Слишком часто пользователи считают, что низкая или ненадежная производительность — всего лишь часть увлекательного использования компьютера, и когда скорость интернет-соединения низкая, то это значит, что кто-то в соседней комнате просто смотрит видео онлайн.
Но независимо от того, являетесь ли вы домашним пользователем, разделяющим соединение с семьей или друзьями, или системным администратором корпоративной сети, пытающимся разобраться, что происходит, нельзя списывать медлительность компьютера на «одну из этих причин». Есть ощутимый шанс, что вас взломали.
Во всем мире прямо сейчас происходит огромное количество успешных атак на компьютеры, и кажется, что чуть ли не каждую неделю в новостях публикуются объявления о том, что какая-то компания или агенство обнаружили очередную дыру в безопасности. Хуже всего то, что всегда говорится о том, что на момент обнаружения уязвимостью уже пользовались хакеры на протяжении нескольких месяцев, и профессионалам в области безопасности следует считать, что их сеть уже была взломана.
Другими словами, специалисты безопасности изначально полагают, что в их сети уже побывали взломщики некоторое время назад, и продолжают так думать ровно до тех пор, пока они не найдут достаточных свидетельств о том, что взлома не было. И только после долгой изнурительной работы по проверке всех возможных вариантов, когда специалисты будут убеждены в том, что все хорошо, они могут успокоиться и перевести дух. Но не надолго, ведь скоро появится известие о новой найденной уязвимости в системе — нужно быть начеку!
Какие признаки того, что вас взломали? Ниже несколько рекомендаций для самостоятельного расследования подозрительной активности.
Для домашнего пользователя и системного администратора
Просрочено?
Ваш антивирус давно не обновлялся, вы не позаботились об установке всех необходимых обновлений и патчей на компьютеры, или вы используете устаревшие версии программ, уязвимые для взлома, такие как плееры, «читалки», браузеры и т.д.? Тогда у вас есть все шансы подцепить вредоносную программу! Наилучшая защита от вредосносных программ — быть уверенным, что вы пользуетесь только актуальными версиями всего.
Когда выходит новая версия любой программы, производитель в новостях публикует информацию о том, какие уязвимости и ошибки были исправлены — это сигнал хакерам. Теперь они знают, что все пользователи, которые не успели обновить свои программы, могут быть взломаны с использованием этих ошибок. Именно поэтому следить за актуальностью установленных программ крайне важно!
Если теперь, когда вы пытаетесь загрузить и установить обновления для вашего компьютера, у вас ничего не выходит — это может быть из-за того, что вредоносная программа, находящаяся на вашем компьютере, мешает вам это сделать.
Слишком много соединений?
Ваш компьютер держит слишком много исходящих подключений, или вы обнаружили большое количество соединений в вашей корпоративной сети, которые не имеют адекватного объяснения? Если вы перезагрузите компьютер в безопасном режиме, то никаких лишних соединений быть не должно — можно сравнить. Вне рабочего времени количество исходящих подключений с компьютеров сотрудников должно быть минимальным (обновления программ, синхронизация файлов).
Замедление в работе систем без видимых причин
Если ваше подключение к сети в компании внезапно становится медленным по непонятным причинам, или дома скорость подключения резко падает ниже той, за которую вы платите, значит, в сети присутствует что-то, чего быть не должно. Когда хакер пытается скачать ваши файлы, сотрудник запустил торрент, или ваш сосед злоупотребляет вашим WiFi, найдите и отключите их, и проследите, чтобы такого больше не происходило!
Для системного администратора
Необычные соединения?
На корпоративном шлюзе вы должны видеть SMTP соединения от ваших почтовых серверов, DNS-запросы от DNS-серверов и соединения TCP 80 и 443 от рабочих станций ваших сотрудников. Если же вы видите прямые запросы SMTP или DNS от рабочих станций во внешнюю сеть, это может быть признаком того, что на машине находится вредоносная программа, отправляющая спам. Если вы видите попытки подключения к портам с высоким номером или постоянные подключения к рабочим станциям, проверьте: это бизнес-приложение, или кто-то получает доступ к данным вашей компании.
Записи журналов событий содержат записи о доступе в необычное время?
Работая с сетью вы должны всегда анализировать журналы событий, отслеживая при этом не только информацию об ошибках, но и успешные попытки входа, произошедшие в необычное время. Поверьте, если вы видите запись о том, что сотрудник вошел в сеть в 3.30 утра — это был не он!
Для домашнего пользователя
Не можете войти?
Если вы не можете войти в систему и при этом уверены, что вводите правильный пароль, есть немаленький шанс, что ваша система была взломана, и пароль был сменен хакером.
Используете тот же пароль?
Риск взлома еще выше, если вы используете те же логин и пароль в различных системах и на веб-сайтах: банк-клиент, Facebook, Twitter, iDrive, Вконтакте, Одноклассники, Amazon, почта на Mail.ru, Yandex, Rambler, Gmail и т.д. Как вы думаете, что делает хакер, когда получает информацию о том, какой у вас пароль от почты? Он тут же начинает проверять, где вы еще используете тот же пароль!
Слишком высокая активность диска?
Если вы ничего не делаете, а диск начинает крутиться и работать, как сумасшедший, то помимо того, что это может быть начало антивирусной проверки или синхронизации файлов, это может означать, что на вашем компьютере завелась вредоносная программа, которая прямо сейчас начала поиск интересной информации в ваших файлах — разберитесь!
Заметили, что антивирус почему-то выключен?
Один из уверенных признаков того, что ваш компьютер заражен — это отключенный антивирус, особенно, если у вас не получается его самостоятельно включить обратно. Многие вредоносные программы умеют отключать антивирус, чтобы он им не мешал. В этом случае проверьте ваш компьютер бесплатным онлайн-сканером от Trend Micro или Microsoft
Непонятно откуда появляющиеся панели в браузере и программы
Если половина окна вашего браузера забита панелями с кнопками и рекламой, если вы видите аномальное количество рекламы и всплывающих окон там, где их никогда не было, и на компьютере присутствуют программы, которые вы никогда не устанавливали, то либо вашим компьютером пользуется подросток, который не следит за тем, что устанавливает, либо вас взломали.
Менеджер задач и монитор производительности не запускаются
Если какой-либо из стандартных инструментов Windows не запускается, особенно из тех, которые используются для того, чтобы узнать, что происходит, значит, они были заблокированы хакером или вредоносной программой. Если же вы можете запустить диспетчер задач, но внутри отображаются процессы, которых вы не запускали, имеет смысл расследовать, откуда они взялись.
Что-то запущено из папки с временными файлами?
Если вы запустили диспетчер задач и обнаружили, что подозрительные процессы работают из папок, предназначенных для временных файлов, то это явный признак того, что прямо сейчас что-то идет не так… За исключением случаев, когда в данный момент вы производите установку какой-нибудь загруженной из Интернет программы.
Что-то работает из папки System32, не имея подписи от Microsoft
Microsoft подписывает все исполняемые файлы в операционной системе, и вы можете проверить это из свойств файла. Если что-либо находится или, что еще хуже, запущено из папки \System32, но при этом не имеет корректной подписи от Microsoft — скорее всего это вредоносная программа.
Подозрительные программы в автозапуске
Если вы не можете объяснить, почему та или иная программа автоматически запускается со стартом компьютера, рекомендуем провести расследование: что именно делает эта программа, и откуда она взялась. Но будьте осторожны — многие современные программы (не только вредоносные) устанавливают себя в автозапуск, чтобы продолжать работать после перезагрузки компьютера, и часто имеют странные названия запускаемых файлов. Подозрительные программы можно проверить онлайн сервисами, например: www.VirusTotal.com
Не получается выключить компьютер
Последний признак того, что с системой явно что-то не так — когда вы не можете корректно выключить систему. Если хакер удаленно управляет вашим компьютером, у него есть все возможности не только, чтобы скачать всю интересующую его информацию с вашего компьютера, но и помешать ему выключиться или перезагрузиться прежде, чем он «заметет свои следы».
Заключение
Домашним пользователям очень рекомендуется повысить свою компьютерную грамотность и начать обращать внимание на поведение своего компьютера: узнать, какие программы для чего запускаются, научиться выявлять вредоносные программы, а также обращать внимание на то, какие «галочки» проставлены в установщиках игр, браузеров и программ, чтобы не установить вместе с ними лишнего (часто с установкой даже самых популярных браузеров или почтовых клиентов вы можете случайно «подхватить» огромное количество рекламы и шпионских программ).
У системных администраторов обычно хорошо развита интуиция и «чутье» на аномальную работу подчиненной им сети, но часто на все задачи просто не хватает рук: чтобы отследить все установленное ПО, проверить установку всех необходимых обновлений и патчей требуются специальные автоматические инструменты.
Компания GFI предлагает использовать GFI LanGuard — сканер уязвимостей сети.
GFI LanGuard можно использовать бесплатно в течение 30 дней без ограничений по функциональности — просканируйте вашу сеть бесплатно, оцените ситуацию и закройте найденные уязвимости в автоматическом режиме.