Что делать если взломали компьютер
Зараженный компьютер определяется как любой вычислительный ресурс, конфиденциальность, целостность или доступность которого подверглись неблагоприятному воздействию, намеренно или непреднамеренно, из-за ненадежного источника. Компрометация может произойти либо через ручное вмешательство ненадежного источника, либо через автоматизацию. Получение несанкционированного доступа к компьютеру путем выдачи себя за законного пользователя или путем проведения атаки методом грубой силы будет представлять собой компромисс. Использование лазейки в конфигурации компьютера также явилось бы компромиссом. В зависимости от обстоятельств компьютер, зараженный вирусом, червем, трояном или другим вредоносным ПО, может считаться компромиссом.
Симптомы взломанного компьютера включают, помимо прочего, следующее:
- Частые всплывающие окна, особенно те, которые побуждают вас посещать необычные сайты или загружать антивирус или другое программное обеспечение.
- Изменения на вашей домашней странице
- Массовая рассылка писем с вашего почтового ящика
- Частые сбои или необычно низкая производительность компьютера
- Неизвестные программы, которые запускаются при запуске компьютера
- Программы, автоматически подключающиеся к Интернету
- Необычные действия, такие как смена пароля
Личные устройства
Если указанные выше симптомы проявляются на личном устройстве, необходимо немедленно предпринять действия, чтобы уменьшить угрозу для вашего устройства и информации.
- Сбросьте свои пароли для каждой учетной записи, к которой это устройство имело доступ
- Выйти из всех онлайн-аккаунтов
- Отключитесь от интернета
- Удалите внешние жесткие диски, такие как USB или любые другие подключенные устройства.
- Проверить устройство на наличие вредоносных программ и вирусов
- При необходимости протрите жесткий диск — надеюсь, у вас есть резервная копия ваших данных.
- Внимательно следите за кредитными и финансовыми счетами
И напоследок, чтобы не стать мишенью снова:
- Своевременно обновляйте систему безопасности (антивирус / защита от вредоносных программ)
- Регулярно обновляйте все операционные системы и программное обеспечение
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Хакеры и вредоносные программы скрываются в каждом уголке интернета. Нажатие на ссылку, открытие вложения электронной почты или простой серфинг по сети может привести к взлому вашей системы или заражению вредоносными программами, и иногда даже трудно понять, что вы стали жертвой кибератаки, пока не будет слишком поздно.
Об авторе
Саманта Дэвисов – менеджер по обучению основам информационной безопасности компании Uber, сотрудники которой работают более чем в 350 городах мира.
Что-то неправильно – определение возможности злонамеренного кода
Хотя некоторые эксплоиты и разработаны для того, чтобы в явном виде заявить об успехе взлома (или насмехаться над жертвой), работа подавляющего большинства из них остается на первый взгляд незаметной. Нетрудно сообразить, что они остаются тихими по причине проведения какой-то особо важной тайной деятельности. Поэтому такой код трудно обнаружить. Известен случай, когда код очень долго оставался в компьютерной системе банка и незначительно округлял в пользу хакера операции с крупными суммами - ничтожная ошибка учета в несколько центов ни у кого не вызывала подозрений!
В нашем случае признаками проблемы также могут являться даже незначительные аномалии. Так, в крупной российской корпорации один из офисных сотрудников утверждал, что у него не всегда с первого раза получается войти в систему с его компьютера. Все остальные загружались без проблем. От сотрудника долго отмахивались, так как проблемы никто не видел. Когда же, в конце концов, специалисты решили исследовать причину ошибки, выяснили, что в сценарий запуска на данной машины встроен троян-шпион. Если у вас имеется чувство, что что-то работает неправильно, стоит внимательно изучить проблему. К сожалению, часто оказывается, что ваши подозрения были оправданы.
Как это проявляется?
