ВАЖНО Как жить без антивируса. Советы хакера

Тема в разделе "WINDOWS - КОМПЬЮТЕР БЕЗ АНТИВИРУСОВ !", создана пользователем X-Shar, 5 дек 2017.

↑ ↓
  1. X-Shar :)
    X-Shar
    Ответить в чате

    Администрация

    Регистрация:
    03.06.2012
    Сообщения:
    5.449
    Симпатии:
    64
    Пол:
    Мужской
    Репа:
    +691 / 163 / -34
    Оригинал:Жизнь без антивируса. Как побороть малварь голыми руками и обезопасить себя на будущее - «Хакер»

    На вопрос «Какой антивирус вы используете на своей виндовой машине?» многие безопасники (в том числе и сотрудники нашей редакции) отвечают просто: никакой. Когда эпидемии в сотни тысяч зараженных компьютеров разгораются, невзирая на все самые передовые технологии систем защиты, а антивирусы в наших тестах показывают сомнительные результаты, об отказе от антивируса вполне стоит подумать.

    План статьи будет таков: как локализовать заразу, если она все-таки проникла на твою машину, как победить руткиты и как восстановить систему после заражения, если все зашло слишком далеко. В конце статьи мы дадим несколько банальных, но по-прежнему актуальных советов о том, как избежать заражения (с другой стороны, как можно называть банальными советы, соблюдение которых снизило бы количество зараженных машин Сети в десятки раз?).
    Мы вовсе не настаиваем на сносе твоего любимого Internet security, но прочитать статью «На малварь без антивируса» и советы из этого материала очень рекомендуем.


    Что делать в случае заражения?

    Итак, если у тебя есть подозрение на то, что машина инфицирована, в первую очередь ты должен выполнить несколько действий:
    • отключить хост от сети (вытащить UTP-кабель, погасить Wi-Fi);
    • вынуть из портов все внешние девайсы (HDD- и USB-устройства, телефоны и прочее).
    Все эти действия связаны с необходимостью изолировать нашего пациента от внешнего мира. Отключать хост нужно обязательно и от доступа во внешний мир через интернет и локалку, поскольку малварь практически со стопроцентной вероятностью будет пытаться себя распространить на весь доступный ей сегмент.

    К тому же если зловред является частью ботнет-сети или содержит компоненты RAT, то он может бездействовать до того момента, как поступит управляющая команда с C&C-сервера из внешней сети. Также это страхует нас и от утечки локальных данных во внешний мир, к примеру через DNS-туннелированные или подобные хакерские фичи. Следуя этой же логике, рекомендуют как можно скорее вытащить все подключенные к пациенту девайсы: к примеру, если это вирус-шифровальщик, то он может просто не успеть добраться до данных на внешних HDD и USB-флешках.
    Хардкорным читателям советуем прочесть наш цикл статей про реверсинг малвари. Малварь в руках хакера, вооруженного статьями из этого цикла, пожалеет о том, что появилась из-под пера вирмейкера.

    Ты можешь еще услышать совет сразу выключить зараженный компьютер. Здесь неоднозначно. С одной стороны, это может приостановить разрушительные действия зловреда. Но есть и риск того, что после выключения в следующий раз ОС больше вообще не загрузится, а данные на винтах потрутся. Поэтому действовать нужно по обстоятельствам, многое зависит от того, какая именно малварь была запущена и какие цели она преследует. Ниже при рассмотрении кейсов мы расскажем и о первой, и о второй ситуации.

    Ну и конечно, для успешной борьбы с малварью и восстановления системы у тебя должны быть привилегии административной учетной записи, так как многие действия (манипуляции с системными файлами, остановка и перезапуск сетевых служб, восстановление реестра, изменение конфигурации загрузчика и тому подобное) потребуют от нас всей полноты прав на систему.
    Неверные и неосмысленные действия могут привести к нарушению нормальной работы ОС, ПО или к потере данных. Ни автор, ни редакция не несут ответственности за ущерб, причиненный неправильным использованием материалов данной статьи. Выполняй только те действия, суть и значение которых ты осознаешь.


    Поиск процессов и обезвреживание малвари в памяти

    Любая малварь, чтобы выполнять свои действия, должна быть запущена в оперативной памяти. И неважно, как именно бинарный код был загружен в RAM — из exe-файла, вложенного в письмо, скрипта из инфицированной HTML-странички или был собран только из сетевых пакетов, как нашумевший в начале 2000-х годов бестелесный червь Slammer, поразивший тысячи серверов за несколько десятков минут. Поэтому ключевой задачей на первом этапе становится поиск и идентификация процесса зловреда в памяти. И стандартный менеджер задач Windows тут нам не помощник. Почему? Да потому, что даже начинающий кодер на Delphi может использовать функции, позволяющие скрывать из области видимостиштатного Task Manager’а запущенный процесс. Я еще молчу о том, что зловред может содержать руткит, который будет скрывать его действия в системе.

    Итак, к нам на помощь придут утилиты — самостоятельные и комплексные менеджеры задач. Первая тулза, которую мы рассмотрим, — это Process Monitor, бесплатная утилитка из набора SysInternals Suite. По сути, она объединяет в себе сразу две другие утилиты — FileMon (мониторинг файловой системы) и RegMon (мониторинг реестра). Тулза предоставляет мощный инструмент для мониторинга файловой системы, системного реестра, а также всех процессов в оперативной памяти в реальном времени.

    На панели есть несколько интересных кнопок, позволяющих выполнять фильтрацию процессов и действий системы по нужным нам критериям:
    • show registry activity — просмотр активности реестра (чтение, запись ключей);
    • show file system activity — просмотр действия с файлами (чтение, запись);
    • show network process activity — аналогично по процессам, использующим сеть;
    • show process and thread — просмотр процессов и нитей.
    [​IMG]
    Рабочее окно утилиты Process Monitor

    Вторая, более навороченная тулза — это Process Explorer. Предназначена для мониторинга процессов в системе. Позволяет не только отследить процесс, но и уточнить, какие файлы и папки им используются. Фишка программы в том, что тут же в рабочем окне можно выделить процесс и по щелчку мыши проверить его на VirusTotal.
    [​IMG]
    Рабочее окно утилиты Process Explorer

    System Explorer, одна из излюбленных антивирусными исследователями тулз, обеспечивает мониторинг всех процессов в системе, отображает детальную загрузку памяти и файла подкачки, работу процессора, драйверов, открытых соединений в сети и многое другое.

