Повідомлення з податкової інспекції» тощо. Усередині фейкового листа є вкладення, після завантаження якого шифрувальник потрапляє на комп'ютер і починає поступово закривати доступ до файлів.

Шифрування не відбувається миттєво, тому користувачі мають час, щоб видалити вірус до того, як буде зашифрована вся інформація. Знищити шкідливий скрипт можна за допомогою чистячих утиліт Dr.Web CureIt, Kaspersky Internet Security та Malwarebytes Antimalware.

Способи відновлення файлів

Якщо на комп'ютері був увімкнений захист системи, то навіть після дії вірусу-шифрувальника є шанси повернути файли в нормальний стан, використовуючи тіньові копії файлів. Шифрувальники зазвичай намагаються їх видалити, але іноді їм не вдається це зробити через відсутність повноважень адміністратора.

Відновлення попередньої версії:

Щоб попередні версії зберігалися, потрібно увімкнути захист системи.

Важливо: захист системи має бути включений до появи шифрувальника, після цього вже не допоможе.

1. Відкрийте властивості "Комп'ютера".
2. У меню зліва виберіть «Захист системи».
   
3. Перейдіть до диска C і натисніть «Налаштувати».
4. Виберіть відновлення параметрів та попередніх версій файлів. Застосуйте зміни, натиснувши кнопку «Ок».

Якщо ви здійснили ці заходи до появи вірусу, що зашифровує файли, то після очищення комп'ютера від шкідливого коду у вас будуть хороші шанси на відновлення інформації.

Використання спеціальних утиліт

Лабораторія Касперського підготувала кілька утиліт, які допомагають відкрити зашифровані файли після видалення вірусу. Перший дешифратор, який варто спробувати застосувати – Kaspersky RectorDecryptor.

1. Завантажте програму із офіційного сайту Лабораторії Касперського.
2. Після запустіть утиліту та натисніть «Почати перевірку». Вкажіть шлях до будь-якого зашифрованого файлу.

Якщо шкідлива програма не змінила розширення файлів, то для розшифровки необхідно зібрати їх в окрему папку. Якщо утиліта RectorDecryptor, завантажте з офіційного сайту Касперського ще дві програми - XoristDecryptor та RakhniDecryptor.

Остання утиліта від Лабораторії Касперського називається Ransomware Decryptor. Вона допомагає розшифрувати файли після вірусу CoinVault, який поки що не дуже поширений у Рунеті, але незабаром може замінити інші трояни.

Розглянемо найефективніші методи, як повністю видалити вірус із флешки і не втратити.

Використання USB-накопичувачів – це простий та зручний спосіб швидкого переміщення будь-яких файлів між пристроями.

Окрім усіх переваг, є й негативна сторона – швидке зараження вірусом.

Достатньо підключити накопичувач до вже зараженого комп'ютера, щоб без видимих ​​ознак вірус додався і на флешку.

Завдання шкідливої ​​програми– розповсюдити на інші комп'ютери заражений код. Цей код може мати різні призначення – від крадіжки ваших даних до використання.

Яким вірусом може бути заражена флешка?

Сьогодні поширені чотири основні типи вірусів для флешок:

• Шкідник, що створює ярлики . Суть цього вірусу полягає в тому, що після його переміщення на флешку всі файли (папки, документи, зображення, відео, програми, що виконуються) перетворюються на ярлики;
• Другий тип створює в системній папці "Мій комп'ютер" ярлик для запуску зовнішнього накопичувача, замінюючи стандартну утиліту. В результаті після натискання на цей ярлик користувач запускає фонову установку програми вірусу і тільки потім відкривається папка з файлами;
• . Часто при відкритті файлів на інших ПК можна побачити, що в папці накопичувача знаходяться невідомі документи з розширенням info, exe, dll, tte, worm та іншими розширеннями. Усі вони – трояни. Такий тип вірусу є найпоширенішим і не на всіх комп'ютерах користувач побачить розташування файлу. Часто він просто прихований;
• Вірус-шифрувальник - Найнебезпечніший тип. Він шифрує всі розміщені на накопичувачі файли і розшифрувати їх можна лише за допомогою перерахування творцю вірусу грошей на вказаний програмою рахунок. Після цього ви нібито отримаєте ключ для розблокування. Якщо ви зіткнулися саме з таким типом шкідника, не рекомендуємо відправляти свої гроші. У більшості випадків вирішити проблему можна за допомогою спеціальних утиліт-дешифраторів, які методом підбору визначають тип шифру та .

Можуть й інші модифікації шкідливих програм.Наприклад, ті, які поєднують у собі відразу два види - заміна файлів на ярлики плюс поширення на комп'ютер через прихований файл або утиліти, які запускаються у фоновому режимі разом із заміною ярлика запуску зовнішнього накопичувача та інші варіації.

