Eilen kone oli nopea, tänään Windows rämpii ja Counter-Strikessa FPS tippuu kesken kierroksen. Syynä voi olla rautavika, ylikuumentunut prosessori tai huonosti ajoitettu Windows-päivitys, mutta yhtä lailla taustalla saattaa pyöriä haittaohjelma. Tartunnat eivät nykyään aina huuda itseään, vaan osa on suunniteltu pysymään huomaamatta kuukausikaupalla.
Tässä artikkelissa käydään läpi ne käytännön merkit, joista haittaohjelman voi havaita kotikoneella, sekä Windowsin omat työkalut tilanteen selvittämiseen. Jos jokin tarkistus paljastaa jotain, lopussa ohjeet siihen, miten kone saadaan takaisin puhtaaksi.
Mitä haittaohjelmalla tarkoitetaan
”Haittaohjelma” (englanniksi malware) on kattotermi mille tahansa ohjelmistolle, joka ajetaan koneessa käyttäjän etujen vastaisesti. Eri tyypit oireilevat eri tavalla, ja tunnistaminen helpottuu, kun tietää mitä etsii.
| Tyyppi | Mitä tekee | Tyypilliset oireet |
|---|---|---|
| Troijalainen | Naamioituu hyödylliseksi ohjelmaksi, avaa takaoven | Tuntemattomia prosesseja, outoja verkkoyhteyksiä |
| Adware | Näyttää ja injektoi mainoksia | Popupit, muuttunut aloitussivu, uudelleenohjaukset |
| Cryptominer | Käyttää konetta kryptovaluuttojen louhintaan | 100 % CPU/GPU-käyttö tyhjäkäynnillä, kuuma kone, tuuletin pauhaa |
| Ransomware | Salaa tiedostot ja vaatii lunnaat | Tiedostot eivät aukea, näyttöön ilmestyy lunnasviesti |
| Keylogger | Tallentaa näppäinpainallukset | Ei juuri näkyviä oireita, salasanat alkavat ”vuotaa” |
| RAT | Remote Access Trojan, antaa hyökkääjälle etäpääsyn | Hiiri liikkuu itsestään, tiedostoja ilmestyy ja katoaa |
Sama tartunta voi yhdistellä useita tyyppejä. Cryptominerin mukana saattaa tulla keylogger, ja troijalainen avaa tien sille, mitä hyökkääjä seuraavaksi haluaa asentaa.
Kone hidastuu ja pelit tökkivät ilman selitystä
Ensimmäinen merkki, jonka pelaaja yleensä huomaa, on suorituskyvyn lasku. FPS tippuu pelissä, joka pyöri viime viikolla sujuvasti, työpöytä tahmaa ja tuuletin työntää kuumaa ilmaa vaikka mitään raskasta ei ole auki. Cryptominerit aiheuttavat tyypillisesti juuri tätä: ne vievät GPU:ta tai CPU:ta täysillä silloin, kun kukaan ei ole katsomassa.
Hyvä käytäntö on seurata Task Managerin (Ctrl + Shift + Esc) Prosessit-välilehteä hetken verran työpöydällä ilman että mitään kuormittavaa on auki. Jos CPU pysyttelee 60-90 prosentissa ja jokin tuntematon .exe on listan kärjessä, sieltä kannattaa kaivaa tarkemmin.
Pelkkä korkea käyttöaste ei vielä tarkoita haittaohjelmaa. Windowsin indeksointi, OneDrive-synkronointi ja pelikirjastojen päivittimet voivat polttaa resursseja täysin laillisesti. Erottava tekijä on tuttuus: laillisen prosessin nimi löytyy Googlella parissa sekunnissa, haittaohjelman ei.