    [​IMG]
    Просмотр списка процессов в System Explorer

    В утилиту встроена база данных — можно проверить наличие вредоносного кода в конкретном файле и отправить на сервер отчет VirusTotal.

    [​IMG]
    Проверка процесса на безопасность в System Explorer

    Тулза позволяет закрыть любой процесс и группу связанных процессов, которые тормозят работу системы или программы, просмотреть историю действий для любой программы. Поддерживается работа с плагинами. Интерфейс разделен на вкладки, каждая из которых посвящена конкретным задачам. System Explorer позволяет управлять объектами автозапуска, просматривать и оперативно деинсталлировать установленные приложения, управлять службами Windows и многое другое.

    [​IMG]
    Режим Explorer с более наглядной формой вкладок

    Тулза четвертая — это AnVir Task Manager, полноценный менеджер задач, который позволяет контролировать все, что запущено на компьютере, а также предоставляет удобные инструменты для настройки компьютера. Тулза позволяет управлять автозагрузкой, запущенными процессами, сервисами и драйверами и заменяет диспетчер.

    [​IMG]
    Список процессов в AnVir Task Manager


    [​IMG]
    Список инсталлированных в систему драйверов в AnVir Task Manager

    В самом простом случае имя процесса совпадает с именем исходного exe-файла, который был запущен. Поэтому и самый простой способ найти малварь — это просмотреть весь список запущенных процессов и обратить внимание на те, которые вызывают подозрения. Но есть и более сложные ситуации, когда вирмейкеры используют системные имена, к примеру системных служб Svchost.exe, или, хуже того, не создают новый процесс, а инжектируют код зловреда в легитимный! Если такой процесс завершит часть функций, ОС может стать недоступна или вовсе возникнет RPC-ошибка, приводящая к перезагрузке. Такую фичу использовал небезызвестный червь Blaster. На глаз тут вредоносный процесс, конечно же, не определишь, нужны инструменты посерьезнее.

    На выручку нам придет утилита AVZ, разработанная Олегом Зайцевым. Это не антивирус, но программа содержит в себе набор сигнатур наиболее известных червей, бэкдоров и руткитов.

    [​IMG]
    Основное окно утилиты AVZ

    Поэтому тулза может сканировать оперативную память и детектировать скомпрометированные процессы. Помимо этого, она имеет ряд крутых фич: собственный драйвер для обнаружения руткитов (kernel-mode), кейлоггеров и троянских DLL, прямой доступ к диску для работы с заблокированными файлами на томах NTFS, в том числе помещения их в карантин, анализатор открытых портов TCP/UDP с целью обнаружения RAT, анализатор Winsock SPI/LSP корректности сетевых настроек, анализатор мусорных настроек Internet Explorer, а также модуль проверки целостности системного реестра, BHO, расширений IE и проводника (Explorer) и анализатор всех доступных видов автозапуска.
    [​IMG]
    Опции восстановления системы в AVZ


    [​IMG]
    Просмотр сетевых соединений в AVZ


    Охота на невидимок

    Реальную проблему в борьбе с малварью представляют поиск и обезвреживание руткитов, поскольку они используют особые системные фичи, например перехват и модификация системных функций, подмена запросов и работа в режиме ядра с максимальными привилегиями, что помогает им обойти многие защитные механизмы.

    Ручной поиск тут почти безуспешен, и без специальных утилит нам не обойтись. По некоторым методам работы антируткиты близки к антивирусным движкам, так как могут испробовать сигнатурный и эвристический метод детектирования, но все же не являются антивирусным ПО в привычном понимании. Рассмотрим несколько наиболее известных и широко используемых в практике инструментов.
    • RkUnhooker — одна из самых мощных тулз для обнаружения руткитов и борьбы с другими вредоносами. Позволяет обнаруживать и снимать перехваты таблицы SDT и программного кода, показывает скрытые драйверы, процессы и файлы. Помимо этого, RkUnhooker позволяет убивать файлы, залоченные выполняющимся процессом, в том числе с перезаписью пустыми данными (чтобы предотвратить их повторный запуск). А еще можно снимать дампы процессов из памяти и анализировать их.
    [​IMG]
    Окно с результатами поиска руткитов в RkUnhooker

    • GMER — довольно известная утилита, которая, помимо основной своей функции, включает набор инструментов, таких как мощный редактор реестра, показывающий скрытые ветки, редактор жесткого диска, редактор автозапуска системы. Часто вместе с GMER используют RootRepeal. Эта тулза анализирует все запущенные драйверы и процессы в системе, ищет аномалии и другие особенности, присущие зловредным программам.
    [​IMG]
    Окно с результатами поиска руткитов в GMER

    • UnHackMe — тоже известная тулза для обнаружения и эффективного удаления новых поколений троянов, использующих технологию руткит. Как заявляют разработчики, она имеет уникальные методы детекта. Ищет нежелательные настройки поиска в браузере, проверяет автозапуск на наличие посторонних программ.
    [​IMG]
    Окно с результатами поиска руткитов в UnHackMe

    • HijackThis — небольшая программа для обнаружения и удаления простейших типов вредоносного ПО. Сейчас распространяется по лицензии GPLv2 и принадлежит антивирусной компании Trend Micro.
    [​IMG]
    Окно с результатами поиска руткитов в HijackThis

    • TDSSKiller — отечественный антируткит от «Лаборатории Касперского». Изначально создавался для лечения систем, зараженных вредоносами семейства Rootkit.Win32.TDSS. Сейчас утилита может найти и обезвредить такие известные руткиты, как TDSS, SST, Pihar, ZeroAccess, Sinowal, Whistler, Phanta, Trup, Stoned, Rloader, Cmoser, Cidox, и руткит-аномалии.
    [​IMG]
    Главное окно программы TDSSKiller


    [​IMG]
    Обнаружение руткитов в TDSSKiller

    • SpyDllRemover — эффективный инструмент для обнаружения и удаления шпионских программ из системы. Использует свой алгоритм сканера, который быстро находит скрытые процессы Rootkit, а подозрительные DLL — во всех запущенных процессах. Выводит процессы разными цветами в зависимости от уровня угрозы, что очень помогает идентифицировать вредоносные DLL.
    [​IMG]
    Просмотр подозрительных процессов в SpyDllRemover


    Чистим автозапуск

    Одна из функций малвари — обеспечить себе повторный запуск после выключения или перезагрузки машины. Наиболее часто используемый метод — это прописать исполняемый файл зловреда в автозапуск. Варианты здесь различны: это может быть и подмена пути в ярлыке, уже лежащем в автозапуске по пути %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup, и назначение автоматически выполняемого задания в Планировщике Windows, и создание ключей на автозапуск в системном реестре:
    • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] — программы, которые запускаются только один раз, когда пользователь входит в систему;
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] — программы, которые запускаются при входе текущего пользователя в систему;
    • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] — программы, которые запускаются только единожды при входе текущего пользователя в систему.
    Что у нас есть из тулз для этого случая? Первое — это программа Autoruns, которая позволяет управлять автозагрузкой в Windows. С ее помощью можно увидеть все программы, службы, драйверы и командные файлы, которые будут запускаться вместе с системой, а при необходимости — отключить их.

