Com eliminar malware persistent amb eines de rescat externes

Quan un virus, troià o cuc s'instal·la a fons al teu equip, deixa de ser el típic “bitxo” fàcil d'esborrar amb un simple escaneig ràpid. Hi ha amenaces que es carreguen abans fins i tot que arrencada el sistema operatiu, desactiven l'antivirus, bloquegen les actualitzacions i s'amaguen en sectors d'arrencada, memòria o processos crítics. En aquests casos, o canvies la manera d'atacar el problema o el programari maliciós seguirà aquí, per molt bons que siguin els teus anàlisi des de Windows.

La bona notícia és que avui tenim un arsenal de solucions molt potent: des de discos i USB de rescat booteables que funcionen fora de Windows, fins i tot eines portables, analitzadors avançats, modes d'arrencada segura, utilitats de Microsoft i suites de tercers. Tot això, combinat amb bones pràctiques de seguretat i una mica de sentit comú, et permet eliminar fins i tot malware molt persistent i reforçar la protecció perquè no es torni a colar tan fàcilment.

Per què certs malwares són tan difícils d'eliminar

Els creadors de codi maliciós juguen amb avantatge: desenvolupen atacs cada cop més sofisticats que exploten badades de l'usuari i fallades de seguretat sense pegats. Molts d'aquests codis maliciosos s'executen abans del sistema operatiu i de l'antivirus resident, s'injecten al sector d'arrencada, manipulen el registre, creen serveis ocults o es camuflen com a processos legítims.

Això fa que, encara que tinguis un antivirus actualitzat, hi hagi infeccions que no es detecten o no es poden esborrar en calent perquè el malware mateix es protegeix, es regenera o bloqueja la solució de seguretat. Per això, quan notes comportaments molt rars —errors aleatoris, arxius que desapareixen, canvis de contrasenyes, aplicacions per defecte modificades o un sistema que va “posseït”— sigui el moment d'anar a buscar solucions de rescat més agressives.

Antivirus de rescat: què són i per què marquen la diferència

Dins del món de la seguretat destaquen els anomenats antivirus o discos de rescat. Són sistemes preparats per arrencar des d'una unitat externa (CD, DVD o, sobretot, pendrive USB) amb un entorn propi, normalment basat en alguna distribució GNU/Linux, que funciona totalment independent del teu Windows o macOS.

El seu gran avantatge és que s'inicien abans que el sistema infectat. Així el codi maliciós que es carrega a l'arrencada ni tan sols arriba a activar-se, i l'eina de rescat pot analitzar el disc “en fred”, amb accés directe al sistema d'arxius, al sector d'arrencada ia totes les particions, sense interferències de processos maliciosos.

A més, aquests discos de rescat no necessiten estar instal·lats de forma permanent: els uses quan els necessites i la resta del temps no consumeixen recursos ni penalitzen el rendiment. Per a molts usuaris, tenir un daquests USB desat és tan essencial com tenir un tornavís a casa.

Com es crea i es fa servir un mitjà de rescat booteable

La majoria d'antivirus de rescat es distribueixen com imatges ISO o IMG “Live” preparades per arrencar des d'unitats externes. El procés general és semblant en tots:

• Descarregues la imatge ISO des de la web oficial del proveïdor.
• Fes servir una eina com Rufus, UNetbootin, Etcher o una altra de similar per “cremar” aquesta ISO en un pendrive USB o un CD/DVD.
• Configures la BIOS/UEFI del PC perquè engegueu primer des de l'USB o el lector òptic abans que des del disc intern.
• Reinicieu l'equip amb el mitjà inserit i continueu l'assistent de l'eina de rescat.

Un cop carregat l'entorn de rescat veuràs diferents interfícies: algunes en mode text molt espartà, altres gràfiques amb finestres i botons. Però gairebé totes permeten actualitzar la base de dades de signatures, fer escanejats complets del disc, del sector d'arrencada i d'unitats externes, posar en quarantena o eliminar fitxers infectats i generar informes.

L'important és que, en tenir accés directe als discos sense que Windows estigui arrencat, aquestes eines poden desfer-se de amenaces persistents (rootkits, bootkits, troians que es regeneren, etc.) que els antivirus instal·lats de vegades ni fan olor.