Следующим шагом в процессе анализа должно стать наблюдение за аномалиями в поведении системы. Цель состоит в том, чтобы обнаружить аномалии или изменения в запущенной конфигурации системы. Для начала, надо определить, какие процессы происходят и определить их назначение, то есть вы должны выучить, почему запущена та или иная программа при работе вашей системы. Когда ситуация вдруг меняется, вы легко определите, что конкретно изменилось и что было запущено. В наблюдаемые статистики включите: использование процессора, частоту или расписание запуска программ, и владельца процессов. Также стоит знать, что эксплоит может входить в состав стандартного процесса или называть себя тем же именем. Так что требуется внимание и усердие в изучении. Представьте, что это – своего рода охота. И как в любой другой охоте сперва требуется много времени, чтобы обнаружить свою добычу. Хакеры редко облегчают эту работу нам, но обученным глазом при определенном терпении и надлежащих инструментах, мы можем найти их ошибки. Ведь хакеры ошибаются. Причем гораздо чаще рядового пользователя, так как обычно используют свежие, не до конца отработанные методы, программы или приемы, к тому же вынуждены действовать во многих случаях практически вслепую. И тогда вы сами удивитесь, насколько вы будете рады увидеть злоумышленника в своей системе, будете бояться нечаянно его спугнуть или чем-то выдать себя. Азарт, который трудно с чем-то сравнить.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Мы знаем, что вы заботитесь о безопасности вашего компьютера или мобильного устройства. Но, несмотря на все меры предосторожности, рано или поздно ваш компьютер взломают или «скомпрометируют». В этой статье мы поговорим о том, как определить, был ли взломан ваш компьютер или устройство и что делать дальше в случае взлома. Прежде всего, чем быстрее вы обнаружите что-то странное и примите меры, тем меньший вред взломщики смогут вам причинить.
Если вы не можете войти в аккаунт
Во многих случаях пользователи обнаруживают, что их взломали, когда однажды они не могут войти в свою учетную запись. Это связано с тем, что хакеры сначала меняют пароль, выводят жертву из системы и получают полный контроль над украденной учетной записью.
Не паникуйте: у вас ещё есть много вариантов. Сделайте глубокий вдох. Действовать нужно быстро и в правильном порядке.
Что говорят логи?
Если все-таки что-то вызывает вашу тревогу, с чего начать? Если есть возможность, отключите систему от остальной сети и поработайте автономно. Это гарантирует, что никакой дальнейший ущерб не будет распространяться. К сожалению, зачастую у вас не будет такой роскоши. Некоторые компьютеры и особенно серверы слишком важны в работе организации, чтобы по первому подозрению снять их с работы. Однако, как только действительно подтверждается инцидент, немедленно без малейших колебаний сделайте систему автономной, чтобы уменьшить ущерб.
Само исследование должно начаться с полной экспертизы файлов системного журнала. Особенно стоит просмотреть записи логов, события системы и административные действия. К сожалению, в таких записях нет комментариев, что мол это – обычная работа, а вот это – действия злоумышленника. Странные времена соединений, незапланированные перезагрузки, неудачные попытки соединений и внеплановые административные процедуры вызовут подозрения, но многого вам не расскажут. Для большей глубины поиска пробуйте рассмотреть логи прикладных программ типа созданных FTP, почтой, web или базами данных демонами. Эти файлы уже могут сообщить много интересного и конкретного.
Подготовьте второй компьютер для восстановления
Чтобы облегчить возвращение зараженной системы в нормальное состояние, лучше иметь второй компьютер, которому Вы доверяете и который не заражен. Убедитесь, что на втором компьютере установлено новейшее программное обеспечение для защиты от вредоносных программ и проведено полное сканирование системы, которое не выявило заражения. Если вы можете получить доступ к жесткому диску и переместить его, то это было бы идеально.
Признаки взлома
Иногда понять, что вас взломали достаточно сложно, так как нет определенного отчетливого признака. Но есть ряд ключевых признаков, так называемых индикаторов, указывающих на взлом. Если в вашей системе происходит что-то подобное, то, возможно, ее взломали.
Уведомления об активности – что делать
Многие веб-сайты предупреждают пользователей, когда их учетные записи используются для выполнения определенных важных действий. Здесь можно упомянуть такие действия, как изменение пароля, подключение нового телефона или адреса электронной почты к учетной записи, вход в систему с нового устройства или местоположения.
- Попробуйте войти в свою учетную запись, но не используйте ссылки, указанные в уведомлении. Электронная почта может быть фишинговой и может пытаться украсть учетные данные для входа. Даже если это выглядит как официальное уведомление, отправленное из вашей учетной записи, лучше вручную ввести адрес в строке браузера или открыть приложение.
