Naprawa czy reinstalacja? Kiedy warto grzebać w systemie Strona główna Aktualności06.12.2020 21:37 Naprawa czy reinstalacja? (fot. Free-Photos, Pixabay) Udostępnij: O autorze Kamil J. Dudek @wielkipiec Przeglądając dział Bezpieczeństwo na Forum dobrychprogramów, natknąć się można na tuziny wątków z załączonymi dziennikami programu FRST, rozbudowanego narzędzia do generowania raportów o stanie systemu. Netykieta działu wprost informuje, że załączenie logów FRST jest "obowiązkowe", bo bez nich nie ma o czym rozmawiać. To sensowne oczekiwanie. Wspomniane logi są bowiem nieprzeciętnie szczegółową inwentaryzacją komputera. Zdecydowanie pomogą w rozwiązywaniu problemów. Sęk w tym, że nie wszystkie problemy zawsze warto rozwiązywać. Wątki w dziale Bezpieczeństwo dotyczą identyfikowania infekcji, ale poza tym, często opisują sposoby ich usunięcia. O ile poznawanie symptomów obecności malware'u jest bardzo pouczające, bo wraz ze znajomością wektorów wejścia stanowi cenną wiedzę, "usuwanie" infekcji to już znacznie mniej jednoznaczne zagadnienie. Komu ufać? System zaatakowany złośliwym oprogramowaniem powinien przestać być systemem zaufanym. Niezależnie od tego, czy przeprowadzono oczyszczanie uznane za skuteczne. Powodów, dla których nie powinno być to przedmiotem wątpliwości, jest sporo. Oto najważniejsze z nich: Zakładamy, że FRST podał wszystkie źródła infekcji Zakładamy, że żaden z pozornie poprawnych wpisów w logu nie jest fałszywy Usunięcie infekcji bez usunięcia jej źródła (w postaci oprogramowania lub złego zwyczaju) sprawi, że wkrótce zapewne wróci Zakładamy, że oczyszczanie przebiegło poprawnie (fot. Kamil Dudek) Stosowanie takiego arsenału założeń jest bardzo optymistycznym podejściem. Kwestionowanie ich jest z kolei trudne z powodów psychologicznych. Wprawni interpreterzy logów FRST mogą nie przyjąć argumentu o tym, że nowe generacje szkodników potrafią naprawdę skutecznie podszyć się pod "niewinne" wpisy systemowe, co może umknąć ich uwadze. Malware nowej generacji "W naturze" występują dziś trojany, które aktywują się za pomocą Harmonogramu Zadań, przy pomocy wpisów w folderze Windows Update, używając do tego celu podpisanych plików Windows, leżących we właściwych miejscach. Omijają w ten sposób antywirusy, powracają po usunięciu i nierzadko ukrywają się przed wprawnym okiem ekspertów. Oczywiście, takie infekcje prawie zawsze da się jednak wyśledzić, a ich usunięcie niemal na pewno neutralizuje zagrożenie. Czy na pewno chcemy jednak polegać na "mniej więcej skutecznych" rozwiązaniach? Malicious actors are using msiexec as a downloading tool. (rather than the usual download + execution)The MSI file downloaded appears to be a Notepad++ installer with an #ostap obfuscated JavaScript payload concatenated to the end. #lolbin #msiexec https://t.co/2yWhvKMOya pic.twitter.com/G58N8sz9fZ— ¬ whickey (@notwhickey) December 3, 2020 Dyskusja o usuwaniu zagrożeń pomija zatem pytanie, które należy zadać na samym początku: dlaczego po prostu nie zainstalować systemu na nowo? Logi FRST pozwalają dowiedzieć się, czy problem jest związany rzeczywiście z infekcją, a nie z awarią jakiegoś programu lub błędną konfiguracją. Umożliwia także oszacowanie (zgrubne) powagi sytuacji – wiedzieć, czy do usunięcia jest rosyjska wyszukiwarka, czy potencjalny ransomware. Dlaczego nie reinstalacja? Ale akcja ratunkowa powinna niemal bez wyjątku polegać na zaoraniu dysku i instalacji systemu od zera. Użytkownicy wydają się jednak wzbraniać przed tym krokiem tak długo, jak tylko się da. Ale dlaczego? Oto wysoce niekompletna lista powodów: Instalacja systemu uchodzi za trudną Brak nośnika instalacyjnego lub klucza Brak