Selecció d'antivirus de rescat gratuïts més útils

Els grans fabricants de seguretat solen oferir alguna forma de disc o USB de rescat gratuït. Encara que alguns a penes actualitzen la interfície, el més crític aquí és que es mantinguin al dia les definicions de codi maliciós i que el motor d'anàlisi segueixi sent potent.

• ESET SysRescue Live: probablement un dels més ben mantinguts. Suporta totes les versions de Windows, incloent servidor. Permet arrencar des de CD, DVD o USB, amb diverses maneres d'exploració (sota demanda, intel·ligent o personalitzada) i una interfície clara.
• CD de rescat AVG: ofereix imatges separades per a CD i per a USB. La seva interfície és molt bàsica en mode text, però compleix: actualitza firmes i realitza escanejats profunds sense distreure's amb floritures.
• Disc de rescat de Kaspersky: basat en Gentoo, la interfície fa anys que no es renova però continua muntant el motor de detecció d'un dels líders del sector. Descarregues la ISO, la graves en un mitjà d'arrencada ia funcionar.
• Eina de recuperació d'arrencada Norton: destaca pel seu assistent de creació del disc, que permet generar el mitjà sense necessitat de programes externs. La interfície gràfica és minimalista: bàsicament escanejar i netejar, gairebé sense opcions avançades.
• Panda SafeDisk: molt senzilla, amb poques opcions de personalització. Llança un assistent que actualitza les definicions i comença a analitzar tot el sistema a la recerca darxius maliciosos amb un clic.
• Trend Micro Rescue Disk: la més “pelada” de totes quant a disseny, en mode text minimalista amb unes poques opcions bàsiques. Ideal si vols alguna cosa lleugera que simplement escaneji i netegi.
• Sistema de rescat Avira: ofereix descàrrega d'ISO amb una interfície gràfica simple però clara. Poques funcions extra, però un motor de detecció sòlid i bona capacitat dactualització de signatures.
• CD de rescat de Bitdefender: durant anys va ser de les favorites. Encara que s'ha substituït pel “Mode de Rescat” integrat als seus productes, segueix havent-hi ISOs basades en Xubuntu accessibles en fitxers històrics que permeten no només eliminar virus, sinó fer més tasques de manteniment. Encara que el sistema base estigui vell, les firmes se segueixen actualitzant.
• CD de rescat F-Secure: un clàssic dels CD de rescat, basat en Knoppix. No té interfície gràfica real, només un diàleg en text que pregunta si vols iniciar l'anàlisi. Senzill, però funcional per a neteges dures.
• Avast Rescue: no ofereix ISO directa; l'única manera és crear el mitjà de rescat des d'un Avast ja instal·lat al PC. El més positiu és que es pot fer amb la versió gratuïta descriptori.

Tenir algun d'aquests mitjans preparats per endavant és clau per a aquells moments en què Windows ni arrenca bé, l'antivirus no s'obre o el sistema es comporta de manera caòtica. En moltes infeccions serioses són l'única forma realista de recuperar el control.

Ús d'USB i eines portables per netejar infeccions

Més enllà dels discos de rescat “complets”, pots portar sempre a un pendrive utilitats portables i eines d'emergència que et treguin un problema quan el sistema encara arrenca, però està tocat.

Antimalware portables i MSRT

Una estratègia molt pràctica és tenir al teu USB un antimalware fiable com o eines de Microsoft com la Malicious Programari Removal Tool (MSRT) o Microsoft Safety Scanner. Les uses per realitzar un escaneig fort des del propi Windows, sobretot quan sospites de troians, spyware, adware o ransomware que l'antivirus resident deixa passar.

Això sí, recorda que MSRT no substitueix un antivirus complet: està pensada per eliminar un conjunt limitat de codi maliciós molt estès i només treu programari maliciós que estigui en execució. És una eina de neteja posterior a la infecció, no de protecció en temps real.

Eines especialitzades que s'executen des d'USB

Hi ha utilitats pensades específicament per arrencar i fer-se servir des d'una unitat externa en equips amb Windows, que funcionen com netejadors d'emergència molt lleugers. Un parell d'exemples:

• Kit d'emergència Emsisoft: un paquet portable molt complet amb escàner, netejador i altres utilitats de seguretat per a anàlisis a fons.
• Sophos Scan & Clean: centrat en la detecció de spyware, troians i rootkits, incloent vulnerabilitats de dia zero i amenaces avançades.