Крок 1 - Сканування флешки

Перший та основний крок, який потрібно виконати для видалення вірусів з флешки – це запуск сканування накопичувача антивірусом або вбудованим захисником.

У разі виникнення будь-яких проблем з файлами накопичувача (наприклад, неможливість їх відкрити, порушення вмісту папок) рекомендуємо використовувати і вбудований , а також справжню копію будь-якого іншого потужного антивірусу ( , Norton).

Це дозволить підвищити шанс виявити навіть нові версії вірусного ПЗ і зберегти ваші файли незайманими.

Виконайте інструкції, щоб просканувати флешку за допомогою стандартної утиліти Windows Defender (Захисник Віндовс):

• Підключіть флешку до комп'ютера, але не відкривайте вміст;
• Далі відкрийте вікно "Мій комп'ютер";
• Знайдіть ярлик підключеної флешки та клацніть на ньому правою кнопкою мишки. У списку дій виберіть "Просканувати з Windows Defender";

• Дочекайтеся результату сканування і дозвольте Windows Defender позбавитися всіх небезпечних файлів.

Якщо на вашому комп'ютері встановлений і інший антивірус, просканувати флешку ви зможете так само.

Після натискання правою кнопкою мишки на значку флешки у списку дій відображатиметься не лише стандартний Захисник, але й варіант сканування за допомогою потрібної програми.

Якщо ви вже встигли відкрити флешку з вірусом, з великою ймовірністю він проник і на ваш комп'ютер.

Для сканування та видалення шкідника виконайте такі дії:

• Відкрийте рядок пошуку на панелі завдань та введіть «Захисник» . У результатах клацніть на іконку «Центру безпеки»;

• Далі перейдіть у вкладку «Захист від вірусів та погроз». У правій частині вікна клацніть на полі «Розширена перевірка». Вона може зайняти до півгодини. Також можна скористатися швидкою перевіркою. Так антивірус просканує лише системні файли, які з найбільшою ймовірністю можуть бути заражені.

• Після виявлення підозрілих файлів та заражених об'єктів їх рекомендується видалити. Зробити це можна одразу у вікні Windows Defender.

Якщо заражений елемент виявився важливим для вас файлом, копії якого немає, перемістіть об'єкт в карантин і дочекайтеся поки видалить всі заражені частини коду.

Після цього ви зможете безпечно працювати з цим файлом, але є можливість повторного розповсюдження вірусу, якщо Захисник не побачить усі шкідливі дані.

Зауважте!Для ефективного виявлення будь-яких типів вірусів на комп'ютері необхідно встановити останні оновлення. Якщо ви вимкнули можливість автоматичного апдейта, відкрийте вікно параметри за допомогою клавішWin-> I. Потім перейдіть в «Центр оновлення та безпеки» та вручну встановіть усі останні пакети апдейта від розробника. Тільки після цього приступайте до сканування системи та підключених флешок.

Незважаючи на те, що Defender є стандартною програмою, вона дуже добре справляється із завданням виявлення та видалення вірусів, але для її ефективної роботи потрібно використовувати винятково.

Тільки через справжні копії ОС розробники зможуть розповсюджувати оновлення безпеки та бази даних з інформацією про новітні вірусні збірки, з якими згодом і працює Defender.

Крок 2 – Форматування USB

Наступний крок для очищення флешки від вірусів передбачає повне видалення всього вмісту накопичувача.

Форматування не можна скасувати, тому переконайтеся, що ви не втратите важливі файли.

Даний спосіб є ефективним, адже в результаті всі шкідливі скрипти і приховані файли будуть видалені.

Дотримуйтесь інструкцій:

• Підключіть USB-накопичувач до ПК та відкрийте вікно «Мій комп'ютер»;
• Далі клацніть правою кнопкою на значку пристрою і виберіть пункт "Форматувати";

• У новому вікні натисніть «Почати» .

В результаті, вікно "Мій комп'ютер" автоматично оновить дані і ви зможете використовувати абсолютно безпечну та очищену від файлів флешку.

Крок 3 – Редагування автозавантаження

Вірус із флешки у 90% випадків поширюється на комп'ютер.

Якщо ви вже відкривали вміст накопичувача на своєму комп'ютері, повторне підключення навіть вже відформатованої флешки знову заразить її вірусом.

Рекомендуємо не лише сканувати та очищати флешку, а й відредагувати процес автозапуску вірусів за допомогою системного вікна. Багато шкідників працюють у фоновому режимі та запускаються разом увімкненням комп'ютера, тому ви і не можете відстежити їх.

Дотримуйтесь інструкцій:

• Відкрийте Менеджер завдань, натиснувши правою клавішею на треї Віндовс.У списку виберіть потрібну утиліту;

• У новому вікні перейдіть на вкладку «Автозавантаження».Перегляньте весь список програм, які запускаються разом з ОС. Якщо ви побачили незнайомий вам процес, вимкніть його.