Вопрос или проблема
замечание: Хотя большинство ответов на Как я могу удалить вредоносное шпионское ПО, вредоносное ПО, рекламное ПО, вирусы, трояны или руткиты с моего ПК? связано с удалением вредоносного ПО из работающих систем, мой вопрос отличается.
Я определенно буду переформатировать диск и устанавливать новую операционную систему. Это уже очевидно. Я не буду искать способы “обезвредить” существующую установку.
Вместо этого я спрашиваю здесь о других формах энергонезависимой памяти в компьютере (например, GPU).
Я также спрашиваю о перезаписи случайных единиц и нулей в процессе переформатирования, чтобы убедиться, что никаких следов вредоносного ПО не останется в моем новом вредоносном коде и не активируется снова.
У нас есть компьютер DELL Precision T-3600, который, как сказали нам сетевые специалисты, майнил биткойны из-за некоторого взлома. Неизвестно, насколько серьезным был взлом (т.е. насколько вредоносным, пагубным, упорным и т.д.), поэтому мы предположим худшее.
Мы хотим переформатировать SSD NEO N510+ и сначала перезаписать его единицами и нулями, а затем выполнить чистую установку другой версии Linux (я еще не знаю, какой). Я открыл корпус, там нет других жестких дисков (и в приводе нет DVD), но есть видеокарта NVIDIA T600, которую мы сейчас не используем, но возможно будем экспериментировать с ней в будущем.
На данный момент я планирую вынуть GPU, потому что не знаю, есть ли у него прошивка или энергонезависимая память, которая могла бы быть взломана и теперь содержать что-то вредоносное, и нам это сейчас не нужно. Но мне интересно, может ли она содержать что-то вредоносное?
Я также не знаю, сколько энергонезависимой памяти имеет материнская плата ЦП или что-либо другое, или имеет ли она какой-либо потенциальный риск взлома.
Помимо переформатирования + перезаписи и чистой установки, что еще нам следует сделать?
Помимо переформатирования + перезаписи и чистой установки, что еще нам следует сделать?
Ничего.
У GPU действительно есть много прошивки, но она почти всегда является временной – она распространяется вместе с драйвером ОС, и драйвер должен загрузить её в память GPU при каждом запуске. Они также все чаще требуют проверки цифровой подписи (за что в основном можно благодарить MPAA).
Но если он майнил биткойны, то можно с большой долей уверенности считать, что взлом не был целенаправленным атакой, так как такие злоумышленники обычно стараются оставаться в тени вместо того, чтобы майнить биткойны, так что я бы не сильно беспокоился о прошивках GPU.
Такие вещи, как интерфейсы Ethernet, имеют энергонезависимую прошивку, с другой стороны, как и сама материнская плата вашего компьютера – как системную прошивку, так и прошивку Intel ME или AMD PSP, например, хотя по крайней мере последняя также имеет цифровую подпись.
Перезапись SSD несколько раз единицами и нулями довольно бесполезна. То, что может быть полезно против физического восстановления данных, бессмысленно для очистки от вирусов, так как ОС и ЦП не смогут “увидеть” перезаписанные данные, как это могут сделать лаборатории восстановления (вот почему такие лаборатории вообще существуют). С точки зрения ЦП, как только сектор диска был перезаписан, его данные пропали, так как они больше не будут возвращены операциями READ, и, следовательно, не могут повлиять на хост-пк никаким образом. Так что просто обнулите его один раз или используйте команду “безопасного удаления” SATA или NVMe – и всё должно быть в порядке.
Просто стереть машину и продолжать жить.
Нет рисков того, что вредоносное ПО каким-либо образом будет встроено в энергонезависимые компоненты. Просто стереть машину и продолжать жить.
“замечание: Хотя большинство ответов на Как я могу удалить вредоносное шпионское ПО, вредоносное ПО, рекламное ПО, вирусы, трояны или руткиты с моего ПК? связано с удалением вредоносного ПО из работающих систем, мой вопрос отличается.”
Это совсем не существенно отличается. Вы выдумываете сценарии, которые просто не существуют:
“Я также не знаю, сколько энергонезависимой памяти имеет материнская плата ЦП или что-либо другое, или имеет ли она какой-либо потенциальный риск взлома.”
Нет никаких рисков для ЦП, ЦП или ОЗУ. Никаких. Просто стереть машину и продолжать жить.