En molts casos l'ideal és preparar la unitat USB com arrancable perquè la neteja es faci fora de Windows, igual que als discos de rescat. Així pots analitzar discos i particions infectades sense risc que el codi maliciós s'executi durant el procés.

Crear un pendrive de rescat amb un entorn segur

Una altra estratègia molt efectiva consisteix a preparar un pendrive de rescat amb un sistema operatiu alternatiu com SystemRescue o una altra distro Linux preparada per a emergències. Aquests sistemes permeten:

• Arrencar quan Windows no inicia o està inestable.
• Accedir als discs interns per copiar fitxers importants abans de formatar.
• Executar antivirus o antimalware en un entorn completament aïllat.
• Reparar particions, sectors o carregador d'arrencada.

Normalment es descarrega una imatge ISO de SystemRescue (o una altra de similar) i es grava amb Rufus o Etcher en un USB, usant un esquema MBR, format FAT32 i compatibilitat BIOS/UEFI. Cada vegada que el PC presenti problemes greus, arrenques amb aquest pendrive, tries la unitat afectada i llances les eines de diagnòstic i neteja, evitant que la infecció s'estengui més.

Antivirus integrats: el paper de Windows Defender

Mentre no utilitzes discos externs, a Windows tens un aliat important: Microsoft Defender (Windows Defender). Ve activat per defecte i ofereix un nivell de protecció en temps real molt digne, amb tallafocs, protecció de xarxa, protecció al núvol, defensa contra ransomware, control d'aplicacions i revisió de seguretat del dispositiu.

Windows Defender s'integra amb el sistema mitjançant el panell de Seguretat de Windows, des d'on pots:

• Vegeu l'estat general (icones verdes, grogues o vermelles segons urgència de les accions).
• Executar diferents tipus d'anàlisis (ràpid, complet, personalitzat i Defensar sense connexió).
• Actualitzar les definicions d'amenaces manualment o via Windows Update.
• Configurar protecció contra ransomware amb còpia a OneDrive.
• Gestionar exclusions i accions sobre fitxers en quarantena.

Cada vegada que detecta malware, Defensar registra l'esdeveniment al Historial de protecció i us mostra l'estat de l'amenaça: bloquejada, en quarantena o amb correcció incompleta. Des d'aquí pots decidir si treure, mantenir en quarantena, permetre al dispositiu o investigar més.

Si apareix un fals positiu, pots afegir l'arxiu o carpeta a la llista d'exclusions, però cal fer-ho amb molt de cap: excloure una cosa infectada és regalar via lliure al codi maliciós (malware).

Quan Defensar es queda curt i convé fer servir altres suites

Defender ha millorat una barbaritat i en moltes proves detecta més del 99% del codi maliciós conegut, apropant-se força a les solucions comercials. Tot i això, els antivirus de pagament solen incloure extres avançats: VPN integrada, control parental, protecció bancària, sandbox, protecció davant de minat de moneda digital, Etc

Si gestiones informació molt sensible, treballes en entorns empresarials, estàs subjecte a normatives de seguretat o administres molts dispositius en xarxa, et pot interessar una suite comercial amb gestió centralitzada i capacitats avançades de monitorització.

Alguns exemples potents que se citen sovint són Bitdefender, Kaspersky o Norton, que ofereixen protecció en temps real molt afinada, eines específiques contra ransomware, còpies al núvol, tallafocs millorats i mòduls de privadesa. Això sí, quan n'instal·les un, Windows Defender es desactiva automàticament per evitar conflictes, encara que manté algunes funcions de seguretat complementàries.

Monitorització activa d'amenaces: més enllà de l'antivirus

La seguretat avui no només va d'instal·lar un antivirus i oblidar-te. El volum d'atacs, la quantitat de dispositius connectats (IoT, càmeres IP, televisors, impressores, NAS…) i les vulnerabilitats constants en programari i maquinari obliguen a practicar una vigilància activa.