    [​IMG]
    Главное окно утилиты Autoruns

    Скажем пару слов об интерфейсе и вкладках:
    • Everything — отображает все файлы, которые будут запускаться автоматически при загрузке Windows;
    • Logon — содержит все программы, которые будут запускаться автоматически;
    • Explorer — автозапуск всех элементов проводника Windows;
    • Internet Explorer — все надстройки и дополнения, которые установлены в Internet Explorer;
    • Scheduled Tasks — процессы, которые запускаются автоматически из диспетчера задач;
    • Services — файлы служб, автоматически запускаемые при загрузке машины;
    • Drivers — все файлы, относящиеся к драйверам.
    Восстанавливаем реестр

    Реестр Windows, начиная с самых первых версий ОС, остается критически важным компонентом системы, по сути представляя собой базу данных для хранения различных параметров и настроек рабочего окружения, установленного ПО и самой Windows. Логично, что нарушение работы реестра или его повреждение грозит неработоспособным состоянием ОС. Сам реестр, который открывается штатной утилитой regedit, физически представлен несколькими файлами, хранящимися по пути %SystemRoot%\System32\config\. Это файлы с именами SYSTEM, SOFTWARE, SECURITY, SAM, DEFAULT без расширений и доступные только для системных процессов NT AUTHORITY\SYSTEM, LocalSystem. Но если реестр открывать через штатный редактор, то эти файлы предстанут в виде большого иерархического дерева.

    Первое, что приходит на ум, — это, конечно же, сделать бэкапы этих файлов и при необходимости просто заменить битые на резервные копии. Но из-под загруженной ОС простым копированием выполнить это не удастся, а экспорт данных с использованием regedit может получиться неполноценным. Поэтому рассмотрим инструменты, которые помогут нам в этом деле.

    Штатные инструменты Windows для восстановления реестра

    «Из коробки» Windows, к сожалению, не имеет отдельного инструмента, позволяющего делать резервные копии реестра. Все, что может дать система, — это функциональность морально устаревшей NTBackUp родом из эпохи Windows XP / 2003 Server или в новых ОС Windows 7, 8, 10 ее реинкарнацию в виде «программы архивирования и восстановления Windows», предлагающей создать целиком образ системы (всей системы — не реестра!). Поэтому рассмотрим лишь небольшой пример действий в консоли восстановления, позволяющих восстановить реестр вручную. По сути это операции замены битых файлов на инфицированной системе оригинальными файлами реестра из заранее сделанной резервной копии.

    [​IMG]
    Интерфейс утилиты NTBackUp

    Загрузившись в Live CD режиме с установочного диска или с локально установленной консоли восстановления (для XP/2003), необходимо выполнить следующие команды, описанные самой Microsoft:
    Код:
    // Создаем резервные копии реестра системы
    md tmp
    copy c
    :\windows\system32\config\system c:\windows\tmp\system.bak
    copy c
    :\windows\system32\config\software c:\windows\tmp\software.bak
    copy c
    :\windows\system32\config\sam c:\windows\tmp\sam.bak
    copy c
    :\windows\system32\config\security c:\windows\tmp\security.bak
    copy c
    :\windows\system32\config\default c:\windows\tmp\default.bak

    // Удаляем битые файлы из системной директории ОС
    delete c:\windows\system32\config\system
    delete c
    :\windows\system32\config\software
    delete c
    :\windows\system32\config\sam
    delete c
    :\windows\system32\config\security
    delete c
    :\windows\system32\config\default

    // Копируем работоспособные файлы реестра из теневой копии
    copy c:\windows\repair\system c:\windows\system32\config\system
    copy c
    :\windows\repair\software c:\windows\system32\config\software
    copy c
    :\windows\repair\sam c:\windows\system32\config\sam
    copy c
    :\windows\repair\security c:\windows\system32\config\security
    copy c
    :\windows\repair\default c:\windows\system32\config\default
    Все, перезагружаем машину и смотрим на результат!


    Продвинутые методы восстановления реестра

    Как мы выяснили, у Windows нет достойного инструмента управления реестром. Поэтому посмотрим, что же нам могут предложить сторонние производители.

    • Registry Backup представляет собой бесплатную утилиту резервного копирования, которая использует службу Windows Volume Shadow Copy Service для резервного копирования системного реестра. Позволяет создавать резервную копию и восстанавливать из нее реестр.

    • WinRescue — программа не бесплатна, но нам все же хотелось бы о ней рассказать. Основная ее функция — полное восстановление операционной системы Windows в случае ее крушения. Помимо этого, она позволяет делать резервные копии важных системных файлов и других пользовательских данных. Несмотря на устаревший интерфейс в стиле девяностых, софтина хорошо справляется со своими обязанностями.
    [​IMG]
    Интерфейс утилиты WinRescue for Windows 7

    • ERUNT — возможности данной программы весьма обширны. Тулза позволяет восстанавливать реестр независимо от работы ОС. После запуска программы следует указать разделы реестра, которые нужны для сохранения в backup-файле, и подождать, пока утилита выполнит все необходимые действия. Для восстановления, к примеру, незагружающейся Windows 7 понадобится внешний аварийный загрузочный диск — тот же BartPE или Alkid Live CD. Но также можно использовать и среду восстановления. В этих случаях программа должна быть заранее установлена на жестком диске, а резервная реестра копия реестра уже создана. Бэкап реестра неплохо описан в этом мануале.
    [​IMG]
    GUI-интерфейс утилиты ERUNT


    Береженого MBR бережет

    Теперь мы поговорим о MBR. Ты помнишь, что это вообще такое? Чересчур углубляться в теорию не станем. В двух словах, MBR (master boot record) — это набор кода и данных, необходимых для первоначальной загрузки операционной системы с жесткого диска. Поэтому MBR в русскоязычном варианте часто называют просто загрузочными секторами. MBR указывает переход в тот раздел жесткого диска, с которого следует исполнять дальнейший код, в нашем случае — загружать ОС.

