Jak chronić system Windows 10 i 11 przed oprogramowaniem ransomware. Oprogramowanie ransomware szerzy się, ale istnieje kilka sposobów, w jakie osoby prywatne i administratorzy mogą chronić swoje komputery z systemem Windows 10 i 11. Oto, co należy zrobić.
Kryptolokar. Chcę ciebie. Ciemna strona. Kontyn. Szafka Meduzy. Zagrożenie ransomware nie zniknie prawie ; Wiadomości przynoszą ciągłe doniesienia o nowych falach tego złośliwego rodzaju złośliwego oprogramowania rozprzestrzeniającego się na całym świecie. Jest popularny w dużej mierze ze względu na natychmiastowe korzyści finansowe napastników: działa poprzez szyfrowanie plików na dysku twardym, a następnie wymaga zapłacenia okupu, często w bitcoinach lub innej kryptowalucie, aby je odszyfrować.
Ale nie musisz być ofiarą. Użytkownicy systemów Windows 10 i 11 mogą wiele zrobić, aby się przed tym chronić. W tym artykule pokażę, jak zachować bezpieczeństwo, w tym jak korzystać z wbudowanego narzędzia do ochrony przed ransomware w systemie Windows.
(Administratorzy zobacz „Co Twój dział IT musi wiedzieć o oprogramowaniu ransomware i systemie Windows” na końcu tego artykułu).
W tym artykule założono, że już podejmujesz podstawowe środki ostrożności przeciwko złośliwemu oprogramowaniu, w tym uruchamiasz oprogramowanie chroniące przed złośliwym oprogramowaniem i nigdy nie pobierasz załączników ani nie klikasz linków w wiadomościach e-mail od nieznanych nadawców oraz wiadomości e-mail, które wyglądają podejrzanie. Należy również pamiętać, że ten artykuł został zaktualizowany dla aktualizacji systemu Windows 10 listopada 2021 (wersja 21H2) i aktualizacji systemu Windows 11 października 2021 (wersja 21H2). Jeśli masz wcześniejszą wersję systemu Windows 10, niektóre rzeczy mogą być inne.
Użyj kontrolowanego dostępu do folderu
Microsoft dba o oprogramowanie ransomware na tyle, że zbudował łatwe w konfiguracji narzędzie do ochrony przed oprogramowaniem ransomware bezpośrednio w systemach Windows 10 i Windows 11. Nazywane kontrolowanym dostępem do folderów, chroni Cię, zezwalając tylko bezpiecznym i w pełni zweryfikowanym aplikacjom na dostęp do Twoich plików. Przekazywanie nieznanych aplikacji lub znanych zagrożeń złośliwym oprogramowaniem jest niedozwolone.
Domyślnie ta funkcja nie jest włączona, więc jeśli chcesz chronić się przed oprogramowaniem ransomware, będziesz musiał powiedzieć mu, aby zaczął działać. Możesz dokładnie dostosować jego działanie, dodając nowe aplikacje do białej listy programów, które mają dostęp do plików, oraz dodając nowe foldery oprócz domyślnie chronionych folderów.
Aby go uruchomić, potrzebujesz dostępu do Zabezpieczenia Windows. Istnieje kilka sposobów uzyskania do niego dostępu zarówno w systemie Windows 10, jak i Windows 11:
- Kliknij strzałkę w górę po lewej stronie paska zadań, a następnie kliknij ikonę Zabezpieczenia Windows – tarczę.
- Kliknij Start > Ustawienia Aby otworzyć aplikację Ustawienia, wybierz Aktualizacje i zabezpieczenia > Bezpieczeństwo systemu Windows W systemie Windows 10 lub Prywatność i bezpieczeństwo > Bezpieczeństwo systemu Windows W systemie Windows 11.