L'anomenat monitoratge actiu d'amenaces consisteix a revisar de forma periòdica i proactiva que:

• Els equips estan actualitzats i sense pedaços pendents.
• No hi ha programes obsolets ni plugins oblidats amb errors greus.
• Les contrasenyes continuen sent robustes i no s'han filtrat.
• No s'han instal·lat extensions ni aplicacions sospitoses.
• El comportament del sistema (consum de CPU, RAM, xarxa) és normal.

Això és especialment important perquè els atacants no paren d'innovar, el codi maliciós es propaga amb facilitat per la xarxa interna i moltes aplicacions o extensions “innocents” poden canviar de mans i tornar-se malicioses en una actualització.

Tipus de codi maliciós especialment perillosos a tenir en compte

No tot el codi maliciós es comporta igual. Convé conèixer algunes categories especialment molestes o destructives que et poden fer suar fins i tot amb bones eines.

Drive-by malware

El drive-by malware es distribueix a través de llocs web infectats o directament creats per atacar. Només cal visitar una pàgina compromesa o fer clic en un enllaç maliciós perquè es descarregui o executi codi sense que només te n'adonis.

Els atacants col·loquen enllaços enverinats a webs legítimes, anuncis (malvertising) o correus. Quan l'usuari entra o accepta suposades “actualitzacions” o “escanejos de seguretat”, s'instal·la el codi maliciós (malware), que pot obrir portes del darrere, robar dades, instal·lar ransomware o convertir el teu equip en part d'una botnet.

Per protegir-te, és clau fer servir el sentit comú (no instal·lar res des de pop-ups rars), tenir el navegador i els plugins pegats i comptar amb un bon antivirus que bloquegi descàrregues automàtiques sospitoses.

Wiper: malware que ho esborra tot

Els eixugaparabrises són una de les pitjors categories: el seu objectiu és esborrar el contingut de discos i memòries. No xifren com el ransomware, directament destrueixen la informació. Un sol fitxer maliciós obert des del correu o un enllaç enganyós pot significar la pèrdua completa de documents, còpies de seguretat connectades i unitats externes.

Aquí més que mai juguen un paper crucial les còpies de seguretat desconnectades (en discos externs que no estiguin sempre endollats, o al núvol ben gestionat), la prudència amb adjunts i links, les eines de seguretat i, de nou, mantenir-ho tot actualitzat per reduir la superfície d'atac.

Ramnit: exemple de cuc agressiu a Windows

Ramnit és un bon exemple de codi maliciós específic per a Windows que combina cuc i troià. Es propaga molt ràpid, sobretot a través de memòries USB infectades i descàrregues de programari modificat (pegats, cracs, programes piratejats).

Infecta principalment arxius EXE i HTML, i pot obrir una porta del darrere que permet a un atacant remot descarregar més amenaces i executar codi a la teva màquina. Si no es frena a temps, acaba estenent-se per tot el sistema i el pot inutilitzar.

Per eliminar-lo, el més recomanable és un anàlisi exhaustiva amb un antivirus potent que revisi tant el disc intern com tots els dispositius extraïbles, combinat si cal amb eines específiques de proveïdors com Symantec dissenyades per a Ramnit. Si el sistema ja està molt compromès, de vegades la solució realista és formatar i reinstal·lar Windows des de zero.

Programari maliciós com a servei (MaaS)

El Programari maliciós com a servei (MaaS) ha convertit el cibercrim en un negoci “com un altre qualsevol” però al costat fosc. Bàsicament, desenvolupadors de malware ofereixen kits llestos per utilitzar, panells de control, suport tècnic i actualitzacions, igual que qualsevol SaaS legítim, però per llançar ransomware, DDoS, troians bancaris o altres barbaritats.

Això baixa molt la barrera d'entrada: algú amb pocs coneixements pot, pagant una subscripció, llençar campanyes molt perilloses amb eines ben afinades. És un dels motius pels quals veiem atacs cada cop més freqüents i sofisticats.

L'única defensa raonable per a l'usuari mitjà és reforçar la prevenció: compte amb correus urgents que demanen dades, adjunts sospitosos, webs dubtoses i formularis que demanen credencials. Fixar-te en l'assumpte (“urgent”, “es tanca el teu compte avui”, etc.), el remitent i els adjunts sol delatar molts intents de pesca.

