Potřebujete vyčistit počítač po bezpečnostním incidentu? Máme pro vás několik tipů a triků, díky kterým poběží jako dobře promazaný stroj.
I běžní počítačoví uživatelé a uživatelky si dobře uvědomují, jak důležitá je pravidelná údržba pro bezproblémové fungování jejich stolního počítače či notebooku. To obvykle znamená odinstalovat nepoužívané aplikace, vymazat adresáře dočasných souborů a cache (mezipaměť) webových prohlížečů, pevný disk podrobit defragmentaci (pro uživatele HDD) a řadu dalších kroků.
Jak se tato údržba a potřeba vyčištění PC mění v okamžiku, kdy počítač infikuje vir nebo napadnou škodlivé kódy? Sofistikovaný škodlivý kód může způsobit nepořádek v systémovém registru, úložišti nebo dokonce v paměti. Je tak dobré provést kontrolu po incidentu, abyste předešli budoucím problémům.
Co všechno můžou hackeři poškodit?
Nejprve to nejdůležitější: Pravděpodobně nejlepším způsobem, jak žít bez malwaru, je prevence. K tomu je nezbytné pořídit si kvalitní řešení pro zabezpečení koncových zařízení. Některé sofistikované hrozby mohou nicméně proklouznout a odhalení se vyhnout, což může vést u některých bezpečnostních produktů k problémům s detekcemi.
Například tzv. fileless malware se dokáže vyhnout detekci tím, že existuje výhradně v paměti počítače. Hackeři zároveň při některých útocích používají techniky living-off-the-land (LOL), což znamená, že zneužívají legitimní systémové procesy/programy pro své škodlivé aktivity. Tyto procesy tzv. „překonfigurují“, a to až do té míry, že například upraví registr systému Windows, aby si zajistily perzistenci.
Důsledkem je skutečnost, že i po úspěšné detekci a odstranění škodlivého kódu může použití LOL technik zanechat řadu problémů, jako je nestabilita systému způsobená změnami v registru nebo upravenými konfiguracemi. Kromě toho může dojít k poškození nebo ztrátě dat, a dokonce i k přetrvávání zbytků malwaru, protože útočníci si někdy rádi nechávají zadní vrátka (tzv. backdoor) pro budoucí útoky.
Nutnost vyčistit počítač hloubkově
Jak komentuje Bruce P. Burrell, který se v ESETu věnuje výzkumu malwaru: „Možná se ptáte: Neměl by se o všechny stopy malwaru postarat můj bezpečnostní software? Odpověď zní: Ano — v ideálním světě. Bohužel ideální svět neobsahuje malware, takže v reálném světě bezpečnostní software nemůže zaručit úplnou stabilitu systému po škodlivé aktivitě.“
Pohled do historie počítačových virů
V minulosti byly některé viry tzv. overwritery – jejich kód byl zapsán přímo přes původní obsah. To znamená, že alespoň část původních dat byla nenávratně přepsána, přičemž virus se nijak nesnažil zachovat to, co přepsal. Jediným způsobem, jak obnovit původní stav, tak bylo obnovení záloh originálních souborů.
A pak tu byly tzv. data diddlers, které měnily části hostitelského systému, víceméně náhodně. To, co bylo upraveno, nebylo součástí samotného kódu malwaru, ale šlo o jiné části systému, které nebyly nezbytné pro jeho fungování.
Na rozdíl od funkce automatického zálohování v nástroji Obnova po útoku ransomwarem (která slouží k ochraně a obnově souborů v případě takového útoku), je v tomto případě nutná manuální obnova, protože bezpečnostní produkty jen zřídka dokážou opravit poškozené systémové soubory nebo ovladače.
Služby spravované detekce a reakce
ESET MDR
Mějte na své straně řešení, které vám pomůže naplnit požadavky nového Zákona o kybernetické bezpečnosti. Zvolte si nepřetržitou ochranu spojením AI a podpory našich expertů. Už není potřeba budovat vlastní tým bezpečnostních odborníků.
DOZVĚDĚT SE VÍCEExistuje několik způsobů, jak na to. Zaměřme se konkrétně na operační systém Windows, protože jde o nejrozšířenější operační systém pro notebook nebo počítač:
- Obnovení systému Windows (System Restore) – Vytvořením bodu obnovení systému (v podstatě zálohy) se můžete vrátit do stavu před napadením malwarem. Bod obnovení však musí existovat před infekcí a během ní zůstat nekompromitovaný.
- Obnovení systému bez ztráty souborů (Refresh) – Tato možnost přeinstaluje Windows, ale zachová osobní soubory. Odstraní aplikace a nastavení, ale ponechá vše ostatní. Technicky vzato může zachovat i škodlivé soubory, pokud nejsou předem detekovány – je třeba s tím počítat.
- Oprava při spuštění (Startup Repair) – Tento nástroj je velmi užitečný, pokud chcete opravit konkrétní problém se systémem. Prohledá počítač kvůli chybám a pokusí se je opravit pro další spuštění. Podle Microsoftu je obzvlášť užitečný, pokud systému chybí nebo došlo k poškození systémových souborů, dat konfigurace spouštění nebo jiným problémům.
