Hvordan beskytte Windows 10 og 11 mot løsepengeprogramvare. Ransomware er utbredt, men det er flere måter som enkeltpersoner og administratorer kan beskytte sine Windows 10- og 11-datamaskiner. Her er hva de skal gjøre.
Cryptolocare. Jeg vil ha deg. Den mørke siden. Conti. Medusa skap. Ransomware-trusselen vil ikke forsvinne nesten ; Nyhetene bringer stadige rapporter om nye bølger av denne ondsinnede typen skadelig programvare som sprer seg over hele verden. Det er populært i stor grad på grunn av angripernes umiddelbare økonomiske gevinst: det fungerer ved å kryptere filene på harddisken din, og deretter kreve at du betaler løsepenger, ofte i bitcoin eller annen kryptovaluta, for å dekryptere dem.
Men du trenger ikke å være et offer. Det er mye Windows 10- og 11-brukere kan gjøre for å beskytte seg mot det. I denne artikkelen skal jeg vise deg hvordan du kan holde deg selv trygg, inkludert hvordan du bruker det innebygde Windows anti-ransomware-verktøyet.
(Administratorer, se "Hva IT-avdelingen din trenger å vite om løsepengevare og Windows" på slutten av denne artikkelen.)
Denne artikkelen forutsetter at du allerede tar grunnleggende forholdsregler mot skadelig programvare generelt, inkludert å kjøre anti-malware-programvare og aldri laste ned vedlegg eller klikke på koblinger i e-post fra ukjente avsendere og e-post som ser mistenkelig ut. Vær også oppmerksom på at denne artikkelen har blitt oppdatert for Windows 10 november 2021-oppdateringen (versjon 21H2) og Windows 11 oktober 2021-oppdateringen (versjon 21H2). Hvis du hadde en tidligere versjon av Windows 10, kan noen ting være annerledes.
Bruk kontrollert mappetilgang
Microsoft bryr seg nok om løsepengevare til at de har bygget et lett-å-konfigurere anti-ransomware-verktøy direkte inn i Windows 10 og Windows 11. Kalt kontrollert mappetilgang, det beskytter deg ved å tillate bare trygge og fullstendig kontrollerte apper å få tilgang til filene dine. Passering av ukjente applikasjoner eller kjente trusler mot skadelig programvare er ikke tillatt.
Som standard er ikke funksjonen slått på, så hvis du vil beskytte deg mot løsepengevare, må du fortelle den om å begynne å fungere. Du kan tilpasse nøyaktig hvordan det fungerer ved å legge til nye apper til hvitelisten over programmer som har tilgang til filer, og legge til nye mapper i tillegg til mappene du beskytter som standard.
For å kjøre det, trenger du tilgang til Windows Security. Det er flere måter å få tilgang til det i både Windows 10 og Windows 11:
- Klikk på pil opp på venstre side av oppgavelinjen, og klikk deretter på Windows Security-ikonet - et skjold.
- Klikk Start > Innstillinger For å åpne Innstillinger-appen, velg deretter Oppdatering og sikkerhet > Windows-sikkerhet I Windows 10 eller Personvern og sikkerhet > Windows-sikkerhet I Windows 11.
- Bruk Windows-søk. I Windows 10 er søkeboksen plassert på oppgavelinjen ved siden av Start-knappen. I Windows 11 klikker du på søkeikonet på oppgavelinjen for å åpne søkefeltet. Type Windows Security i neste søkefelt og velg Windows Security av resultatene.
I Windows Security velger du Beskyttelse mot virus og farer . Rull ned til Ransomware Protection-delen og klikk Avdeling for beskyttelse mot løsepenger . Fra skjermen som vises, under Kontroller mappetilgang, bytter du bryteren til arbeid . Du vil motta en melding som spør om du vil gjøre endringen. Klikk "Ja" .