- Если возможно, проверьте историю входов в систему. Если вы видите какие-либо неизвестные устройства или места, немедленно выйдите из системы для всех пользователей на всех устройствах.
- Проверьте все данные своей учетной записи, включая адрес электронной почты, номер телефона и секретный вопрос.
- Измените пароль. Убедитесь, что он надёжный и существенно отличается от старого. Если вы беспокоитесь о том, что забудете новый пароль, используйте менеджер паролей, чтобы сохранить все свои пароли в безопасности.
- Измените пароль во всех учетных записях, в которых использовался тот же пароль, что и во взломанной учетной записи, а также в тех учетных записях, которые связаны с утечкой (например, учетные записи во всех онлайн-магазинах, где для входа в сеть использовался взломанный аккаунт социальной сети).
На самом деле, маловероятно, что кто-то взломал ваше устройство. Если вы не хотите подвергать себя угрозе, измените пароль учетной записи, которая предположительно была взломана.
Как не стать жертвой хакеров
Конечно, лучше уберечь свою учетную запись от хакеров, чем разгребать последствия. Поэтому позаботьтесь о своих аккаунтах сегодня:
Это все-таки случилось… Скорее всего вы прочитали об этом на своей любимой домашней страничке, которую теперь в таком испохабленном состоянии стыдно кому-либо показать. А может быть, вам позвонил неизвестный и сообщил это неприятное известие по телефону, причем АОН вместо номера собеседника выдавал что то непонятное - то ли меняющиеся цены на Нью-Йоркской бирже, то ли расстояние от Земли до Марса, а может и функцию половой активности сусликов в Каракумской пустыне. Может быть, вы прочли это в полученном сегодня электронном письме, наряду со всяким рекламным и религиозным мусором… Хотя не исключено, что вы и сами догадались об этом: ВАС ХАКНУЛИ.
Статья предназначена для рядовых юзеров, не являющихся специалистами в области компьютерной безопасности, но волею судьбы ставших мишенью компьютерной атаки, а также тех, кто не хочет пополнить собой список жертв хакеров. Извлеките данные и просканируйте диск
Необходимо удалить жесткий диск с зараженного компьютера и подключить его к «чистому» компьютеру в качестве загрузочного диска.
После подключения диска к надежному (незараженному) компьютеру проверьте его на наличие вредоносных программ с помощью основного сканера вредоносных программ и второго сканера вредоносных программ (если он установлен). Убедитесь, что выполняется «полное» или «глубокое» сканирование зараженного диска, чтобы убедиться, что все файлы и области жесткого диска проверяются на наличие угроз.
После этого необходимо создать резервную копию данных с зараженного диска на другой носитель. Убедитесь, что резервное копирование завершено, и проверьте, работает ли копия.
Очистка и перезагрузка зараженного компьютера
После того, как у вас есть проверенная резервная копия всех данных с зараженного компьютера, вам нужно будет убедиться, что у вас есть диск ОС и правильная информация о лицензионном ключе, прежде чем делать что-либо ещё.
На этом этапе вы, вероятно, захотите стереть зараженный диск с помощью утилиты очистки диска и убедиться, что все области диска были очищены. После того, как диск будет стёрт и чист, проверьте его ещё раз на наличие вредоносных программ, прежде чем возвращать ранее зараженный диск обратно на компьютер, с которого он был изъят.
Переместите ранее зараженный диск обратно на исходный компьютер, перезагрузите ОС с доверенного носителя, перезагрузите все приложения, загрузите антивирусную программу (и второй сканер), а затем запустите полное сканирование системы как перед восстановлением данных, так и после того, как ваши данные будут возвращены на ранее зараженный диск.
Обнаружение того, что одна из ваших учетных записей была взломана, может быть довольно стрессовым событием, особенно если она активно используется для общения с друзьями, совершения покупок или хранения файлов.
Вместо того, чтобы реагировать эмоционально, лучше сосредоточиться на минимизации последствий. Сохраните свои деньги и данные, не дайте своим друзьям стать жертвами мошенничества и восстановите контроль над своей учетной записью, то есть поверните вспять или, по крайней мере, остановите рост ущерба.
Мы подготовили советы, что делать в такой ситуации.