    Почему нам это важно? Да потому, что малварь еще с эпохи MS-DOS девяностых годов умела инфицировать не только исполняемые файлы, но и загрузочные сектора, обеспечивая таким образом себе запуск при старте системы. Для защиты от подобного вида атак в BIOS даже появилась специальная опция Boot Virus Detection, позволяющая защитить загрузочный сектор жесткого диска от изменений на уровне микрокода базовой системы ввода-вывода. Если алгоритм зловреда содержал ошибки, то MBR повреждался, и загрузка системы становилась невозможной. Но существовали и зловреды, которые специально могли потереть загрузочные сектора.

    Дело в том, что MBR находится в «невидимой области» жесткого диска и не всеми стандартными средствами резервирования можно сделать его бэкап.


    Фиксим MBR в консоли

    В эпоху Windows XP для восстановления системы без переустановки часто использовалась консоль восстановления. Ее можно было проинсталлировать на хард и выбирать как вариант запуска при загрузке машины или запускать с установочного диска данной ОС. Консоль выручала, когда при загрузке появлялось сообщение NTLDR is missing или были побиты системные файлы bootfont.bin, ntbootdd.sys, ntdetect.com и boot.ini. Независимо от причины в консоли подряд прописывались команды

    Fixmbr
    Fixboot


    Команда fixmbr позволяла найти и автоматически исправить ошибки в MBR. Команда fixboot помечала раздел как bootable, прописывала загрузчик ntloader в boot-сектор, копировала на раздел необходимые системные файлы и генерировала файл boot.ini. При следующем старте система, как правило, возвращалась в работоспособное состояние.

    [​IMG]
    Вызов справки по командам восстановления MBR в консоли восстановления Windows


    Продвинутые средства для восстановления MBR

    Универсальным вариантом защиты MBR станет создание его резервной копии и при необходимости восстановление ее на боевую систему. Поскольку, как мы уже говорили, загрузочные сектора недоступны для редактирования из-под работающей ОС, необходимо воспользоваться специальными инструментами.

    Comodo Backup — бесплатная утилита, предназначенная для того, чтобы создавать образы хардов, их разделов и, конечно же, MBR. Нас в данном случае будет интересовать именно MBR.

    [​IMG]
    Окно мастера резервного копирования в Comodo Backup

    Итак, запускаем тулзу в режиме Live CD, выбираем опцию бэкапа mbr, далее место сохранения, и наша резервная копия готова! Если на инфицированной машине будет поврежден загрузчик, мы можем просто его восстановить, операция занимает всего несколько минут.

    Если ты юзаешь Linux в качестве ОС, то можешь воспользоваться встроенными утилитами, имеется неплохой гайд по бэкапу MBR под Linux на примере Ubuntu.

    Путь от MBR до UEFI и GPT

    В 2010 году на смену много лет существовавшей классической BIOS пришла новая технология, получившая название UEFI, а вместе с ней и изменения процесса загрузки, подталкивающие нас отказываться от MBR и использовать GPT. UEFI — это, по сути, обертка или интерфейс между ОC и микрокодом, вшитым в чипы материнской платы. Поэтому UEFI при инициализации загрузки использует не классический MBR, а GPT. В теорию вопроса мы опять же не полезем, для тех, кто хочет побольше узнать, есть материал «Сравнение структур разделов GPT и MBR».

    Поскольку структура GPT отличается от структуры классического MBR, сохранить его описанным выше способом не удастся. Выходом станет создание цельного образа системы, например штатной утилитой «Резервное копирование и восстановление данных Windows», бесплатным набором из Paragon Backup & Recovery Free Edition или коммерческой программой Acronis True Image. Но более подробно о том, как сделать бэкапы системы, мы поговорим чуть ниже.

    Спасение системных файлов

    Нередко малварь из-за содержащихся в ней ошибок или сопротивляясь лечению повреждает некоторые системные файлы, что приводит ОС в неработоспособное состояние. Переустановка ОС в данном случае не наш выбор, так как это займет гораздо больше времени и, что немаловажно, затрет настройки ПО и прочую ценную информацию. Поэтому восстанавливать систему нужно точечными действиями, то есть именно в тех местах, где она была повреждена.

    Проверка и восстановление системных файлов Windows

    Штатная утилита SFC.EXE (System Files Checker) существует во всех версиях Windows, начиная еще с Windows 2000, и предназначена она для проверки состояния и восстановления системных файлов. Механизмы защиты важных системных файлов (обычно исполняемых *.exe, файлов библиотек *.dll и *.sys-файлов драйверов) проверяют целостность указанных файлов и, если те повреждены или отсутствуют, восстанавливают их до состояния по умолчанию.

    На практике проверить целостность системных файлов Windows можно с помощью команды консоли

    sfc /scannow

    Но у sfc /scannow может не получиться исправить ошибки в системных файлах. В этом случае, как вариант, ты можешь ввести в командной строке

    findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfc.txt"

    Эта команда создаст текстовый файл sfc.txt на твоем рабочем столе со списком файлов, исправить которые не удалось. Ты можешь его просмотреть и при необходимости вручную скопировать нужные файлы с другого компьютера с той же версией Windows или с оригинального дистрибутива ОС.

    [​IMG]
    Окно консоли Windows с результатами выполнения команды sfc

    Наиболее критичные системные файлы:
    • Ntoskrnl.exe — файл ядра операционных систем семейства Windows NT;
    • Hal.dll, или слой аппаратных абстракций, реализованный в системном ПО, находится между физическим уровнем аппаратного обеспечения и программным обеспечением, запускаемым на этом компьютере;
    • kernel32.dll — динамически подключаемая библиотека, ядро всех версий ОС Microsoft Windows. Содержит базовые APIWin32, такие как управление памятью, операции ввода-вывода, создание процессов и потоков и функции синхронизации;
    • NTLDR, а чуть позднее IA64ldr и Winload — загрузчик операционных систем Windows NT;
    • ntdetect.com — компонент операционных систем Microsoft семейства Windows NT, который используется в процессе запуска Windows NT до версии 6.0.
    Накатим драйверы по-быстрому

    Малварь может инсталлировать в систему свои драйверы, к примеру для перехвата данных, введенных с клавиатуры, или для скрытия следов своего присутствия в инфицированной системе. Таким образом, она может удалить оригинальный драйвер или некорректно попытается его пропатчить. Поэтому сейчас речь пойдет о том, как по-быстрому восстановить оригинальное состояние работающих в системе драйверов. Лучшим вариантом будет создать эталонный набор драйверов, инсталлированных в работающей системе, и при необходимости не ковырять каждый по отдельности, а восстановить их все разом. Для этого воспользуемся несколькими тулзами.