sterowników Obawa o utratę danych Długa czas trwania procesu Są to wytłumaczenia o wiele lepsze od "da się naprawić". Usilne wmawiani ludziom niepewnym technologicznie, że proces reinstalacji jest łatwy, może nie być poprawnym podejściem. Nawet pomniejsze problemy mogą zaowocować pozbawieniem się sprawnego komputera. Gotowi na problemy Kwestie czysto software'owe, jak obawa o dane oraz brak sterowników/instalatora, to już zupełnie inna sprawa. Świadczą o popełnieniu dość istotnych zaniedbań. Oczywiście, rozwiązaniem problemów osób zmagających się z trojanami nie jest powiedzenie im "trzeba było mieć kopie". Gdy ich nie ma, zachodzi potrzeba ratowania się tym, co jest pod ręką. To jasne. (fot. Kamil Dudek) Dlatego wśród kroków profilaktycznych warto przede wszystkim uwzględnić stworzenie pendrive'a instalacyjnego systemu oraz zbioru sterowników. Ambitni mogą je połączyć z obrazem za pomocą NTLite (ci jednak rzadziej szukają pomocy z infekcjami...). Prędką reinstalację ułatwi wydzielenie oddzielnej partycji na dane nietrzymane w chmurze (i podpięcie katalogów na niej do systemowych Bibliotek). No i oczywiście kopia zapasowa. Zaopatrywanie się na wypadek reinstalacji nie jest "planowaniem zorientowanym na porażkę". Naiwnym jest myślenie, że tuzin antywirusów, rosyjskie skrypty optymalizujące oraz wszelkie zbędne odkurzacze zapewnią niezniszczalność oprogramowania na komputerze. Garść porad związanych z zabezpieczaniem software'u pojawi się już wkrótce, we wznowieniu naszej serii o zabezpieczaniu peceta. Dotychczas zajmowaliśmy się bowiem zagadnieniami sprzętowymi. Oprogramowanie Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Windows 10: użytkownicy spędzają w nim ponad 4 biliony minut miesięcznie 6 maj 2020 Oskar Ziomek Oprogramowanie Biznes 89 Majowa aktualizacja Windows 10 opóźniona – Microsoft łata lukę bezpieczeństwa 5 maj 2020 Oskar Ziomek Oprogramowanie Bezpieczeństwo 47 Windows 10 20H1 w pigułce – przegląd nowości w majowej aktualizacji 28 maj 2020 Oskar Ziomek Oprogramowanie 64 Nowa aktualizacja Windows 10 wskrzesi Twój stary dysk twardy 28 kwi 2020 Jakub Krawczyński Oprogramowanie 142
Udostępnij: O autorze Kamil J. Dudek @wielkipiec Przeglądając dział Bezpieczeństwo na Forum dobrychprogramów, natknąć się można na tuziny wątków z załączonymi dziennikami programu FRST, rozbudowanego narzędzia do generowania raportów o stanie systemu. Netykieta działu wprost informuje, że załączenie logów FRST jest "obowiązkowe", bo bez nich nie ma o czym rozmawiać. To sensowne oczekiwanie. Wspomniane logi są bowiem nieprzeciętnie szczegółową inwentaryzacją komputera. Zdecydowanie pomogą w rozwiązywaniu problemów. Sęk w tym, że nie wszystkie problemy zawsze warto rozwiązywać. Wątki w dziale Bezpieczeństwo dotyczą identyfikowania infekcji, ale poza tym, często opisują sposoby ich usunięcia. O ile poznawanie symptomów obecności malware'u jest bardzo pouczające, bo wraz ze znajomością wektorów wejścia stanowi cenną wiedzę, "usuwanie" infekcji to już znacznie mniej jednoznaczne zagadnienie. Komu ufać? System zaatakowany złośliwym oprogramowaniem powinien przestać być systemem zaufanym. Niezależnie od tego, czy przeprowadzono oczyszczanie uznane za skuteczne. Powodów, dla których nie powinno być to przedmiotem wątpliwości, jest sporo. Oto najważniejsze z nich: Zakładamy, że FRST podał wszystkie źródła infekcji Zakładamy, że żaden z pozornie poprawnych wpisów w logu nie jest fałszywy Usunięcie infekcji bez usunięcia jej źródła (w postaci oprogramowania lub złego zwyczaju) sprawi, że wkrótce zapewne wróci Zakładamy, że oczyszczanie przebiegło poprawnie (fot. Kamil Dudek) Stosowanie takiego arsenału założeń