Как да защитите Windows 10 и 11 от ransomware. Рансъмуерът е широко разпространен, но има няколко начина, по които отделни лица и администратори могат да защитят своите компютри с Windows 10 и 11. Ето какво да направите.
Cryptolocare. Искам те. Тъмната страна. Conti. Шкафче Медуза. Заплахата от рансъмуер няма да изчезне почти ; Новините носят постоянни съобщения за нови вълни от този злонамерен вид зловреден софтуер, разпространяващ се по целия свят. Той е популярен до голяма степен поради незабавното финансово изплащане на нападателите: работи, като криптира файловете на вашия твърд диск, след което изисква от вас да платите откуп, често в биткойн или друга криптовалута, за да ги дешифрирате.
Но не е нужно да сте жертва. Има много неща, които потребителите на Windows 10 и 11 могат да направят, за да се защитят от него. В тази статия ще ви покажа как да се предпазите, включително как да използвате вградения в Windows инструмент срещу ransomware.
(Администратори, вижте „Какво трябва да знае вашият ИТ отдел за ransomware и Windows“ в края на тази статия.)
Тази статия предполага, че вече предприемате основни предпазни мерки срещу злонамерен софтуер като цяло, включително стартиране на софтуер срещу злонамерен софтуер и никога не изтегляте прикачени файлове или щракате върху връзки в имейли от неизвестни податели и имейли, които изглеждат подозрителни. Също така имайте предвид, че тази статия е актуализирана за актуализацията на Windows 10 ноември 2021 г. (версия 21H2) и актуализацията на Windows 11 октомври 2021 г. (версия 21H2). Ако сте имали по-ранна версия на Windows 10, някои неща може да са различни.
Използвайте контролиран достъп до папки
Microsoft се интересува достатъчно от ransomware, че са изградили лесен за конфигуриране инструмент срещу ransomware директно в Windows 10 и Windows 11. Наречен Controlled Folder Access, той ви защитава, като позволява само на безопасни и напълно проверени приложения да имат достъп до вашите файлове. Преминаването на неизвестни приложения или известни заплахи за зловреден софтуер не е разрешено.
По подразбиране функцията не е включена, така че ако искате да се предпазите от ransomware, ще трябва да й кажете да започне да работи. Можете да персонализирате как точно работи, като добавите нови приложения към белия списък с програми, които имат достъп до файлове, и добавите нови папки в допълнение към папките, които защитавате по подразбиране.
За да го стартирате, ще ви трябва достъп до Windows Security. Има няколко начина за достъп до него както в Windows 10, така и в Windows 11:
- Щракнете върху стрелката нагоре от лявата страна на лентата на задачите, след което щракнете върху иконата за защита на Windows - щит.
- Щракнете Старт > Настройки За да отворите приложението Настройки, след това изберете Актуализация и защита > Защита на Windows В Windows 10 или Поверителност и сигурност > Защита на Windows В Windows 11.
- Използвайте Windows търсене. В Windows 10 полето за търсене се намира в лентата на задачите до бутона "Старт". В Windows 11 щракнете върху иконата за търсене в лентата на задачите, за да отворите прозореца за търсене. Тип Windows Security в следващото поле за търсене и изберете Windows Security на резултатите.
В Защита на Windows изберете Защита от вируси и опасности . Превъртете надолу до раздела Защита от рансъмуер и щракнете Отдел за защита от рансъмуер . От екрана, който се появява, под Control Folder Access, превключете превключвателя на наемане на работа . Ще получите подкана с въпрос дали искате да направите промяната. Кликнете „نعم“ .
Не трябва да го оставяте така и да се чувствате в безопасност още, защото има шанс да имате папки, които искате да защитите и функцията да ги игнорира. По подразбиране той защитава системните папки на Windows (и папките под тях) като C:\Users\ UserName \ Документи , къде е UserName Това е вашето потребителско име за Windows. В допълнение към Документи, системните папки на Windows включват Desktop, Music, Pictures и Videos.
Но всичките ви други папки са справедлива игра за всеки ransomware, който си проправи път към вашия компютър. Така че, ако използвате облачното хранилище на Microsoft OneDrive, например, всички папки и файлове на OneDrive на вашия компютър не са защитени. Като се има предвид, че Microsoft се опитва да премести всеки, който може, в OneDrive, това е изненадващ пропуск.
За да добавите папки, които искате да защитите, щракнете върху връзката Защитени папки който се появява, след като включите контролирания достъп до папка. Появява се подкана с въпрос дали искате да направите промяната. Кликнете „نعم“ . Щракнете върху бутона добавяне на защитена папка” в горната част на списъка със защитени папки, който се появява, след това от екрана, който се появява към папката, която искате да защитите, и докоснете „изберете папка“ .
Продължете да добавяте папки по този начин. Не забравяйте, че когато добавите папка, всички папки под нея също са защитени. Така че, ако добавите OneDrive, например, няма нужда да добавяте всички папки под него.