Что делать, если система была заражена
Давайте рассмотрим несколько шагов, которые вы должны принять, если ваш компьютер был взломан и/или заражен.
Получите мнение второго сканера
Вам стоит загрузить второй сканер вредоносных программ на незараженном компьютере, который вы будете использовать, чтобы вернуть контроль. Антивирус Касперского, Malwarebytes, Bitdefender являются отличными вариантами, но существуют и другие.
Введение
Это все-таки случилось… Скорее всего вы прочитали об этом на своей любимой домашней страничке, которую теперь в таком испохабленном состоянии стыдно кому-либо показать. А может быть, вам позвонил неизвестный и сообщил это неприятное известие по телефону, причем АОН вместо номера собеседника выдавал что то непонятное - то ли меняющиеся цены на Нью-Йоркской бирже, то ли расстояние от Земли до Марса, а может и функцию половой активности сусликов в Каракумской пустыне. Может быть, вы прочли это в полученном сегодня электронном письме, наряду со всяким рекламным и религиозным мусором… Хотя не исключено, что вы и сами догадались об этом: ВАС ХАКНУЛИ.
Что-то действительно было не так с компьютером в последние дни. Вы не можете сказать точно, что именно вас раздражало или настораживало, но было ощущение чего-то неправильного: вялая, «тормозная» работа, неожиданные зависания и перезагрузки, к тому же можно припомнить и аномально высокую загрузку процессора тогда, когда вы вроде бы ничего особенного не делали, или слишком большую сетевую активность, появляющиеся непонятные временные файлы, или наоборот, отсутствие каких-нибудь файлов. Короче, сейчас вы думаете, что надо было раньше обо всем догадаться и принять какие-нибудь меры. А сейчас…
Фактически каждый человек, имеющий в своем распоряжении компьютер, свято убежден, что на нем имеется масса полезной и ценной информации, без которой он чуть ли не сможет дальше жить. Встречающиеся иногда поломки винчестеров, приводящие к потере всего содержимого HDD, показывают, что в подавляющемся большинстве случаев это не так, и важность информации была существенно преувеличена человеком, что он прекрасно может обходиться и без нее, и уже через пару-тройку недель новый винчестер будет забит такой же «ценной» для данного человека информацией. Подумаем логически. Вряд ли хакеру могли потребоваться сэйвы вашего перекаченного героя из Diablo 2 или коллекция ботов для Counter Strike, еще меньше ему нужно содержимое вашей видеотеки (фильмы он и так может легко достать, да и скачивать их от вас по Интернету – занятие для мазохистов). Фактически, ценность для постороннего человека могут предоставлять только файлы, содержащие какую-либо финансовую, технологическую и другую секретную информацию о фирмах, организациях и их разработках. Гораздо реже мишенью могут являться файлы, содержащие чувствительную, интимную информацию о конкретных частных лицах.
Если на вашем компьютере не было подобной информации – можете спать спокойно. Если же такая информация все же содержалась – проверьте, не уничтожена ли или не изменена ли она, а также попытайтесь сообразить, в руках кого из ваших конкурентов/врагов/знакомых она может оказаться наиболее опасной, кому выгоден этот взлом, а также, наверное, стоит заранее обдумать ваши действия на каждый из таких вариантов развития событий. Хотя, существует большая вероятность (приближается к 100%), того, что хакер либо не обратил внимания на эту информацию, либо не посчитал ее ценной для кого-нибудь, либо просто не смог ею распорядиться.
Как хакер смог проникнуть? Это уже более интересный и конкретный вопрос. Злоумышленник мог использовать самые разные способы внедрения: автоматизированные rootkits, трояны, вирусы и разнообразные эксплоиты, весь арсенал которых предназначен для одной конкретной цели - преодолеть вашу защиту. Обнаружение и удаление этих программ является подчас очень непростой задачей, требующей значительных затрат времени и нервов, а иногда и уничтожения и переустановки целых приложений.
В этой статье для начала посмотрим, какие методы могут использоваться, чтобы вернуть вашу систему в рабочее состояние (если такого не наблюдается), а также воспрепятствовать новым атакам хакера. Ведь в данном случае глупо уповать на принцип «две бомбы в одну воронку не падают», скорее мы имеем обратную ситуацию – система, показавшая однажды свою слабость в защите, будет обязательно проверяться снова и снова на самые разные уязвимости. Кроме того, среди хакеров довольно распространен принцип «отведал сам – поделись с другом», что способствует быстрому распространении информации об уязвимости и уязвимых системах.