    • SlimDrivers — это одна из лучших программ для работы с драйверами. Софтинка позволяет искать и обновлять любые драйверы, восстанавливать их из резервных копий.
    [​IMG]
    Окно утилиты SlimDrivers

    • Double Driver — довольно маленькая бесплатная утилита для создания резервных копий драйверов. Все, что нам нужно сделать, — это архив с драйверами с оригинальной системы, сохранить архив в надежном месте и, открыв в той же программе, восстановить их обратно в систему. Все!
    [​IMG]
    Окно утилиты Double Driver


    Фиксим проводник и другие ошибки системы

    Даже после восстановления работоспособности системы и удаления малвари из ОС могут остаться неприятные следы — последствия инфицирования. К примеру, может пропасть ассоциация файлов с нужной программой, будет заблокирован штатный диспетчер задач Windows, недоступен редактор реестра (regedit), невозможно будет открыть панель управления. Что же с этим делать? Практически все изменения обратимы. Конечно, можно самостоятельно вручную копаться в реестре, искать нужные ключи конфигурирования и восстанавливать их, прописывая значения по умолчанию, но мы обратимся за помощью к специальным тулзам, заточенным под это дело. Итак, встречай!
    • Fix for Windows — сборник универсальных фиксов и патчей для операционных систем Microsoft Windows. Утилита под одним капотом объединяет несколько блоков проблем, которые могут возникнуть, например фиксы разложены по категориям Boot, Speed, Desktop, LAN, Other и так далее. Переходя от одной категории к другой, можно ставить чеки напротив тех параметров, которые ты хочешь привести в порядок, например исправление проблемы с кодировкой и шрифтами, восстановление языковой панели, включение/отключение UAC, включение отображения скрытых файлов.

    • Microsoft Easy Fix — бесплатная нативная утилита для устранения неполадок Windows, препятствующих нормальной работе операционной системы. Данный инструмент поможет выявить и решить самые распространенные проблемы с программным обеспечением Microsoft и сторонних разработчиков, влияющие на штатную работу системы.
    [​IMG]
    Окно утилиты Microsoft Easy Fix

    • FixWin 10 — бесплатная программа, которая позволяет автоматически исправить многие надоедливые ошибки, а также решить другие проблемы с Windows, типичные не только для «десятки». Тулза позволяет решать следующие проблемы с помощью подпрограмм с говорящими названиями:
      • File Explorer — борется с ошибками проводника (не запускается рабочий стол при входе в Windows, ошибки WerMgr и WerFault, не работает CD- и DVD-привод и другие);
      • Internet and Connectivity — сетевые проблемы (сброс DNS и протокола TCP/IP, сброс файрвола, сброс Winsock и подобное);
      • System Tools — ошибки при запуске системных инструментов Windows, например диспетчер задач, командная строка или редактор реестра были отключены администратором системы, отключены точки восстановления, настройки безопасности сброшены на настройки по умолчанию.
    [​IMG]
    Окно утилиты FixWin 10

    • Windows Repair Portable Free — бесплатный и легко переносимый инструмент для устранения различных неисправностей системы. Тулза позволяет восстанавливать параметры Windows к их значениям по умолчанию, что во многих случаях помогает исправить большинство неполадок, к примеру такие ошибки, как неверные права доступа к файлам, проблемы с Windows Update, штатным файрволом, и многое другое.

    Запускаем сеть по-новому

    Исходя из заложенных в нее алгоритмов, малварь может манипулировать сетевыми настройками системы, изменяя маршрутизацию трафика, подделывать разрешение DNS-имен и тому подобное. Соответственно, в этих условиях нескорые хосты, веб-сайты и облачные сервисы могут стать недоступны или работать некорректно. Также код малвари может содержать ошибки, некорректно отрабатывать, что в конечном счете способно полностью положить нашу сеть.

    Восстанавливаем hosts

    Больше всего на свете малварь любит манипулировать с файлом hosts, который находится в системной директории по пути %SystemRoot%\system32\drivers\etc\hosts. По сути, это обычный текстовый файл, содержащий локальную базу данных доменных имен и используемый при их трансляции в сетевые адреса. При разрешении имени удаленного хоста или веб-сайта запрос к этому файлу имеет приоритет перед обращением к DNS-серверам, прописанным в настройках сетевой карты. Малварь редактирует этот файл таким образом, чтобы все сайты разработчиков антивирусного ПО оказались недоступными вместе с репозиториями, содержащими обновленные антивирусные сигнатуры.

    Другой кейс — это использование данного файла с целью фишинга, то есть перенаправления с IP-адресов легальных ресурсов, таких как социальные сети, онлайн-банк, на их поддельные аналоги. Но и решение данной проблемы тоже довольно простое. Достаточно будет заменить измененный hosts на оригинальный файл, к примеру взятый из резервной копии, или даже вовсе заменить его пустым файлом, не содержащим записей, но имеющим указанное имя и располагающимся по указанному пути. Кстати, нелишне было бы проверить, где hosts должен лежать в данном экземпляре системы, поскольку любое значение по умолчанию можно изменить. Точный путь расположения файла можно узнать в ключе реестра по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\DataBasePath.

    Восстанавливаем работу сетевых служб

    Второе, на что стоит обратить внимание при восстановлении работоспособности сети, — это состояние запущенных сетевых служб Windows. Есть случаи, когда зловред намеренно останавливает сетевую службу или ставит ее на паузу для собственных манипуляций, а после не успевает перезапустить или делает это с ошибкой. В результате у нас блокируется обмен сетевым трафиком. Вариантов тут несколько.

    Можно зайти через «Панель управления → Администрирование → Службы» или по-быстрому запустить ту же самую консоль через Win + R, написав services.msc. Мы видим список всех служб Windows, нас в данном случае интересуют только несколько сетевых:
    • DHCP-клиент;
    • DNS-клиент;
    • веб-клиент;
    • автонастройка WWAN;
    • агент политики IPsec (если у тебя прокинуты VPN-сессии);
    • брандмауэр Windows (если используется штатный файрвол);
    • локатор удаленного вызова процедур (RPC);
    • маршрутизация и удаленный доступ (ты знаешь об этом, если тебе это реально нужно).
    Эти службы должны находиться в состоянии «Запущены/Работают». Если это не так, то можно щелкнуть по каждому указанному элементу, провалиться в отдельное окно, где, нажав на соответствующую кнопку, запустить или перезапустить сервис.