- Użyj wyszukiwania systemu Windows. W systemie Windows 10 pole wyszukiwania znajduje się na pasku zadań obok przycisku Start. W systemie Windows 11 kliknij ikonę wyszukiwania na pasku zadań, aby otworzyć okienko wyszukiwania. Rodzaj zabezpieczeń systemu Windows w następnym polu wyszukiwania i wybierz Zabezpieczenia systemu Windows wyników.
W Zabezpieczeniach Windows wybierz Ochrona przed wirusami i zagrożeniami . Przewiń w dół do sekcji Ochrona przed ransomware i kliknij Departament ochrony przed ransomware . Na wyświetlonym ekranie w obszarze Kontroluj dostęp do folderu przełącz przełącznik na zatrudnienie . Otrzymasz monit z pytaniem, czy chcesz dokonać zmiany. Kliknij "Tak" .
Nie powinieneś tego zostawiać i czuć się jeszcze bezpiecznie, ponieważ istnieje szansa, że masz foldery, które chcesz chronić, a funkcja je ignoruje. Domyślnie chroni foldery systemowe Windows (i foldery pod nimi), takie jak C: \ Users \ UserName \ Dokumenty , gdzie jest UserName To jest twoja nazwa użytkownika Windows. Oprócz dokumentów foldery systemowe Windows obejmują Pulpit, Muzyka, Obrazy i Wideo.
Ale wszystkie inne foldery są uczciwą grą dla każdego oprogramowania ransomware, które trafia na Twój komputer. Jeśli na przykład korzystasz z magazynu w chmurze OneDrive firmy Microsoft, żadne foldery i pliki usługi OneDrive na komputerze nie są chronione. Biorąc pod uwagę, że Microsoft próbuje przenieść każdego, kto może, do OneDrive, jest to zaskakujące pominięcie.
Aby dodać foldery, które chcesz chronić, kliknij link Chronione foldery który pojawia się po włączeniu kontrolowanego dostępu do folderu. Pojawi się monit z pytaniem, czy chcesz wprowadzić zmianę. Kliknij "Tak" . Naciśnij przycisk dodaj chroniony folder” u góry wyświetlonej listy chronionych folderów, a następnie z ekranu, który się pojawi, do folderu, który chcesz chronić, i dotknij "Wybierz katalog" .
Kontynuuj dodawanie folderów w ten sposób. Pamiętaj, że po dodaniu folderu wszystkie znajdujące się pod nim foldery są również chronione. Jeśli więc na przykład dodasz OneDrive, nie ma potrzeby dodawania wszystkich folderów pod nim.
(Uwaga: w zależności od używanej wersji usługi OneDrive możesz mieć możliwość przywrócenia plików usługi OneDrive, nawet jeśli nie kontrolujesz ich, uzyskując dostęp do folderu kontrolowanego. Aby uzyskać szczegółowe informacje, zobacz dokumentację firmy Microsoft" Odzyskaj usunięte pliki lub foldery w OneDrive ").
Jeśli w dowolnym momencie zdecydujesz się usunąć folder, wróć do ekranu Chronione foldery, stuknij folder, który chcesz usunąć, a następnie stuknij Usuwanie . Pamiętaj, że po włączeniu tej funkcji nie będzie można usunąć żadnego z chronionych folderów systemu Windows. Możesz usunąć tylko te, które dodałeś.
Microsoft określa, którym aplikacjom należy zezwolić na dostęp do chronionych folderów i, co nie dziwi, wśród nich jest Microsoft Office. Firma Microsoft nie opublikowała listy dozwolonych aplikacji, więc rozważ podjęcie działań, aby umożliwić aplikacjom, którym ufasz, dostęp do Twoich plików.