(Забележка: В зависимост от вашата версия на OneDrive може да сте в състояние да възстановите файловете на OneDrive, дори и да не ги контролирате чрез достъп до контролираната папка. За подробности вижте документацията на Microsoft“ Възстановете изтритите файлове или папки в OneDrive ").
Ако в даден момент решите да премахнете папка, върнете се на екрана Защитени папки, докоснете папката, която искате да премахнете, и след това докоснете Премахване . Имайте предвид, че няма да можете да премахнете нито една от защитените системни папки на Windows, когато функцията е включена. Можете да премахнете само тези, които сте добавили.
Microsoft определя на кои приложения трябва да бъде разрешен достъп до защитени папки и не е изненадващо сред тях е Microsoft Office. Microsoft не е публикувал списък с разрешени приложения, така че помислете за предприемане на действия, за да разрешите на приложенията, на които имате доверие, достъп до вашите файлове.
За да направите това, върнете се на екрана, където сте включили Контролиран достъп до папка, и докоснете Разрешете на приложение да има контролиран достъп до папката . Появява се подкана с въпрос дали искате да направите промяната. Кликнете „نعم“ . От появилия се екран докоснете Добавянето на приложение е разрешено , отидете до изпълнимия файл на програмата, която искате да добавите, и щракнете да отвориш , след което потвърдете, че искате да добавите файла. Както при добавянето на папки към списъка със защитени папки, можете да премахнете приложението, като се върнете на този екран, щракнете върху приложението, което искате да премахнете, и след това щракнете върху Премахване .
Съвет: Ако не сте сигурни къде са изпълнимите файлове на програмите, които искате да добавите към белия списък, потърсете името на папката с името на програмата в папките Windows\Program Files или Windows\Program Files (x86) , след това потърсете изпълним файл в този том.
Направете резервно копие... но го направете правилно
Целият смисъл на ransomware е да държи вашите файлове като заложници, докато не платите, за да ги отключите. Така че един от най-добрите методи за защита срещу ransomware е да архивирате вашите файлове. По този начин няма нужда да плащате откупа, защото можете лесно да възстановите вашите файлове от архива.
Но когато става дума за рансъмуер, не всички резервни копия са еднакви. Трябва да внимавате при избора на правилната технология и услуга за архивиране. Добра идея е да използвате облачно съхранение и услуга за архивиране, вместо просто да архивирате на устройство, свързано към вашия компютър. Ако направите резервно копие на устройство, свързано с вашия компютър, когато компютърът ви е заразен с ransomware, резервното устройство вероятно ще бъде криптирано заедно с всички други дискове вътре или свързани с вашия компютър.
Уверете се, че вашето базирано в облак хранилище и архивиране използва версия — тоест, запазва не само текущата версия на всеки от вашите файлове, но и предишната версия. По този начин, ако най-новата версия на вашите файлове бъде заразена, можете да възстановите от предишни версии.
Повечето услуги за архивиране и съхранение, включително Microsoft OneDrive, Google Drive, Carbonite, Dropbox и много други, използват версията. Добра идея е да се запознаете с функцията за създаване на версии на всяка услуга, която използвате в момента, за да можете лесно да възстановите файловете за миг.
Вземете безплатна защита от ransomware
Всяка програма против злонамерен софтуер включва вградена защита срещу ransomware, но има много програми, които обещават да се насочат конкретно към ransomware. Някои от тях са платени, но има и някои безплатни опции, като тези, които изброявам тук.
Bitdefender предлага Безплатни инструменти за дешифриране, които могат да отключат вашите данни Ако сте атакуван от ransomware и откупът се запазва. Те могат да декриптират само данни, които са били криптирани с помощта на определени части или семейства рансъмуер, включително REvil/Sodinokibi, DarkSide, MaMoCrypt, WannaRen и много други. Kaspersky предлага програма Анти-рансъмуер безплатно Както за домашни, така и за бизнес потребители, въпреки че има ограничения за броя на устройствата, които можете да използвате на него.
останете коректни
Microsoft редовно пуска корекции за сигурност за Windows 10 и Windows 11 и те се прилагат автоматично чрез Windows Update. Но ако чуете за епидемии от рансъмуер, не чакайте да стартира Windows Update – трябва сами да получите актуализацията веднага, за да сте защитени възможно най-скоро. И не искате да получавате само актуализации на Windows. Също така искате да се уверите, че Windows Security, вграденият инструмент за защита от зловреден софтуер на Microsoft, има най-новите дефиниции за защита от зловреден софтуер.
За да направите и двете в Windows 10, отидете на Настройки> Актуализиране и защита> Актуализация на Windows и щракнете върху бутона Провери за обновления . В Windows 11 отидете на Настройки > Windows Update и щракнете върху бутона Провери за обновления . (Ако вече ви очакват актуализации, ще ги видите изброени вместо бутон Провери за обновления .) Ако Windows намери актуализации, той ги инсталира. Ако изисква рестартиране, ще ви каже.