    Ну и настоящий профессиональный вариант — это работа в консоли. Открываем CMD, пишем в нем net start или net start | more и видим, какие службы сейчас запущены.

    Чтобы запустить службу, тут же из консоли достаточно набрать net start <имя службы>. Помнить названия всех служб необязательно, достаточно будет посмотреть подробное инфо с помощью команды sc query type= service state= all или глянуть готовый список тут.

    Из консоли любую службу можно запустить по команде net start <имя службы>, например стартануть DNS можно так:

    net start DNS

    Итак, службы мы наладили, но сеть по-прежнему недоступна или работает с перебоями? Идем дальше!

    Правим маршрутизацию и проверяем порты

    Малварь может прописывать динамические маршруты в локальную таблицу маршрутизации Windows и менять таким образом обмен сетевым трафиком с другими хостами. Например, если наша машина получает все сетевые настройки по DHCP-протоколу, в случае его некорректной работы мы останемся без интернета. Придется снова лезть в консоль!

    Чтобы удалить новые маршруты и вернуть таблицу маршрутизации к исходному виду, набираем соответственно

    route print
    route delete *


    Иногда этого может оказаться мало и приходится сбрасывать настройки к значениям по умолчанию. Вводим команды

    netsh interface reset all
    netsh winsock reset
    netsh firewall reset
    netsh winhttp reset proxy


    Эти команды перезаписывают ключи в реестре на значения по умолчанию (как после переустановки винды):

    SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
    SYSTEM\CurrentControlSet\Services\DHCP\Parameters


    В случае если сетевые настройки машина получает по DHCP, пригодятся следующие команды. Если, например, DNS-сервер не отвечает или не удается найти DNS-адрес сервера, то можно выполнить только сброс DNS такой командой:

    ipconfig /flushdns

    Если не помогает, можно пойти на более радикальные меры, выполнив

    ipconfig /release
    // подождать несколько секунд или минут
    ipconfig /renew


    Эти команды полностью обновят конфиг сети, выданный твоей машине локальным DHCP-сервером.

    Теперь нужно сказать о портах, то есть тех интерфейсах, через которые, по сути, и идет обмен пакетами. Может статься, что малварь залочила какой-то важный системный порт или прослушивает один из свободных на предмет команд, приходящих из внешней сети. Список наиболее важных системных портов довольно короткий, его можно просто запомнить:
    • SSH 21;
    • DNS и DHCP 53,67, 68;
    • email 25;
    • web 80, 81;
    • RPC 135, 443, 445.
    Полный же список сетевых портов можно глянуть в любом справочнике. В большинстве операционных систем состояние сетевых служб можно посмотреть при помощи команды

    netstat -an


    Ключи команды netstat:
    • -a — отображать все соединения и используемые порты;
    • -o — отображать числовой идентификатор процесса, отвечающего за конкретное соединение (Process ID, или попросту PID);
    • -n — указывает утилите netstat отображать реальные IP-адреса и цифровые значения портов вместо их DNS-имен.
    В выводе можно увидеть состояние, в котором находится соединение:
    • Established — соединение установлено (то есть кто-то к тебе подключился или ты к кому-то подключился);
    • Listening — компьютер ожидает подключения по этому порту, то есть какая-то программа (процесс в памяти) слушает обращение на этот порт;
    • Time_wait — программа, которая прослушивает порт, ожидает прихода пакета, чтобы перевести порт в одно из состояний, либо на порт долго не было обращений и по тайм-ауту программа готовится его закрыть.
    В выводе мы видим большой листинг, содержащий IP-адреса и состояние порта. К сожалению, ассоциации с процессом в памяти здесь нет, поэтому приходится прояснять это вручную. Через знак : мы видим, какой процесс привязан к этому IP-адресу (то есть открыт порт, установлено соединение). Теперь нужно найти этот PID в листинге процессов командой tasklist | find "3104" и в выводе определить, какое приложение использует этот сетевой поток. Либо можно чуть упростить задачу — если тебе претит tasklist, можно воспользоваться системным диспетчером задач. Запусти его, нажав Ctrl + Shift + Esc, перейди на вкладку «Процессы». В меню «Вид» выбери пункт «Выбрать столбцы» и отметь столбец PID. Нужный процесс можно найти по значению этого столбца.

    Если не хочешь работать в консоли, для графического вывода можно воспользоваться утилитами Process Explorer, TCPView, Nirsoft CurrPorts.

    [​IMG]
    Окно утилиты TCPView


    [​IMG]
    Окно утилиты Nirsoft CurrPorts

    Список сетевых служб и соотносящихся с ними резервированных портов для NT-шных систем можно посмотреть в файле %SystemRoot%\system32\drivers\etc\services — это тоже по сути текстовый файл без расширения, который доступен к просмотру любым блокнотом.

    И напоследок для всего из описанного выше, что мы делали руками, можно использовать тулзы, к примеру WinSock XP Fix. Данная утилита восстанавливает ключи реестра сетевых настроек системы со значениями по умолчанию. Помимо этого, она также:
    • проверяет файл hosts на правильность указателя localhost (обязан ссылаться на адрес 127.0.0.1);
    • создает бэкап текущих системных установок (по желанию пользователя);
    • отключает все сетевые адаптеры и переустанавливает их параметры.
    [​IMG]
    Окно утилиты WinSock XP Fix

    Нативная тулза с графическим интерфейсом Microsoft Easy Fix, о которой мы говорили, выполняет то же самое, что и команды netsh int ip reset и netsh winsock reset. Аналогична ей тулза Reset TCPIP, которая выполняет все описанные комбинации консольных команд под одним GUI.

    NetAdapter Repair — еще одна хорошая бесплатная тулза предназначена для исправления самых разных ошибок, связанных с работой сети и интернета в Windows. Краткий список ее возможностей:
    • очистить и исправить файл hosts;
    • включить Ethernet и беспроводные адаптеры сети;
    • сбросить Winsock и протокол TCP/IP;
    • очистить кеш DNS, таблицы маршрутизации, очистить статические IP подключений;
    • перезагрузить NetBIOS.
    Live CD как спасательный круг

    И, продолжая нашу тему, мы просто не могли пройти мимо рассказа о Live CD сборках, предназначенных для восстановления системы. Изначально Livе CD позиционировался как инструмент для выполнения административных задач: подготовки жесткого диска, оперативного получения доступа к данным, хранящимся на дисках, и так далее. Сейчас же Live CD напоминают скорее универсальный спасательный круг для реанимации системы в случае различных падений, в том числе и после вирусной атаки. Главное их достоинство заключается в том, что все инструменты собраны под одним капотом и могут работать параллельно. Но есть и недостаток: чтобы загрузиться в Live CD режиме, нужно перезагружать машину, что в некоторых случаях для нас недопустимо.

