Witam serdecznie. Przez mój idiotyzm w cyberbezpieczeństwie zostałem ofiarą szantażu. (list dołączony poniżej) Jestem pewien że jest to złośliwe oprogramowanie ze względu na fakt, że do listu został dołączony screenshot mojego ekranu i aktualne hasła. Z listu wynika że format dysku nic nie działa dlatego moje pytanie brzmi czy może być to wirus BIOSowy, który zainfekuje każdy nowy lub sformatowany dysk, oraz jeżeli tak to w jaki sposób mogę się go pozbyć. Jeżeli jednak nie to czy opcja „czyszczenie dysku” zamiast „zachowaj moje pliki” jakoś pomoże? Jeżeli nie to co mogło by pomóc. Nwm czy dobry topic dałem ale nowy/zielony w tym jestem. (Wszystkie Gmaile i konta mają już zmienione hasła, wylogowalem się z innych możliwych urządzen i włączyłem dwuetapowe logowanie)
Ja bym raczej stawiał na sprytnego wirusa, który ukrywa się w sektorach startowych dysku albo w innym miejscu. Zwykłe formatowanie nie usunie czegoś takiego dlatego proponuję całkowite wymazanie dysku sektor po sektorze. Jest wiele programów do tego np. AOMEI Partition Assistant. Można dysk wymazać bezpośrednio spod niego (po instalacji) albo tworząc bootowalny nośnik i uruchomić z niego kompa (może być potrzebny jeszcze Windows ADK).
W przypadku dysków SSD/M2 mamy jeszcze możliwość wykonania tzw. Secure Erase - trzeba mieć odpowiedni program od producenta dysku.
Mogę go wymazać podpinając go do innego komputera (nwm czy wtedy nie rozprzestrzeni się na inne dyski) czy mam go wymazać po zainstalowaniu programu (nwm jak go mam wymazać programem skoro aby program działał potrzebuje systemu operacyjnego)
Jeżeli podpięcie go do innego komputera by spowodowało zarazę to to samo stanie się jeżeli podępne inny dysk do mojego kompa aby przerzucić ważne dla mnie pliki? Czy raczej zawirusowana będzie tylko partycja z windowsem. Ten dysk to 1TB SSD od Samsunga nic nadzwyczajnego
I właśnie tak zrób - tylko nie wolno ci cokolwiek uruchamiać z niego. Możesz przerzucić ważne dane na drugi dysk ale sprawdź je później antywirusem. Samsung ma dedykowany program dla swoich dysków SSD/M2 - Samsung Magician - powinien mieć opcję Secure Erase (może się inaczej nazywać), zwykłe wymazywanie może trochę potrwać.
P.S. W przypadku posiadania tylko 1 dysku tworzy się bootowalny nośnik z Windowsem i odpowiednim programem np. partycjonowanie/backup/wymazywanie itp.
" W przypadku posiadania tylko 1 dysku tworzy się bootowalny nośnik z Windowsem i odpowiednim programem np. partycjonowanie/backup/wymazywanie itp." mówisz o tym że jeżeli mam tylko 1 dysk i użyje Samsung magician software to wymaże mi wszystko bez kombinowania z drugim dyskiem z windowsem? Mogę głupio pytać ale zielony jestem
No nie
Tutaj akurat jest mowa o programie AOMEI Partition Assistant (i jemu podobnych) - ten program potrafi zrobić nośnik bootowalny (Windows PE), uruchomi komputer a następnie AOMEI PA - i spod niego można wymazać dysk. Jest to opcja przydatna jak ma się tylko 1 dysk bo nie uruchomisz wymazywania spod normalnego Windowsa. Samsung Magician nie potrafi czegoś takiego - trzeba posiadać inny dysk z Windowsem.
Czyli Magican broni się przed startem w WinRE i WinPE (jak nie użyto wymyślnego stylu programowania)?
Jeśli nie miałeś na dysku nic takiego, czym naprawdę można cię szantażować, to raczej nie ma się czym przejmować. Hasła zmieniłeś, włączyłeś MFA, na przyszłość może warto pomyśleć o kluczach Yubikey, ale to tylko taka luźna sugestia. Też stawiam na „wirus” (w szerokim tego słowa znaczeniu) będący na dysku. Ale kto wie, wykluczyć infekcji BIOS nie można. Wtedy może być konieczne ponowne programowanie BIOS-u, no ale to ostateczność. Dla większej pewności warto zresetować BIOS i uaktualnić go do najnowszej wersji
Co do dysku. Odepnij dysk od komputera i wykonaj jego zerowanie (wymazywanie) na całej powierzchni dysku spod innego systemu. Upewnij się wcześniej, że nie ma na nim, w katalogu głównym, pliku autorun.inf (jeśli jest, to go usuń). Warto też na komputerze do którego go podepniesz wyłączyć autoodtwarzanie:
Nie wiem jakie narzędzia oferuje producent dysku, ale korzystając z innych watro włączyć tylko jednokrotne nadpisanie każdej komórki pamięci.
A później, już po zainstalowaniu systemu od zera, warto tak ustawić kontrolę konta użytkownika:
Przed chwilą użyłem opcji w Samsung magician secure erase, załadowałem oprogramowanie na pendrive (na zarażonym kompie ale tutaj raczej jeszcze mogę) a następnie odpaliłem dysk startowy w BIOS na ten dysk flash. Zainstalowałem windowsa z innego pendrive’a, już z innego kompa, i rozumiem że raczej już nic nie powinno się stać. Jeżeli tak to jeszcze się zapytam, jak mogę, już na windowsie, sprawdzić czy rzeczywiście wszystko się zgadza i na pewno nic groźnego na nim się nie znajduje?
O kurde jest taka zajebista opcja w windowsie?
Nie wiem, nie próbowałem uruchamiać Samsung Magician w środowisku Windows PE.
Czym jest WinRe i WinPe?
To są specjalnie „spreparowane” Windowsy do zadań specjalnych: odzyskiwania, naprawiania i uruchamiania niektórych programów - szczegóły w Wikipedii.
Jeśli dobrze to zrobiłeś to przy podłączeniu tego dysku do Windowsa system zażąda jego inicjacji.
Tz? Normalnie zainstalowałem windowsa z nośnika na tego SSDka
Przy zwykłej instalacji Windowsa inicjacja nowego (czystego) dysku odbywa się z automatu (niewidoczna).
P.S. Koniecznie sprawdź antywirusem te dane, które skopiowałeś przed wymazaniem dysku bo może tam coś się uchowało.
Pamiętam. Jak mogę jeszcze sprawdzić czy na 100% nic się nie zachowało z tego wirusa?
Ze strony Eseta pobierz najnowszą wersję.
P.S. Praktycznie każda „firma antywirusowa” ma w swojej ofercie darmowy dysk ratunkowy. Jeśli nie ten to inny.
W przypadku firmware rootkitów infekujacych Bios/uefi stosuje sie dwa rozwiązania.
Resetuje sie Cmos (zworka, bateria) a Bios/uefi do opcji Default lub nadpisuje sie Bios/uefi nową /starą wersją ze strony producenta.
Oczywiscie oprócz innych tradycyjnych działań które robi sie w przypadku zwykłej infekcji.