Selain käyttäytyy kuin sitä ei olisi itse asentanut
Selain on yleisin haittaohjelman jakelukanava ja usein se paikka, jossa tartunta ensimmäisenä näkyy. Varoitussignaaleja on useampia:
- Aloitussivu on vaihtunut eikä suostu vaihtumaan takaisin
- Haku on ohjattu tuntemattomalle hakukoneelle
- Selaimeen on ilmestynyt laajennuksia, joita ei ole itse asennettu
- Sivuille ilmestyy popupeja ja mainoksia, joita niissä ei ennen ollut
- Linkit ohjautuvat välillä täysin eri osoitteeseen kuin mitä URL näytti
- Selain ehdottaa jatkuvasti ilmoitusten sallimista oudoilla sivuilla
Selainkaappaajat (browser hijacker) ja adware ovat näistä tyypillisimpiä aiheuttajia. Siivous lähtee selaimen laajennuslistan läpikäynnistä ja tarvittaessa selaimen palauttamisesta oletusasetuksiin. Chromessa ja Edgessä toiminto löytyy asetusten Palauta-kohdasta.
Verkkoliikenne ja järjestelmäoireet
Pelaajalle erityisen ikävä oire on ping, joka nousee selittämättä kesken matsin. Jos taustalla oleva haittaohjelma työntää dataa komento- ja hallintapalvelimelle, reititin saa uutta kuormaa samaan aikaan. Samasta syystä nettiyhteys voi tuntua hitaalta silloinkin, kun mikään näkyvä latausjono ei ole auki.
Käyttöjärjestelmän puolelta oireita voivat olla:
- Käynnistysvalikkoon ilmestyy ohjelmia, joita ei ole itse asennettu
- Työpöydälle tulee uusia pikakuvakkeita
- Windows-päivitykset epäonnistuvat toistuvasti
- Virustorjunta on sammutettu ilman omia toimenpiteitä
- Tiedostoja katoaa tai niiden päätteet muuttuvat (.lockbit, .crypt, satunnaisia kirjainyhdistelmiä – tyypillinen ransomware-merkki)
- Järjestelmään on luotu uusi käyttäjätili tai olemassa oleva on saanut lisäoikeuksia
Yksittäinen näistä ei vielä todista mitään, mutta kaksi tai kolme yhtä aikaa on melko selvä hälytys.
Windowsin omat tarkistustyökalut
Ennen kuin lähtee asentamaan mitään lisätyökaluja, Windowsissa on jo pieni setti, jolla pääsee alkuun.
Task Manager (Ctrl + Shift + Esc) näyttää ajossa olevat prosessit ja resurssien käytön. Käynnistys-sovellukset-välilehti kertoo, mitkä ohjelmat käynnistyvät Windowsin mukana. Jos listalta löytyy jotain, mitä ei tunnista, nimeä kannattaa etsiä verkosta ennen poistamista.
Resource Monitor (haku: resmon) on Task Manageria yksityiskohtaisempi. Verkko-välilehdeltä näkee, mitkä prosessit ottavat yhteyksiä ulkomaailmaan ja minne. Tuntematon ohjelma, joka juttelee jatkuvasti ulkomaisiin IP-osoitteisiin, on syy tarkempaan katsaukseen.
Komentokehote ja netstat -ano listaavat avoimet verkkoyhteydet ja niitä käyttävien prosessien PID-tunnukset. Sama PID löytyy Task Managerista, jolloin yhteys pystyy jäljitettyä nimettyyn ohjelmaan.
Event Viewer (eventvwr.msc) pitää kirjaa järjestelmän tapahtumista. Windows Logs -osion System- ja Security-alustat kertovat esimerkiksi epäonnistuneista kirjautumisyrityksistä, jotka voivat paljastaa etäkäyttöyrityksen.
Autoruns on Microsoftin Sysinternals-työkalu, joka näyttää kaiken Windowsin kanssa automaattisesti käynnistyvän huomattavasti kattavammin kuin Task Manager. Hieman edistyneempi käyttäjä saa sillä kiinni haittaohjelmien piilottuneet pysyvyysmekanismit.