    Все известные антивирусные разработчики имеют бесплатные загрузочные диски для восстановления системы. Мы кратенько по ним пробежимся, но углубляться в детали не станем — мы же договорились в начале нашего материала, что будем использовать только те инструменты, которые не являются антивирусным ПО в чистом виде.


    Live CD от вендоров антивирусного ПО
    • Kaspersky Rescue Disk — как ты уже понял, это аварийный Live Disk на базе Gentoo Linux от российского вендора «Лаборатория Касперского». Среда восстановления содержит браузер, файловый менеджер, редактор системного реестра Windows. Помимо этого, есть возможность обновления антивирусных баз антивируса Kaspersky.
    • Dr.Web Live CD — Live CD от компании Dr.Web, построенный на базе Gentoo Linux. В числе инструментария Dr.Web Live CD — средство диагностики оперативной памяти, утилита для правки системного реестра, обновление антивирусных баз, доступ к интернету через браузер Mozilla Firefox, два файловых менеджера и антивирусное средство (утилита Dr.Web CureIt!).
    • Avira Antivir Rescue System — Live CD от немецкого производителя. Дас ист гут! Позволяет получить доступ к данным в файловом менеджере, содержит редактор реестра Avira Registry Editor и пускает тебя в интернет через Mozilla Firefox. С помощью встроенной TeamViewer позволяет устанавливать удаленное подключение, а посредством GParted — перераспределять дисковое пространство.

    Универсальные Live CD сборки
    • Hiren’s BootCD — это диск, в котором собрано множество различных программ, в том числе и работающих в режиме DOS. Комплект поставки Hiren’s BootCD предусматривает не только непосредственно ISO-образ загрузочного диска, но и утилиту для его записи на оптический диск, а также утилиту HBCDCustomizer для создания образов загрузочных дисков с пользовательским содержимым.
    • SystemRescueCd — известная универсальная среда восстановления, созданная на базе дистрибутива Gentoo Linux. Содержит инструменты для работы с жестким диском — разбивки на разделы, диагностики, сохранения и восстановления разделов. Умеет монтировать разделы Windows NTFS для чтения и записи. Содержит также средства для настройки сети, сетевых сервисов, средства поиска руткитов и антивирус.
    • Alkid Live CD and USB — навороченный и потому универсальный загрузочный диск для восстановления системы, построенный на базе Windows XP. Работает с любых носителей — CD, флешек, USB-HDD и других. Содержит набор свежих антивирусов, утилит для работы с дисками и образами, бэкапа и поднятия системы, восстановления потерянной информации и паролей, создания новых администраторских учетных записей, возврата на точки отката и многого другого.
    Как не заразиться: главные советы

    Не используй права локального администратора. Включи UAC
    Это банально, но мы будем повторять эти простые истины до тех пор, пока хотя бы 15% пользователей не воспримут их как руководство к действию.

    Следи за обновлениями системы и своевременно накатывай security update


    Вот они, наши старые и новые друзья: WannaCry, Petya, Conficker и (новый) Bad Rabbit.

    Все они активно используют уязвимости как системного ПО, так и прикладных программ. Обнови прикладное ПО. Особенно браузер. Помни, что малварь использует уязвимости не только системы, но и веб-движков или их компонентов.

    Кстати, если ты считаешь этот совет глупым, вот тебе информация к размышлению: где-то поблизости существуют люди (десятки тысяч людей), у которых на компе гнездится софт с уязвимостями десятилетней (!) давности.

    Как показывает неумолимая статистика, дыры в ПО, найденные еще много лет назад, могут быть до сих пор не исправлены, в Windows 10 можно эксплуатировать баг, обнаруженный аж в 1997 году. Не лучше дела обстоят и с браузерами и мобильными платформами.


    Прокачай свой браузер

    Настрой правильно

    Полезной опцией браузера может оказаться «Предупреждать о небезопасных сайтах», которая при переходе на подозрительный (ломанный или инфицированный) сайт обязательно тебе сообщит об этом. Точно так же браузер уведомит, если на сайте используется незащищенный протокол HTTP вместо безопасного HTTPS. Браузер может и сравнить пароли при создании их в веб-формах и напомнить, как нехорошо юзать один и тот же пасс для всех подряд сервисов.

    Неплохой гайд по настройкам безопасности для различных браузеров можно посмотреть тут. А вот тут приведены примеры усиленных настроек безопасности для последней на сегодня 11-й версии Internet Explorer.

    Долой скрипты

    Для защиты браузера нам нужно минимизировать количество скриптов, которые могут выполняться, например отключить выполнение Java. Хорошим подспорьем станут блокировщики рекламы, баннеров и всплывающих окон, такие, например, как AdBlock, Adblock Plus.

    Установи дополнения

    Полезные расширения браузера помогут обезопасить машину от потенциального заражения. Перечислим расширения для трех самых популярных во всем мире браузеров: Chrome, Opera и, конечно же, Internet Explorer, поскольку многие еще до сих пор сидят на прежних версиях Windows, в которых IE идет по умолчанию.