Aby to zrobić, wróć do ekranu, na którym włączono kontrolowany dostęp do folderów i dotknij Zezwalaj aplikacji na kontrolowanie dostępu do folderu . Pojawi się monit z pytaniem, czy chcesz wprowadzić zmianę. Kliknij "Tak" . Na wyświetlonym ekranie dotknij Dodawanie aplikacji jest dozwolone , przejdź do pliku wykonywalnego programu, który chcesz dodać, i kliknij فتح , a następnie potwierdź, że chcesz dodać plik. Podobnie jak w przypadku dodawania folderów do listy folderów chronionych, możesz usunąć aplikację, wracając do tego ekranu, klikając aplikację, którą chcesz usunąć, a następnie klikając Usuwanie .
Wskazówka: jeśli nie masz pewności, gdzie znajdują się pliki wykonywalne programów, które chcesz dodać do białej listy, poszukaj nazwy folderu z nazwą programu w folderach Windows\Program Files lub Windows\Program Files (x86) , a następnie wyszukaj plik wykonywalny w tym tomie.
Zrób kopię zapasową... ale zrób to dobrze
Celem oprogramowania ransomware jest przetrzymywanie twoich plików jako zakładników, dopóki nie zapłacisz za ich odblokowanie. Dlatego jedną z najlepszych metod ochrony przed ransomware jest tworzenie kopii zapasowych plików. W ten sposób nie musisz płacić okupu, ponieważ możesz łatwo przywrócić swoje pliki z kopii zapasowej.
Ale jeśli chodzi o oprogramowanie ransomware, nie wszystkie kopie zapasowe są sobie równe. Należy zachować ostrożność przy wyborze odpowiedniej technologii i usługi tworzenia kopii zapasowych. Dobrym pomysłem jest korzystanie z usługi przechowywania i tworzenia kopii zapasowych w chmurze, a nie tylko tworzenia kopii zapasowej na dysku podłączonym do komputera. Jeśli tworzysz kopię zapasową na dysku podłączonym do komputera, gdy komputer jest zainfekowany oprogramowaniem ransomware, dysk kopii zapasowej prawdopodobnie zostanie zaszyfrowany wraz z innymi dyskami wewnątrz lub podłączonymi do komputera.
Upewnij się, że twoja pamięć masowa i kopia zapasowa w chmurze korzysta z wersji — to znaczy, że zachowuje nie tylko aktualną wersję każdego z twoich plików, ale także poprzednią wersję. W ten sposób, jeśli najnowsza wersja twoich plików zostanie zainfekowana, możesz przywrócić z poprzednich wersji.
Większość usług tworzenia kopii zapasowych i przechowywania, w tym Microsoft OneDrive, Google Drive, Carbonite, Dropbox i wiele innych, korzysta z tej wersji. Dobrym pomysłem jest zapoznanie się z funkcją wersjonowania dowolnej usługi, z której obecnie korzystasz, aby móc łatwo przywracać pliki w migiem.
Uzyskaj bezpłatną ochronę przed ransomware
Każdy program chroniący przed złośliwym oprogramowaniem zawiera wbudowane zabezpieczenia przed oprogramowaniem ransomware, ale istnieje wiele programów, które obiecują atakować oprogramowanie ransomware. Wiele z nich jest płatnych, ale są też darmowe opcje, takie jak te, które wymienię tutaj.
Oferty Bitdefender Darmowe narzędzia do deszyfrowania, które mogą odblokować Twoje dane Jeśli zostaniesz zaatakowany przez oprogramowanie ransomware, a okup zostanie zatrzymany. Mogą odszyfrować tylko dane, które zostały zaszyfrowane przy użyciu określonych części lub rodzin oprogramowania ransomware, w tym REvil/Sodinokibi, DarkSide, MaMoCrypt, WannaRen i wielu innych. Kaspersky oferuje program Oprogramowanie anty-ransomware za darmo Zarówno dla użytkowników domowych, jak i biznesowych, chociaż istnieją ograniczenia dotyczące liczby urządzeń, z których możesz korzystać.
zachowaj rację
Firma Microsoft regularnie publikuje poprawki zabezpieczeń dla systemów Windows 10 i Windows 11, które są stosowane automatycznie za pośrednictwem usługi Windows Update. Ale jeśli usłyszysz o epidemiach ransomware, nie czekaj na uruchomienie usługi Windows Update — powinieneś od razu pobrać aktualizację, aby zapewnić sobie ochronę jak najszybciej. I to nie tylko aktualizacje systemu Windows, które chcesz uzyskać. Chcesz również upewnić się, że Zabezpieczenia Windows, wbudowane narzędzie firmy Microsoft do ochrony przed złośliwym oprogramowaniem, ma najnowsze definicje ochrony przed złośliwym oprogramowaniem.