Не само трябва да се тревожите за Windows, но и за други програми. Ако използвате софтуер против злонамерен софтуер, различен от Windows Security, уверете се, че той и неговите дефиниции за злонамерен софтуер са актуални.
Другият софтуер на вашия компютър също трябва да бъде актуализиран. Затова проверете как се актуализира всеки софтуер и се уверете, че всяка част се актуализира редовно.
Деактивирайте макросите в Microsoft Office
Ransomware може да се разпространи Чрез макроси в Office файлове , така че трябва да го изключите, за да сте в безопасност. Сега Microsoft го деактивира по подразбиране, но това не означава непременно, че е изключен във вашата версия на Office, в зависимост от това кога сте го инсталирали и дали сте го актуализирали. За да го изключите, когато сте в приложение на Office, изберете Файл > Опции > Център за сигурност > Настройки на центъра за сигурност и изберете едно от двете Деактивирайте всички макроси за известяване أو Деактивирайте всички макроси без предупреждение . Ако ги деактивирате с известие, когато отворите файла, ще получите предупреждение, че макросите са деактивирани и ви позволява да ги стартирате. Пуснете го само ако сте абсолютно сигурни, че е от безопасен и надежден източник.
Какво трябва да знае вашият ИТ отдел за ransomware и Windows
Има много неща, които ИТ може да направи, за да предпази компаниите от ransomware. Най-очевидното: приложете най-новите корекции за сигурност не само към всички компютри в предприятието, но и към всички сървъри и всякакви други устройства на ниво предприятие.
Това е само началото. Вашият ИТ отдел трябва да деактивира мрежовия протокол SMB1 на Windows, за който е известно, че е несигурен. Множество рансъмуер атаки бяха разпространени върху 30-годишен протокол; Дори Microsoft казва, че никой никога не трябва да го използва.
Добрата новина е, че Windows 1709 версия 10, пусната през октомври 2017 г., най-накрая се отърва от SMB1. (Няма го и в Windows 11.) Но това е само за компютри с чиста инсталация на версия 1709 или по-нова, включително нови, които са излезли след това. Старите компютри, които са актуализирани от предишни версии на Windows, все още имат вградения протокол.
Има няколко места, където вашият ИТ отдел може да отиде, за да получи помощ, за да го изключите. Добро място за начало е Документ с най-добри практики за сигурност за малки и средни предприятия От US-CERT, управляван от Министерството на вътрешната сигурност на САЩ. Той препоръчва деактивиране на SMB1, след което „блокиране на всички версии на SMB в мрежовите граници чрез блокиране на TCP порт 445 със свързани протоколи на UDP портове 137-138 и TCP порт 139, за всички гранични устройства.“
Статия за предварителна поддръжка на Microsoft” Как да откриете, активирате и деактивирате SMBv1, SMBv2 и SMBv3 в Windows Подробности как да изключите протокола. Той препоръчва да убиете SMB1, като същевременно запазите SMB2 и SMB3 активни и ги деактивирате само за временно отстраняване на неизправности. За най-новата, подробна информация относно изключването на SMB1, отидете на статията на Microsoft TechNet” Деактивирайте SMB v1 в среди, управлявани чрез групови правила "
Администраторите могат да използват контролиран достъп до папки (обсъден по-рано в тази статия), за да спрат ransomware да шифрова файлове и папки на компютри с Windows 11 или Windows 10 версия 1709 или по-нова. Те могат да използват конзолата за управление на групови правила, Windows Security Center или PowerShell, за да включат контролиран достъп до папки за потребителите в мрежата, да персонализират кои папки да бъдат защитени и да разрешат на допълнителни приложения да имат достъп до папки, различни от настройките по подразбиране на Microsoft. За инструкции отидете на статията на Microsoft” Разрешете контролиран достъп до папката „За да го включите и да“ Персонализиране на контролиран достъп до папка Персонализирайте кои папки да защитите и кои приложения да разрешите трафик.
Един потенциален проблем с контролирането на достъпа до папки е, че може да блокира достъпа до папки на приложения, които потребителите обикновено използват. Затова Microsoft препоръчва първо да използвате режим на проверка, за да видите какво ще се случи, когато включите контрола на достъпа до папки. За информация как да направите това, отидете на Документация. Оценка на защитата от експлоатация От Microsoft.
Както бе споменато по-горе, макросите на Office могат да разпространяват рансъмуер. Сега Microsoft блокира макросите, изтеглени от интернет по подразбиране, но за да бъде в безопасност, IT трябва да използва групови правила, за да ги блокира. За съвети как да направите това отидете на „ Блокирайте изпълняваните макроси във файлове на Office от Интернет В документацията на Microsoft Макросите ще бъдат блокирани от интернет по подразбиране в Office "и към" Помагане на потребителите да останат в безопасност: Блокирайте интернет макроси по подразбиране в публикация Офис блог“.
последна дума
Добрата новина във всичко това: Windows 10 и Windows 11 имат вградени специфични анти-ransomware функции. Следвайте съветите, които сме обяснили тук, за да предотвратите заплахата от ransomware.