Rogueware: falsos antivirus i alertes enganyoses

El rogueware es presenta com un fals antivirus o eina de neteja que et llança alertes alarmistes: “El teu PC està greument infectat”, “S'han trobat 500 virus”, etc. Et convida a fer clic per a “reparar” i, en fer-ho, instal·les realment el codi maliciós (malware).

Molts cops aquests missatges apareixen mentre navegues per pàgines dubtoses o després d'instal·lar alguna extensió o programa sospitós. El truc sempre és el mateix: forçar l'usuari a interactuar voluntàriament perquè accepti la descàrrega.

Per esquivar això, mai has de instal·lar “antivirus” que apareguin per sorpresa al navegador. Utilitza només solucions conegudes, descarrega-les des dels seus webs oficials o des de la botiga del teu sistema (Microsoft Store, Mac App Store, etc.), i desconfia de qualsevol pop-up que et prometi neteges miraculoses en un clic.

Passos generals per netejar malware persistent a Windows i Mac

Tot i que cada cas té els seus matisos, quan detectes una possible infecció forta hi ha una sèrie de passos raonables que pots seguir abans de llençar la tovallola:

• Desconnecta d'Internet i de la xarxa local per limitar la propagació i tallar la comunicació amb servidors de comandament i control.
• Arrenca en Mode Segur (en Windows, des d'Opcions avançades > Configuració d'inici; a Mac, mantenint premuda la tecla Shift en encendre) per limitar la càrrega de controladors i serveis.
• Desinstal·la aplicacions i extensions sospitoses des del Tauler de control (Windows) o la carpeta Aplicacions (Mac), i neteja extensions de navegador que no reconeguis.
• Passa múltiples escanejats amb diferents motors (per exemple Defensar + Malwarebytes + ESET Online Scanner) per augmentar la probabilitat de detecció.
• Revisa processos actius amb Administrador de tasques (Windows) o Monitor d'activitat (Mac) i tanca allò que clarament sigui maliciós, investigant l'origen dels executables.
• Neteja arxius temporals i caixets per eliminar possibles restes i incrementar rendiment.
• Si el problema persisteix, utilitza una eina de rescat externa booteable per escanejar i netejar fora del sistema operatiu.
• Com a últim recurs, reinstal·la el sistema operatiu des de zero des d'un mitjà net, després de salvar les dades imprescindibles amb un entorn de rescat.

Si tot i així la cosa es resisteix, és el moment de plantejar-se la ajuda d'un tècnic especialitzat que tingui eines forenses i experiència en neteges complexes.

Com blindar-te després d'haver eliminat el codi maliciós (malware)

Un cop has aconseguit alliberar-te del codi maliciós (malware), toca rematar la feina reforçant la seguretat per minimitzar futures infeccions, perquè els atacants no deixaran d'intentar-ho.

• Mantingues sistema i programes actualitzats, inclosos navegadors, plugins, ofimàtica i firmware de dispositius.
• Fes servir sempre programari legal i fonts oficials per descarregar programes; fuig de cracs, keygens i repositoris pirata.
• Activa i configura bé el teu antivirus (Defendre o la suite que facis servir), amb protecció en temps real, escanejats programats i protecció del núvol.
• Practica còpies de seguretat freqüents, idealment amb una còpia desconnectada (disc extern) i, ​​si pots, una altra al núvol xifrat.
• Reforça les teves contrasenyes i activa 2FA en serveis crítics perquè un robatori de credencials no es converteixi en un desastre.
• Desconfia per sistema de correus, missatges i webs que demanin dades amb presses o alarmisme.
• Valora fer servir una VPN fiable en xarxes públiques per protegir el teu trànsit davant d'humidejadors.

Si combines un antivirus sòlid (sigui Windows Defender o una suite de pagament) amb discos de rescat preparats, eines portables al teu USB, actualitzacions constants i un mínim de prudència en navegar i descarregar, tindràs moltes més paperetes de neutralitzar fins i tot malware persistent amb ajuda d'eines de rescat externes i mantenir els teus equips en condicions, sense viure amb la por constant que “una cosa rara” estigui fent de les seves per darrere.