- Resetování systému (Reset) – Vrátí operační systém Windows do původního stavu. Pozor – smaže vše z počítače, takže pokud nemáte vše důležité zálohované na externím disku, mělo by jít pouze o krajní řešení.
Pro pokročilejší uživatele je vhodné využít také příkazový řádek Windows Terminal v režimu správce a zadat následující příkazy:
- Spuštění kontroly systémových souborů (System File Checker) – Zadejte sfc /scannow a stiskněte Enter. Příkaz provede kontrolu systému a opraví poškozené nebo chybějící položky registru.
- Spuštění kontroly disku (CheckDisk) – Zadejte chkdsk c: (nahraďte „c:“ písmenem požadovaného disku), stiskněte Enter. Systém zkontroluje chyby v souborovém systému, ale neopraví je automaticky.
- Pro opravu je třeba spustit chkdsk [písmeno disku]: /f, což opraví chyby na disku. Existuje také chkdsk [písmeno disku]: /r, který staví na příkazu /f, a navíc opravuje vadné sektory na disku. Pozor: Před spuštěním /r proveďte úplnou zálohu. Jelikož /r kontroluje vadné sektory, může to vést během tohoto procesu až ke ztrátě souborů.
Stojí za zmínku, že SFC i CHKDSK mohou trvat delší dobu, než se dokončí – zejména CHKDSK s parametry /f a /r. Nicméně by neměly narušit běžné používání počítače, i když je rozumné nechat je běžet bez přerušení, aby vše proběhlo v pořádku.
Alternativně můžete použít nástroj Deployment Image Servicing and Management (DISM). Ve srovnání s SFC a CHKDSK je o něco výkonnější a je vhodný zejména v případech, kdy dochází k častým chybám nebo pádům systému a je narušen běžný chod zařízení. Pomáhá s čištěním systémových souborů, systémových obrazů (snímků celého systému v určitém časovém bodě) nebo instalačního prostředí. Před jeho použitím je však nutné provést úplnou zálohu, protože DISM může provádět zásadní změny v systému.
Mezi nástroji DISM, CHKDSK a SFC by si měl uživatel důkladně zjistit, která možnost je pro něj nejvhodnější, v závislosti na konkrétním problému, který řeší.
Poškození? DISM to vyřeší
Existují tři hlavní způsoby použití nástroje DISM, které mohou pomoci při obnově systému. Níže od nejjednoduššího po nejsložitější:
- CheckHealth – Tento příkaz zjistí, zda se v systémovém obrazu nachází nějaké poškození, ale neprovádí opravu. Do Terminálu zadejte DISM /Online /Cleanup-Image /CheckHealth.
- ScanHealth – O úroveň výš je ScanHealth, který se pokouší identifikovat problémy v systémovém obrazu. Do Terminálu zadejte DISM /Online /Cleanup-Image /ScanHealth.
- RestoreHealth – Tato volba skenuje i opravuje problémy v systémovém obrazu. Do Terminálu zadejte DISM /Online /Cleanup-Image /RestoreHealth. Tento příkaz se připojuje ke službě Windows Update zajišťující aktualizace, aby nahradil poškozené soubory, takže může trvat déle, ale investovaný čas se vyplatí. Zbytky malwaru by mohly způsobit mnohem větší potíže.
Všechny tyto příkazy vyžadují připojení k internetu. Existuje i čtvrtá možnost – použití souboru install.wim, který může načíst potřebná data z jiného zařízení nebo úložiště, ale je nutné mít obraz systému odpovídající verzi operačního systému (ať už Windows 10 či 11) na vašem počítači.
Pro počítače s Windows 11 má Microsoft oficiální stránku, kde si uživatelé mohou stáhnout systém. Vždy je bezpečnější používat oficiální zdroje. Pokud vlastníte licenční klíč, můžete postupovat podle pokynů na stránce a obnovit svůj operační systém.
Kdy je vyčištění notebooku či počítače hotové?
Pokud nepočítáme kompletní přeinstalování operačního systému (což je poměrně zdlouhavý proces), výše uvedené kroky by měly být nejdostupnějšími řešeními pro každého, kdo potřebuje vyřešit problémy se stabilitou systému a vyčistit notebook či počítač po napadení hackery. Jak ještě doporučují kyberbezpečnostní experti: Po vyčištění zařízení by měla být provedena kontrola všech dat uživatele za pomoci kyberbezpečnostního řešení s nastavením nejvyšší heuristiky – aby si uživatelé opětovně nenakazili počítač ze svých cenných souborů.
Pro další optimalizaci doporučujeme přečíst si blogy o reinstalaci bezpečnostního softwaru, aby fungoval v co nejlepší kondici, a o obnovách a zálohování.
Tento článek byl napsán a upraven s cennými příspěvky od Bruce P. Burrella a Aryeha Goretskyho ze společnosti ESET.