Du bør ikke la det ligge og føle deg trygg ennå, fordi det er en sjanse for at du har mapper du vil beskytte og funksjonen ignorerer dem. Som standard beskytter den Windows-systemmapper (og mappene under dem) som C:\Users\ UserName \ Dokumenter , hvor UserName Det er ditt Windows-brukernavn. I tillegg til Dokumenter inkluderer Windows-systemmapper skrivebord, musikk, bilder og videoer.
Men alle de andre mappene dine er rettferdig spill for enhver løsepengevare som kommer til datamaskinen din. Så hvis du bruker Microsofts OneDrive-skylagring, for eksempel, er ikke OneDrive-mapper og -filer på datamaskinen din beskyttet. Med tanke på at Microsoft prøver å flytte alle de kan til OneDrive, er det en overraskende utelatelse.
For å legge til mapper du vil beskytte, klikk på lenken Beskyttede mapper som vises etter at du slår på kontrollert mappetilgang. Det vises en melding som spør om du vil gjøre endringen. Klikk "Ja" . Klikk på knappen legg til en beskyttet mappe" øverst på listen over beskyttede mapper som vises, deretter fra skjermen som vises til mappen du vil beskytte og trykk på "Velg mappe" .
Fortsett å legge til mapper på denne måten. Husk at når du legger til en mappe, er også alle mappene under den beskyttet. Så hvis du legger til OneDrive, for eksempel, er det ikke nødvendig å legge til alle mappene under den.
(Merk: Avhengig av din versjon av OneDrive, kan du kanskje gjenopprette OneDrive-filer, selv om du ikke kontrollerer dem ved å gå til den kontrollerte mappen. For detaljer, se Microsofts dokumentasjon" Gjenopprett slettede filer eller mapper i OneDrive . »)
Hvis du på noe tidspunkt bestemmer deg for å fjerne en mappe, gå tilbake til skjermbildet Beskyttede mapper, trykk på mappen du vil fjerne, og trykk deretter på Fjerning . Merk at du ikke vil kunne fjerne noen av de beskyttede Windows-systemmappene når funksjonen er slått på. Du kan bare fjerne de du har lagt til.
Microsoft bestemmer hvilke programmer som skal få tilgang til beskyttede mapper, og ikke overraskende er Microsoft Office blant dem. Microsoft har ikke publisert en liste over tillatte apper, så vurder å gjøre noe for å la apper du stoler på, få tilgang til filene dine.
For å gjøre dette, gå tilbake til skjermen der du aktivert kontrollert mappetilgang og trykk Tillat at en app har kontrollert tilgang til mappen . Det vises en melding som spør om du vil gjøre endringen. Klikk "Ja" . Trykk på på skjermen som vises Det er tillatt å legge til en app , naviger til den kjørbare filen til programmet du vil legge til, og klikk حتح , og bekreft at du vil legge til filen. Som med å legge til mapper i listen over beskyttede mapper, kan du fjerne programmet ved å gå tilbake til denne skjermen, klikke på programmet du vil fjerne, og deretter klikke Fjerning .
Tips: Hvis du ikke er sikker på hvor de kjørbare filene til programmene du vil legge til i hvitelisten er, se etter navnet på mappen med programmets navn i mappene Windows\Program Files eller Windows\Program Files (x86) , søk deretter etter en kjørbar fil i den vol.
Lag en sikkerhetskopi...men gjør det riktig
Hele poenget med løsepengevare er å holde filene dine som gisler til du betaler for å låse dem opp. Så en av de beste ransomware-beskyttelsesmetodene er å sikkerhetskopiere filene dine. På denne måten er det ikke nødvendig å betale løsepenger, fordi du enkelt kan gjenopprette filene dine fra sikkerhetskopien.
Men når det kommer til løsepengevare, er ikke alle sikkerhetskopier laget like. Du bør være forsiktig med å velge riktig backupteknologi og -tjeneste. Det er en god idé å bruke skylagring og sikkerhetskopieringstjeneste i stedet for bare å sikkerhetskopiere til en stasjon koblet til datamaskinen din. Hvis du sikkerhetskopierer til en stasjon koblet til datamaskinen din, når datamaskinen din er infisert med løsepengevare, vil sikkerhetskopieringsstasjonen sannsynligvis være kryptert sammen med andre disker inne i eller koblet til datamaskinen.