    Для Chrome
    • AdBlock — популярный фильтр навязчивой и не очень баннерной рекламы. Часто на зараженных сайтах вредоносный код может содержаться в неприметных баннерах и ссылках, замаскированных под всплывающие окна. AdBlock от всего этого избавит.
    • Flash Block — некоторые сайты используют Flash для «творческого» сбора кукисов и отслеживания твоих действий. Установка Flash Block даст тебе ручной контроль над страницами — позволять загружать Flash-контент или нет, решаешь ты.
    • ScriptSafe — крайне полезное дополнение, созданное для контроля над сайтами, использующими JavaScript-код.
    • BugMeNot — часто сталкивался с тем, что нужно оставить свой почтовый ящик при регистрации для доступа к сайту или форуму или просто чтобы прочитать статью? BugMeNot предоставляет безопасную и анонимную альтернативу.
    • KB SSL Enforcer — дополнение, форсирующее использование Secure Socket Layer (SSL).
    • WOT (Web of Trust) — целый набор инструментов для безопасного серфинга. Умеет также предупреждать о сайтах группы риска, которые обманывают клиентов, рассылая вирусы или спам.
    Для Opera
    • HTTPS Everywhere — расширение, которое переопределяет запросы к сайтам и принудительно активирует HTTPS. Решение зашифровывает соединения с сайтами, делая серфинг в интернете безопаснее.
    • Avira Browser Safety — веб-фильтр Avira для браузера, включающий безопасный поиск, безопасный просмотр сайтов, защиту от слежения и блокировщик рекламы на базе Adguard.
    • McAfee WebAdvisor — бесплатный плагин от Intel Security, обеспечивающий защиту от вредоносных, фишинговых и мошеннических сайтов и вредоносных загрузок.
    • uMatrix — интерактивный блокировщик любых типов запросов браузера. Позволяет запретить загрузку скриптов, фреймов, плагинов, рекламы и прочего.
    • Netcraft Extension — расширение, которое обеспечивает защиту от фишинга, онлайн-мошенничества, межсайтового скриптинга во время серфинга в интернете и предоставляет комплексную информацию о посещаемых веб-сайтах.
    Для IE
    • LastPass — парольный менеджер. LastPass предлагает такую же функциональность, как его аналоги в виде отдельно устанавливаемого на комп приложения, включая генерацию и безопасное хранение паролей.
    • Web of Trust предупреждает, если сайт потенциально опасен для посещения.
    • FavBackup — инструмент для резервного копирования и восстановления профиля настройки Internet Explorer.
    Не удивляйся тому, что мы включили сюда IE, — пользоваться этим глубоко уязвимымбраузером мы никому не советуем, но он до последнего времени фигурировал как обязательный в некоторых системах ДБО.

    Используй VPN

    Помимо очевидной анонимности, VPN полезна еще и тем, что в случае перехвата трафика не даст хакеру заполучить то, что он намеревался. Если говорить о бесплатных VPN-сервисах, то можно юзать OpenVPN в качестве клиента, а настройки для подключений брать на сайте FreeVPN. Но, если честно, у нас у всех VPN купленный, а к халявному VPN мы бы стремиться не советовали.

    Вот интересные коммерческие VPN-сервисы:
    • Private Internet Access — один из крутейших VPN-сервисов в России, судя по количеству наград, которые он получил. Фишка PIA в том, что он обеспечивает не только шифрование трафика, но и анонимизацию с отвязкой от регионального расположения. На выбор пользователя доступно порядка тысячи серверов, расположенных в десяти разных странах. Притом PIA не хранит логи, не запрещает никакие протоколы и IP-адреса и не хранит у себя информацию о действиях пользователей. Стоимость услуг начинается с семи долларов в месяц. Возможно подключение до пяти различных устройств.
    • CyberGhost VPN — давно хорошо зарекомендовавший себя VPN-сервис, который, как и остальные участники рейтинга, заявляет об отсутствии логов и ограничений на типы протоколов и проходящий трафик. На твой выбор сотни серверов из 23 стран мира. Стоимость услуги начинается с семи долларов в месяц; если требуется подключить больше одного устройства, нужно будет доплатить.
    • ZenMate — прославленный VPN-сервис, включающий множество функций и возможностей: шифрование трафика с помощью AES-128, встроенное ускорение серфинга по сайтам, высокоскоростные серверы, расположенные по всему миру. Стоимость от пяти долларов в месяц, пробный период — семь дней.
    Это лишь несколько примеров VPN-серверов. Можешь посмотреть рейтинг и выбрать сам.

    Используй секьюрный DNS

    Неплохо бы прописать в конфиге своего роутера или сетевой карты использовать DNS-серверы, фильтрующие опасный контент:
    • Яндекс.DNS с IP-адресами
      77.88.8.88
      77.88.8.2

    • Cisco OpenDNS
      208.67.222.222
      208.67.220.220

    • Norton ConnectSafe, поддерживаемый компанией Symantec
      199.85.126.10
      199.85.127.10
    Зачисть подключаемые устройства и победи автозапуск

    Победить проблему autorun.inf стоило еще несколько лет назад, поэтому навсегда отключи у себя автозапуск.

    Все чужие флешки лучше проверять в чистой зоне виртуальной машины или монтировать запоминающий том в Linux, которой они не страшны. Чужие флешки — реальное зло, заражены они, как мне кажется, в 80% случаев.

    Настрой файрвол

    Грамотно настроенный брандмауэр поможет снизить площадь атаки: закроет неиспользуемые порты, разорвет нецелевые TCP/UDP-сессии и будет контролировать приложения, которые стучатся в сеть изнутри. Линуксоиды традиционно уважают iptables, настраивать которую можно как в консоли, так и используя привычный многим GUI-интерфейс. В Windows есть встроенный брандмауэр, можно настраивать его через штатную панель или использовать более гибкую GUI-надстройку Windows Firewall Control.


    Забудь про вложения и непонятные ссылки

    Тут и говорить нечего. Если очень интересно — открывай на виртуальной машине с «Линуксом» :). Проверить, находится ли сайт в черном списке и есть ли на нем опасные редиректы и подозрительные скрипты, можно, например, используя бесплатные онлайн-сканеры Sucuri, ReScan.pro и всем известный и хорошо зарекомендовавший себя VirusTotal.


    За что бьют сисопа? За отсутствие бэкапа. Тебя это тоже касается

    Коммерческие бэкап-решения сейчас у всех на слуху, они обладают впечатляющими возможностями, включая даже защиту информации от шифровальщиков и механизмы резервного копирования информации в твоих соцсетях. Бесплатные решения не столь удобны, но и они все еще живее всех живых.
    • Clonezilla — это полностью бесплатное программное обеспечение с открытым исходным кодом. Данная софтинка реализована по принципу пошагового мастера и работает почти в текстовом режиме, без графического интерфейса. Программа отлично подходит для клонирования дисков и отдельных разделов жесткого диска, а также создания резервных копий и аварийного восстановления системы.
    • Paragon Backup & Recovery 16 Free Edition — набор утилит от известного разработчика Paragon Software, позволяющих создавать, форматировать, удалять разделы, прятать или открывать их, назначать букву и менять метку тома, выполнять проверку целостности файловой системы. Отдельно стоит отметить, что резервирование данных может быть выполнено в так называемый капсюль, то есть в скрытый раздел, который невозможно смонтировать и увидеть в операционной системе.

    Outro

    Современная малварь использует все возможные способы и уязвимости, чтобы инфицировать систему жертвы. Поэтому и для борьбы с ней необходимо привлекать микс всех техник противодействия, приведенных в настоящем материале. С одним инструментом эффективность будет низкой — только вооружившись всем арсеналом, ты получаешь реальный шанс дать достойный отпор зловредам!