jest bardzo optymistycznym podejściem. Kwestionowanie ich jest z kolei trudne z powodów psychologicznych. Wprawni interpreterzy logów FRST mogą nie przyjąć argumentu o tym, że nowe generacje szkodników potrafią naprawdę skutecznie podszyć się pod "niewinne" wpisy systemowe, co może umknąć ich uwadze. Malware nowej generacji "W naturze" występują dziś trojany, które aktywują się za pomocą Harmonogramu Zadań, przy pomocy wpisów w folderze Windows Update, używając do tego celu podpisanych plików Windows, leżących we właściwych miejscach. Omijają w ten sposób antywirusy, powracają po usunięciu i nierzadko ukrywają się przed wprawnym okiem ekspertów. Oczywiście, takie infekcje prawie zawsze da się jednak wyśledzić, a ich usunięcie niemal na pewno neutralizuje zagrożenie. Czy na pewno chcemy jednak polegać na "mniej więcej skutecznych" rozwiązaniach? Malicious actors are using msiexec as a downloading tool. (rather than the usual download + execution)The MSI file downloaded appears to be a Notepad++ installer with an #ostap obfuscated JavaScript payload concatenated to the end. #lolbin #msiexec https://t.co/2yWhvKMOya pic.twitter.com/G58N8sz9fZ— ¬ whickey (@notwhickey) December 3, 2020 Dyskusja o usuwaniu zagrożeń pomija zatem pytanie, które należy zadać na samym początku: dlaczego po prostu nie zainstalować systemu na nowo? Logi FRST pozwalają dowiedzieć się, czy problem jest związany rzeczywiście z infekcją, a nie z awarią jakiegoś programu lub błędną konfiguracją. Umożliwia także oszacowanie (zgrubne) powagi sytuacji – wiedzieć, czy do usunięcia jest rosyjska wyszukiwarka, czy potencjalny ransomware. Dlaczego nie reinstalacja? Ale akcja ratunkowa powinna niemal bez wyjątku polegać na zaoraniu dysku i instalacji systemu od zera. Użytkownicy wydają się jednak wzbraniać przed tym krokiem tak długo, jak tylko się da. Ale dlaczego? Oto wysoce niekompletna lista powodów: Instalacja systemu uchodzi za trudną Brak nośnika instalacyjnego lub klucza Brak sterowników Obawa o utratę danych Długa czas trwania procesu Są to wytłumaczenia o wiele lepsze od "da się naprawić". Usilne wmawiani ludziom niepewnym technologicznie, że proces reinstalacji jest łatwy, może nie być poprawnym podejściem. Nawet pomniejsze problemy mogą zaowocować pozbawieniem się sprawnego komputera. Gotowi na problemy Kwestie czysto software'owe, jak obawa o dane oraz brak sterowników/instalatora, to już zupełnie inna sprawa. Świadczą o popełnieniu dość istotnych zaniedbań. Oczywiście, rozwiązaniem problemów osób zmagających się z trojanami nie jest powiedzenie im "trzeba było mieć kopie". Gdy ich nie ma, zachodzi potrzeba ratowania się tym, co jest pod ręką. To jasne. (fot. Kamil Dudek) Dlatego wśród kroków profilaktycznych warto przede wszystkim uwzględnić stworzenie pendrive'a instalacyjnego systemu oraz zbioru sterowników. Ambitni mogą je połączyć z obrazem za pomocą NTLite (ci jednak rzadziej szukają pomocy z infekcjami...). Prędką reinstalację ułatwi wydzielenie oddzielnej partycji na dane nietrzymane w chmurze (i podpięcie katalogów na niej do systemowych Bibliotek). No i oczywiście kopia zapasowa. Zaopatrywanie się na wypadek reinstalacji nie jest "planowaniem zorientowanym na porażkę". Naiwnym jest myślenie, że tuzin antywirusów, rosyjskie skrypty optymalizujące oraz wszelkie zbędne odkurzacze zapewnią niezniszczalność oprogramowania na komputerze. Garść porad związanych z zabezpieczaniem software'u pojawi się już wkrótce, we wznowieniu naszej serii o zabezpieczaniu peceta. Dotychczas zajmowaliśmy się bowiem zagadnieniami sprzętowymi. Oprogramowanie Bezpieczeństwo IT.Pro Udostępnij: © dobreprogramy Zgłoś błąd w publikacji