Sørg for at den skybaserte lagringen og sikkerhetskopien din bruker versjon - det vil si at den beholder ikke bare gjeldende versjon av hver av filene dine, men også den forrige versjonen. På denne måten, hvis den nyeste versjonen av filene dine blir infisert, kan du gjenopprette fra tidligere versjoner.
De fleste sikkerhetskopierings- og lagringstjenester, inkludert Microsoft OneDrive, Google Drive, Carbonite, Dropbox og mange flere, bruker versjonen. Det er en god idé å bli kjent med versjonsfunksjonen til hvilken tjeneste du bruker akkurat nå, slik at du enkelt kan gjenopprette filer i en håndvending.
Få gratis ransomware-beskyttelse
Ethvert anti-malware-program inkluderer innebygd anti-ransomware-beskyttelse, men det er mange programmer som lover å spesifikt målrette mot løsepengevare. En rekke av dem er betalt, men det er også noen gratis alternativer, som de jeg lister opp her.
Bitdefender tilbyr Gratis dekrypteringsverktøy som kan låse opp dataene dine Hvis du blir angrepet av løsepenger og løsepengene beholdes. De kan bare dekryptere data som er kryptert med visse deler eller familier av løsepengevare, inkludert REvil/Sodinokibi, DarkSide, MaMoCrypt, WannaRen og mange andre. Kaspersky tilbyr et program Anti-ransomware gratis For både hjemme- og bedriftsbrukere, selv om det er begrensninger på antall enheter du kan bruke på den.
hold deg riktig
Microsoft utgir jevnlig sikkerhetsoppdateringer for Windows 10 og Windows 11, og de brukes automatisk via Windows Update. Men hvis du hører om utbrudd av løsepengevare, ikke vent til Windows Update kjører – du bør få oppdateringen selv med en gang, slik at du er beskyttet ASAP. Og det er ikke bare Windows-oppdateringer du vil ha. Du vil også forsikre deg om at Windows Security, Microsofts innebygde anti-malware-verktøy, har de nyeste anti-malware-definisjonene.
For å gjøre begge deler i Windows 10, gå til Innstillinger> Oppdatering og sikkerhet> Windows Update og klikk på .-knappen Se etter oppdateringer . I Windows 11, gå til Innstillinger > Windows Update og klikk på .-knappen Se etter oppdateringer . (Hvis oppdateringer allerede venter på deg, vil du se dem oppført i stedet for en knapp Se etter oppdateringer .) Hvis Windows finner oppdateringer, installerer den dem. Hvis det krever en omstart, vil det fortelle deg det.
Ikke bare trenger du å bekymre deg for at Windows forblir oppdatert, men andre programmer også. Hvis du bruker annen anti-malware-programvare enn Windows Security, må du sørge for at den og dens skadevaredefinisjoner er oppdatert.
Annen programvare på datamaskinen må også oppdateres. Så sjekk hvordan hver programvare oppdateres og sørg for at hver del oppdateres regelmessig.
Deaktiver makroer i Microsoft Office
Ransomware kan spre seg Via makroer i Office-filer , så du må slå den av for å være sikker. Microsoft deaktiverer den nå som standard, men det betyr ikke nødvendigvis at den er slått av i din versjon av Office, avhengig av når du installerte den og om du har oppdatert den. For å slå den av, velg når du er i en Office-app Fil > Alternativer > Trust Center > Trust Center-innstillinger og velg enten Deaktiver alle varslingsmakroer أو Deaktiver alle makroer uten varsel . Hvis du deaktiverer dem med et varsel, når du åpner filen, vil du få en melding som advarer om at makroer er deaktivert og lar deg kjøre dem. Kjør den bare hvis du er helt sikker på at den er fra en sikker og pålitelig kilde.