Aby wykonać obie czynności w systemie Windows 10, przejdź do Ustawienia > Aktualizacje i zabezpieczenia > Windows Update i kliknij przycisk . Sprawdź aktualizacje . W systemie Windows 11 przejdź do Ustawienia > Windows Update i kliknij przycisk . Sprawdź aktualizacje . (Jeśli aktualizacje już na Ciebie czekają, zobaczysz je na liście zamiast przycisku Sprawdź aktualizacje .) Jeśli system Windows znajdzie aktualizacje, zainstaluje je. Jeśli wymaga ponownego uruchomienia, poinformuje Cię.
Nie tylko musisz się martwić, że system Windows pozostanie zaktualizowany, ale także inne programy. Jeśli korzystasz z oprogramowania chroniącego przed złośliwym oprogramowaniem innym niż Zabezpieczenia systemu Windows, upewnij się, że ono i jego definicje złośliwego oprogramowania są aktualne.
Inne oprogramowanie na komputerze również musi zostać zaktualizowane. Sprawdź więc, jak aktualizowane jest każde oprogramowanie i upewnij się, że każda część jest regularnie aktualizowana.
Wyłącz makra w Microsoft Office
Ransomware może się rozprzestrzeniać Za pomocą makr w plikach pakietu Office , więc musisz go wyłączyć, aby być bezpiecznym. Firma Microsoft domyślnie ją teraz wyłącza, ale niekoniecznie oznacza to, że jest wyłączona w Twojej wersji pakietu Office, w zależności od tego, kiedy ją zainstalowałeś i czy ją zaktualizowałeś. Aby ją wyłączyć, w aplikacji pakietu Office wybierz Plik > Opcje > Centrum zaufania > Ustawienia Centrum zaufania i wybierz albo Wyłącz wszystkie makra powiadomień أو Wyłącz wszystkie makra bez powiadomienia . Jeśli wyłączysz je za pomocą powiadomienia, po otwarciu pliku otrzymasz komunikat ostrzegający, że makra są wyłączone i umożliwiające ich uruchomienie. Uruchom go tylko wtedy, gdy masz absolutną pewność, że pochodzi z bezpiecznego i niezawodnego źródła.
Co Twój dział IT musi wiedzieć o oprogramowaniu ransomware i systemie Windows
Dział IT może wiele zrobić, aby chronić firmy przed oprogramowaniem ransomware. Najbardziej oczywiste: zastosuj najnowsze poprawki bezpieczeństwa nie tylko na wszystkich komputerach w przedsiębiorstwie, ale na wszystkich serwerach i innych urządzeniach na poziomie przedsiębiorstwa.
To dopiero początek. Twój dział IT musi wyłączyć protokół sieciowy SMB1 Windows, o którym wiadomo, że jest niezabezpieczony. Wiele ataków ransomware zostało rozsianych po 30-letnim protokole; Nawet Microsoft twierdzi, że nikt nigdy nie powinien go używać.
Dobrą wiadomością jest to, że Windows 1709 w wersji 10, wydany w październiku 2017 roku, w końcu pozbył się SMB1. (Nie ma go również w systemie Windows 11.) Ale dotyczy to tylko komputerów z czystą instalacją wersji 1709 lub nowszej, w tym nowych, które od tego czasu się pojawiły. Stare komputery, które zostały zaktualizowane z poprzednich wersji systemu Windows, nadal mają wbudowany protokół.