Varsinaiset tarkistusohjelmat
Kun tilanteesta halutaan varmistua, kannattaa ajaa vähintään kaksi riippumatonta tarkistusta eri valmistajien työkaluilla.
Microsoft Defender Offline Scan on Windowsin sisäänrakennettu työkalu, joka käynnistää koneen erilliseen tarkastustilaan ennen Windowsin latautumista. Tämä paljastaa haittaohjelmat, jotka osaavat piiloutua käyttöjärjestelmän käynnissä ollessa. Työkalu löytyy polusta: Windowsin suojaus > Virus- ja uhkien suojaus > Skannausasetukset > Microsoft Defender Offline-tarkistus.
Malwarebytes Free on perinteinen kakkostarkistin, joka osuu hyvin adwareen, selainkaappaajiin ja ei-niin-ilmeisiin uhkiin, joita tavallinen virustorjunta päästää joskus läpi. Ilmainen versio ei tarjoa reaaliaikaista suojausta, mutta sitä ei tarvitakaan, jos Defender on jo päällä.
ESET Online Scanner on selaimesta käynnistettävä kertaskanneri. Se ei jää asentuneeksi koneelle vaan ajetaan tarpeen mukaan. Hyvä vaihtoehto silloin, kun halutaan vielä kolmas riippumaton mielipide.
Yleissääntö: älä koskaan aja kahta reaaliaikaista virustorjuntaa yhtä aikaa. Ne taistelevat keskenään ja saavat koneen polvilleen tehokkaammin kuin useimmat haittaohjelmat.
Jos tartunta vahvistuu
Kun jokin tarkistus löytää jotain, toimintajärjestys kannattaa pitää maltillisena:
- Irrota kone verkosta (ethernet irti, WiFi pois) jotta haittaohjelma ei ehdi vuotaa lisää dataa
- Varmuuskopioi vain välttämätön. Jos tiedostot eivät vielä ole salattuja, tärkeät dokumentit kopioidaan ulkoiselle levylle. Ransomware-tapauksissa lunnaita ei suositella maksettavan – rahan saatuaan hyökkääjä ei ole velvollinen palauttamaan tiedostoja mihinkään
- Aja valittu tarkistusohjelma loppuun ja anna sen karanteenoida tai poistaa löydökset
- Vaihda salasanat toiselta, puhtaalta laitteelta. Erityisesti sähköposti, pankki, Steam ja pelitilit kaksivaiheisen tunnistuksen kanssa kuntoon
- Jos tarkistus ei anna koneelle puhtaita papereita tai epäilys pysyy, ainoa varma keino on asentaa Windows puhtaalta pohjalta ja palauttaa tiedot varmuuskopioista
Rootkitit ja bootkitit piilottavat itsensä niin syvälle järjestelmään, että puhdas uudelleenasennus on ainoa luotettava siivous. Se tuntuu isolta operaatiolta, mutta pelikirjaston uudelleenlataus on nopeampi projekti kuin kuukausia piilossa pyörineen keyloggerin metsästys.
Suurin osa koti-infektioista olisi vältettävissä muutamalla perusperiaatteella: Windows ja sovellukset pidetään ajan tasalla, Windows Defender (tai vastaava virustorjunta) päällä, ohjelmistot ladataan valmistajan omilta sivuilta tai Microsoft Storesta ja cracked-peleistä sekä ”free VPN”-sovelluksista pidetään etäisyyttä. Jakelukanavia on monia, ja esimerkiksi ilmaisiksi tarjotut VPN-sovellukset ovat osoittautuneet toistuvasti yhdeksi riskialttiimmista kanavista. Haittaohjelman tunnistaminen ei vaadi tietoturva-ammattilaisen taustaa, vaan riittää että tietää mitä oireita kannattaa seurata, ja avaa Task Managerin sen sijaan, että sulkisi silmät koneen omituiselta käytökseltä.