Hva IT-avdelingen din trenger å vite om løsepengevare og Windows
Det er mye IT kan gjøre for å holde bedrifter fri for løsepengeprogramvare. Det mest åpenbare: bruk de nyeste sikkerhetsoppdateringene ikke bare på alle datamaskiner i bedriften, men på alle servere og andre enheter på bedriftsnivå.
Dette er bare begynnelsen. IT-avdelingen din må deaktivere SMB1 Windows-nettverksprotokollen som er kjent for å være usikker. Flere løsepenge-angrep ble spredt over en 30 år gammel protokoll; Til og med Microsoft sier at ingen noen gang skal bruke det.
Den gode nyheten er at Windows 1709 versjon 10, utgitt i oktober 2017, endelig ble kvitt SMB1. (Det er ikke i Windows 11 heller.) Men det er bare for datamaskiner med en ren installasjon av versjon 1709 eller nyere, inkludert nye som siden har kommet ut. Gamle datamaskiner som har blitt oppdatert fra tidligere versjoner av Windows har fortsatt den innebygde protokollen.
Det er flere steder din IT-avdeling kan gå for å få hjelp til å slå den av. Et godt sted å starte er Dokument for beste praksis for sikkerhet for små og mellomstore bedrifter Fra US-CERT, operert av US Department of Homeland Security. Det anbefaler å deaktivere SMB1, og deretter "blokkere alle versjoner av SMB på nettverksgrenser ved å blokkere TCP-port 445 med relaterte protokoller på UDP-porter 137-138 og TCP-port 139, for alle grenseenheter."
Forhåndsartikkel om Microsoft-støtte” Hvordan oppdage, aktivere og deaktivere SMBv1, SMBv2 og SMBv3 i Windows Detaljer om hvordan du slår av protokollen. Det anbefaler å drepe SMB1 mens du holder SMB2 og SMB3 aktive, og bare deaktivere dem for midlertidig feilsøking. For den siste, detaljerte informasjonen om å slå av SMB1, gå til Microsoft TechNet-artikkelen" Deaktiver SMB v1 i miljøer som administreres ved hjelp av gruppepolicy ».
Administratorer kan bruke funksjonen for mappetilgangskontroll (diskutert tidligere i denne artikkelen) for å stoppe løsepengevare fra å kryptere filene og mappene på datamaskiner med Windows 11 eller Windows 10 versjon 1709 eller nyere. De kan bruke Group Policy Management Console, Windows Security Center eller PowerShell for å slå på kontrollert mappetilgang for brukere på nettverket, tilpasse hvilke mapper som skal beskyttes, og tillate flere applikasjoner å få tilgang til andre mapper enn Microsofts standardinnstillinger. For instruksjoner, gå til Microsoft-artikkelen" Aktiver kontrollert tilgang til mappen "For å slå den på, og til" Tilpass kontrollert tilgang til mappe Tilpass hvilke mapper som skal beskyttes og hvilke apper som skal tillate trafikk.
Et potensielt problem med å kontrollere mappetilgang er at det kan blokkere programmer som brukere vanligvis bruker fra å få tilgang til mapper. Så Microsoft anbefaler å bruke revisjonsmodus først, for å se hva som vil skje når du slår på mappetilgangskontroll. For informasjon om hvordan du gjør dette, gå til Dokumentasjon. Vurdering av utnyttelsesbeskyttelse Fra Microsoft.
Som nevnt ovenfor kan Office-makroer spre løsepengevare. Microsoft blokkerer nå makroer som er lastet ned fra Internett som standard, men for å være sikker, må IT bruke gruppepolicy for å blokkere dem. For tips om hvordan du gjør dette, gå til " Blokker kjørende makroer i Office-filer fra Internett I Microsoft dokumentasjon Makroer vil bli blokkert fra Internett som standard i Office "og til" Hjelper brukere med å være trygge: Blokker internettmakroer som standard i et innlegg Office Blog".
siste ord
Den gode nyheten i alt dette: Windows 10 og Windows 11 har spesifikke anti-ransomware-funksjoner innebygd. Følg tipsene vi har forklart her for å forhindre ransomware-trusselen.