Istnieje kilka miejsc, w których Twój dział IT może się udać, aby uzyskać pomoc w jej wyłączeniu. Dobrym miejscem do rozpoczęcia jest? Dokument dotyczący najlepszych praktyk w zakresie bezpieczeństwa dla małych i średnich firm Z US-CERT, obsługiwanego przez Departament Bezpieczeństwa Wewnętrznego USA. Zaleca wyłączenie protokołu SMB1, a następnie „zablokowanie wszystkich wersji protokołu SMB na granicach sieci przez zablokowanie portu TCP 445 z powiązanymi protokołami na portach UDP 137-138 i porcie TCP 139 dla wszystkich urządzeń granicznych”.
Artykuł dotyczący zaawansowanej pomocy technicznej firmy Microsoft” Jak wykryć, włączyć i wyłączyć SMBv1, SMBv2 i SMBv3 w systemie Windows Szczegóły dotyczące wyłączania protokołu. Zaleca zabicie SMB1 przy zachowaniu aktywności SMB2 i SMB3 i dezaktywację ich tylko w celu tymczasowego rozwiązania problemu. Aby uzyskać najnowsze, szczegółowe informacje na temat wyłączania protokołu SMB1, przejdź do artykułu Microsoft TechNet” Wyłącz protokół SMB v1 w środowiskach zarządzanych przy użyciu zasad grupy ".
Administratorzy mogą użyć kontrolowanego dostępu do folderów (omówionego wcześniej w tym artykule), aby powstrzymać oprogramowanie ransomware przed szyfrowaniem plików i folderów na komputerach z systemem Windows 11 lub Windows 10 w wersji 1709 lub nowszej. Mogą użyć konsoli zarządzania zasadami grupy, Centrum zabezpieczeń systemu Windows lub programu PowerShell, aby włączyć kontrolowany dostęp do folderów dla użytkowników w sieci, dostosować chronione foldery i zezwolić dodatkowym aplikacjom na dostęp do folderów innych niż domyślne ustawienia firmy Microsoft. Aby uzyskać instrukcje, przejdź do artykułu firmy Microsoft” Włącz kontrolowany dostęp do folderu „Aby go włączyć i aby” Dostosuj kontrolowany dostęp do folderu Dostosuj, które foldery mają być chronione i które aplikacje zezwalają na ruch.
Jednym z potencjalnych problemów z kontrolowaniem dostępu do folderów jest to, że może blokować dostęp do folderów aplikacjom, z których zwykle korzystają użytkownicy. Dlatego firma Microsoft zaleca najpierw użycie trybu inspekcji, aby zobaczyć, co się stanie po włączeniu Kontroli dostępu do folderów. Aby uzyskać informacje, jak to zrobić, przejdź do Dokumentacji. Ocena ochrony przed lukami w zabezpieczeniach Od Microsoftu.
Jak wspomniano powyżej, makra pakietu Office mogą rozprzestrzeniać oprogramowanie ransomware. Firma Microsoft domyślnie blokuje teraz makra pobierane z Internetu, ale ze względów bezpieczeństwa dział IT musi je blokować za pomocą zasad grupy. Aby uzyskać wskazówki, jak to zrobić, przejdź do „ Blokuj uruchamianie makr w plikach pakietu Office z Internetu W dokumentacji Microsoft Makra będą domyślnie blokowane z Internetu w pakiecie Office "i do" Pomaganie użytkownikom zachować bezpieczeństwo: domyślnie blokuj internetowe makra w poście Blog biurowy".
ostatnie słowo
Dobra wiadomość w tym wszystkim: Windows 10 i Windows 11 mają wbudowane specyficzne funkcje anty-ransomware. Postępuj zgodnie ze wskazówkami, które tutaj wyjaśniliśmy, aby zapobiec zagrożeniu ransomware.