“На данный момент я планирую вынуть GPU, потому что не знаю, есть ли у него какая-либо прошивка или энергонезависимая память, которая могла бы быть взломана и теперь содержит что-то вредоносное, и нам это сейчас не нужно.”
Совершенная паранойя. Просто стереть машину и продолжать жить.
Также это…
“Я также спрашиваю о перезаписи случайных единиц и нулей в процессе переформатирования, чтобы убедиться, что никаких следов вредоносного ПО не останется в моем новом вредоносном коде и не активируется снова.”
Если это SSD, такой уровень удаления не нужен. Если это жесткий диск, возможно, это поможет. Но в основном это даст вам просто более высокий уровень уверенности в процессе. Риск того, что “зомби” вредоносное ПО оживет из удаленного устройства хранения, не существует. Даже просто стирание диска с помощью базового удаления “ноль-запись” – это немного перебор.
Ответ или решение
Как полностью очистить компьютер после заражения, помимо простого форматирования жесткого диска
После заражения компьютерной системы вредоносным ПО, важен тщательный подход к очистке устройства, чтобы гарантировать, что никакие элементы зловредного кода не остаются в системе. Вы упомянули необходимость форматирования SSD и установки новой операционной системы. Однако стоит разобраться и в других компонентах системы, которые могут оставлять следы вредоносных программ.
### 1. Подготовка к форматированию
Прежде всего, перед любой манипуляцией с диском убедитесь, что у вас есть резервные копии всех критически важных данных. В случае с заражением важно соблюдать осторожность: перед копированием убедитесь, что на резервных копиях нет вредоносного ПО.
### 2. Форматирование и стирание данных
Современные твердотельные накопители (SSD) имеют встроенные функции для безопасного удаления данных. Используйте команду “secure erase” для полного восстановления SSD. Она эффективно удаляет все данные, не оставляя следов. При использовании “secure erase” данные будут уничтожены, и возможности восстановить их с помощью программ для восстановления данных будут крайне ограничены.
Если у вас был жесткий диск (HDD), будет полезно использовать утилиты для многоразового перезаписывания данных, такие как DBAN (Darik’s Boot and Nuke) или другие программы, поддерживающие многоразовое перезаписывание. Это важно для предотвращения восстановления данных, но для SSD такой подход как правило не требуется.
### 3. Удаление дополнительных компонентов
Вы упомянули о наличии NVIDIA T600 GPU. Видеокарты имеют встроенную память и могут содержать прошивки, сохранившиеся после заражения. Однако современные GPU, такие как NVIDIA, чаще всего обновляют свою прошивку при установке драйверов, что значительно уменьшает риск наличия вредоносного кода на них. Тем не менее, в ситуациях несанкционированного доступа к системе, такие компоненты лучше извлечь до завершения процесса очистки.
Также рекомендую удалить и установить заново любые дополнительные устройства, подключенные к материнской плате, например сетевые карты. Эти устройства могут иметь неустранимые уязвимости в прошивках.
### 4. Обновление прошивки
После очистки системы и установки новой операционной системы обязательно обновите прошивки на всех устройствах, включая материнскую плату, сетевые карты и GPU. Обновление часто закрывает уязвимости, которые могут быть использованы вредоносным ПО.
При обновлении прошивки убедитесь, что и сама прошивка получает обновления из надежных источников. Проверка на наличие цифровых подписей также должна стать стандартной практикой, что уменьшает риск установки подделок.
### 5. Новый уровень безопасности
После установки новой операционной системы следует установить антивирусное программное обеспечение и содействовать регулярному обновлению системных компонентов. Реализуйте политики безопасности, включая использование межсетевых экранов и настройку правил для ограничения доступа к сети.
### 6. Мониторинг и поддержка
Наконец, введите регулярный мониторинг системы на наличие подозрительной активности. Используйте сетевые анализаторы для того, чтобы следить за трафиком и активностью системы. Например, наличие аномальной активности может говорить о возможности дальнейшего заражения.
### Вывод
Очистка компьютера после заражения – это многопроцессный и своевременный процесс, который включает в себя как физическое, так и программное восстановление системы. Советуем следовать описанным выше шагам для минимизации риска повторного заражения, уделяя особое внимание обновлению и мониторингу системы.
Соблюдая вышеуказанные рекомендации, вы сможете восстановить систему безопасно и эффективно.