Что предпринять в случае взлома
Если вы обнаружили, что ваше устройство взломали, то действовать нужно как можно быстрее. Если это рабочий компьютер или устройство, то не пытайтесь устранить проблему самостоятельно. Не потому, что вы можете навредить еще больше, просто вы случайно можете удалить следы, по которым будут расследовать инцидент. Немедленно сообщите вашему работодателю об инциденте, свяжитесь со Службой Поддержки, Службой безопасности или с непосредственным руководителем. Если по какой-то причине вы не можете связаться с работодателем, или вы беспокоитесь, что потеряете много времени, то первым делом отключите компьютер или устройство от сети и включите режим сна, ожидания или режим «самолет». Даже если вы не уверены окончательно, что вас взломали, все равно следует сообщить о своих подозрениях. Если это ваш личный компьютер или устройство, то следует предпринять следующее.
Изолировать зараженный компьютер
Прежде чем будет нанесён какой-либо ущерб вашей системе и её данным, Вы должны полностью отключить её. Не полагайтесь на простое отключение сети с помощью программного обеспечения, вам нужно физически извлечь сетевой кабель и отключить Wi-Fi, выключив физический переключатель Wi-Fi и/или удалив адаптер Wi-Fi (если это вообще возможно).
Причина: нужно разорвать связь между вредоносным ПО и его командно-контрольными терминалами, чтобы отрезать поток данных, получаемых с вашего компьютера или отправляемых на него. Ваш компьютер, который может находиться под контролем хакера, также может быть участвовать в совершения злых дел, таких как DDoS атака против других систем. Изоляция вашей системы поможет защитить другие компьютеры, которые ваш компьютер может пытаться атаковать, пока он находится под контролем хакера.
Backup и улики
Я не собираюсь здесь распинаться, насколько важно делать резервные копии вашей системы. После взлома большинство людей сами поймут ценность этого, если и не на собственном опыте, то на примере своих знакомых жертв хакерских атак. Ведь если вам не удастся установить и устранить причину и восстановить взломанную систему, то вы можете потерять данные последних нескольких месяцев, потратить уйму драгоценного времени на простой в работе, заново инсталлировать все программы. Альтернативой backup традиционно является форматирование дисков и установка всего «с нуля». Причина? Трудно сразу определить глубину нарушения безопасности. Было ли это действие простого, автоматизированного эксплоита, разработанного для замены web-страницы? Или сложное, хорошо продуманное и организованное нападение, построенное для установки в вашей системе многочисленных троянов и черных ходов? В таких атаках замену web-странички часто используют для отвлечения внимания от основных действий хакера. Правильный backup превращает весь кошмар взлома в простое временное неудобство, так как вы можете восстановить резервные файлы с минимальным временем простоя.
Второе обязательное действие в случае имевшего место взлома компьютера или сети организации (в случае домашнего компьютера – по желанию владельца) – это обработка инцидента. В этой статье содержатся общие методы обнаружения и удаления вредного кода, независимо от операционной системы и эксплоита. Основная цель состоит в том, чтобы помочь читателям найти те основные действия, которые надо совершить, чтобы вернуть систему в нормальный действующий вид. Если же вы или ваша организация планирует детально исследовать инцидент, необходимо выполнение которых процедур. Образ взломанной системы должен быть создан немедленно. Почему? Большинство нападений оставляет многочисленные следы, «отпечатки пальцев»: логи, измененные файлы, время всех соединений с вашей системой. Любой вид злонамеренной деятельности может оставить такие следы, которые могут использоваться в качестве улик, вещественных доказательств, как и в любых других видах преступлений. К счастью, цифровой характер нашей работы позволяет нам быстро создать любое число копий для будущего изучения. Перед началом любого восстановления, отключитесь от сети и создайте точную копию системы, в таком виде, как вы ее нашли. В процессе восстановления тщательно регистрируете вашу работу. Сама регистрация станет свидетельством того, как вы провели ваше расследование.
Читайте также: