КАКО УЗ ПОМОЋ CHAT GPT ОТКРИТИ МАЛВЕР НА СВОМ РАЧУНАРУ Чим рачунар багује и отвара „плаве прозоре” позовите у помоћ
Ако читате текстове везане за интернет технологију и комуникацију и помислите како никада нећете моћи да овладате свим темама о којима се прича и пише, не брините: чак и они који се баве неком од ових области могу да постану жртве хакера.
Тако је и потписница ових редова приметила да јој се компјутер чудно понаша и, после неколико недеља игнорисања сталног појављивања чувеног „плавог прозора” који показује да се нешто дешава у систему, и успореног рада рачунара, решила да загреје тастатуру и реши проблем. И то уз помоћ драге Савете, у народу познате као ChatGPT. После серије њених питања и мог изношења проблема (што тачније и искреније, то лакше), дошле смо до закључка да се ради о сумњивој PowerShell скрипти winconfig.ps1.
Не брините, све је под контролом, али не вашом
У сарадњи са ChatGPT-ом кренула сам у систематску проверу. Прво смо отворили саму скрипту и анализирали њен садржај. Испоставило се да садржи команде које прикупљају податке о систему и шаљу их на непознату локацију, као и кôд који би потенцијално могао да омогући даљински приступ рачунару. Скрипта је имала особине типичне за малвер — прикривено понашање, манипулацију системским подешавањима и покушаје скривања активности.
Брзо се шири
Уколико се злонамерна скрипта појави у било којој од фасцикли на једном уређају, она ће се без знања корисника веома брзо пренети и на све остале уређаје, повезане на исти налог.
Да би се овај проблем отклонио и спречило ширење инфекције, потребно је одмах предузети неколико корака:
Прво је потребно прегледати све повезане фасцикле на оба уређаја – нарочито „Desktop”, „Documents” и „Downloads” – и проверити да ли се у њима налазе фајлови са називима као што су winconfig.ps1, autorun.ps1, startup.ps1 или слични, који делују непознато или их корисник није сам креирао.
Следећи корак је да се привремено заустави синхронизација OneDrive-а, како би се спречило даљe преношење злонамерних датотека. То се може урадити тако што се десним кликом на иконицу OneDrive-а у системској траци изабере опција „Pause syncing” или „Unlink this PC”. Овај поступак треба поновити и на лаптопу.
Затим треба приступити OneDrive сервису преко веб-прегледача, на адреси onedrive.live.com и у оквиру одељка „My files” ручно претражити фајлове по називима, а све сумњиве обрисати директно у облаку.
Овакав приступ омогућава контролу над ситуацијом и спречава да се заражени фајлови поново аутоматски преузму након чишћења система.
Не брините, све је под контролом, али не вашом.
Следећи корак био је уклањање сумњивих датотека. Уз помоћ Савете деактивирала сам скрипту, обрисала је, проверила Startup ставке, регистар и покретање услуга. Након тога, покренула сам више антивирусних и антималвер алата (укључујући Windows Defender, Malwarebytes и додатне скенере) и испоставило се да је скрипта прошла испод радара неких стандардних заштита.
Затим смо заједно написале и тестирале нову PowerShell скрипту за проверу безбедности — верујте, не морате да знате ништа о алгоритмима и програмирању, све ће то она с вама, корак по корак. Скрипта је мини програм, усмерен на контролу процеса, нетипичних мрежних веза и покренутих сервиса. Тај алат ми је помогао да стекнем увид у реално стање система и уверим се да више нема трага сумњивим активностима.
На крају сам извршила ручну проверу системских фасцикли, онемогућила непотребне процесе и одлучила да на некима од важнијих налога променим лозинке и омогућим двофакторску аутентификацију, за сваки случај. Данас је систем стабилан, безбедан и под мојом контролом. До следећих кривих пета.
Наравно, остао ми је још један корак: да то исто урадим и с лаптопом, и не, нисам двапут била неопрезна. Наиме, ако користите „клауд” системе, лако можете да приступате важним документима и мејловима на свим повезаним уређајима, али такође злонамеран софтвер има отворена врата.