Cách bảo vệ Windows 10 và 11 khỏi ransomware. Ransomware đang tràn lan, nhưng có một số cách mà các cá nhân và quản trị viên có thể bảo vệ máy tính Windows 10 và 11. Sau đây là những việc cần làm.
Cryptolocare. Tôi muốn bạn. Mặt tối. Tiếp theo. Tủ khóa Medusa. Mối đe dọa ransomware sẽ không biến mất hầu hết ; Tin tức đưa ra các báo cáo liên tục về làn sóng mới của loại phần mềm độc hại nguy hiểm đang lây lan trên toàn thế giới. Nó phổ biến một phần lớn vì khoản tiền tài chính ngay lập tức của những kẻ tấn công: nó hoạt động bằng cách mã hóa các tệp trên ổ cứng của bạn, sau đó yêu cầu bạn trả tiền chuộc, thường bằng bitcoin hoặc các loại tiền điện tử khác, để giải mã chúng.
Nhưng bạn không cần phải là nạn nhân. Có rất nhiều điều mà người dùng Windows 10 và 11 có thể làm để bảo vệ mình khỏi nó. Trong bài viết này, tôi sẽ hướng dẫn bạn cách giữ an toàn cho bản thân, bao gồm cả cách sử dụng công cụ chống ransomware tích hợp trong Windows.
(Quản trị viên, hãy xem “Bộ phận CNTT của bạn cần biết gì về ransomware và Windows” ở cuối bài viết này.)
Bài viết này giả định rằng bạn đã thực hiện các biện pháp phòng ngừa cơ bản chống lại phần mềm độc hại nói chung, bao gồm chạy phần mềm chống phần mềm độc hại và không bao giờ tải xuống tệp đính kèm hoặc nhấp vào liên kết trong email từ những người gửi không xác định và email có vẻ đáng ngờ. Cũng lưu ý rằng bài viết này đã được cập nhật cho Bản cập nhật Windows 10 tháng 2021 năm 21 (Phiên bản 2H11) và Bản cập nhật Windows 2021 tháng 21 năm 2 (Phiên bản 10HXNUMX). Nếu bạn có phiên bản Windows XNUMX cũ hơn, một số thứ có thể khác.
Sử dụng quyền truy cập thư mục được kiểm soát
Microsoft quan tâm đến ransomware đến mức họ đã xây dựng một công cụ chống ransomware dễ định cấu hình trực tiếp vào Windows 10 và Windows 11. Được gọi là Quyền truy cập thư mục có kiểm soát, nó bảo vệ bạn bằng cách chỉ cho phép các ứng dụng an toàn và đã được kiểm tra đầy đủ truy cập vào tệp của bạn. Không được phép sử dụng các ứng dụng không xác định hoặc các mối đe dọa phần mềm độc hại đã biết.
Theo mặc định, tính năng này không được bật, vì vậy nếu bạn muốn bảo vệ mình khỏi phần mềm tống tiền, bạn sẽ phải yêu cầu nó bắt đầu hoạt động. Bạn có thể tùy chỉnh chính xác cách nó hoạt động bằng cách thêm các ứng dụng mới vào danh sách trắng các chương trình có quyền truy cập vào tệp và thêm các thư mục mới ngoài các thư mục bạn bảo vệ theo mặc định.
Để chạy nó, bạn sẽ cần quyền truy cập vào Bảo mật Windows. Có một số cách để truy cập nó trong cả Windows 10 và Windows 11:
- Nhấp vào mũi tên lên ở bên trái của thanh tác vụ, sau đó nhấp vào biểu tượng Bảo mật Windows - một chiếc khiên.
- Nhấp chuột Bắt đầu> Cài đặt Để mở ứng dụng Cài đặt, sau đó chọn Cập nhật & Bảo mật> Bảo mật Windows Trong Windows 10 hoặc Quyền riêng tư & Bảo mật> Bảo mật Windows Trong Windows 11.
- Sử dụng tính năng tìm kiếm của Windows. Trong Windows 10, hộp tìm kiếm nằm trong thanh tác vụ bên cạnh nút Bắt đầu. Trong Windows 11, nhấp vào biểu tượng tìm kiếm trên thanh tác vụ để mở ngăn tìm kiếm. Loại hình Windows Security trong hộp tìm kiếm tiếp theo và chọn Windows Security của các kết quả.
Trong Bảo mật Windows, hãy chọn Bảo vệ khỏi vi rút và nguy hiểm . Cuộn xuống phần Ransomware Protection và nhấp vào Cục Bảo vệ Ransomware . Từ màn hình xuất hiện, trong Kiểm soát quyền truy cập thư mục, chuyển nút gạt sang thuê người làm . Bạn sẽ nhận được lời nhắc hỏi xem bạn có muốn thực hiện thay đổi hay không. Nhấp chuột "Ừ" .
Bạn không nên để nó ở đó và cảm thấy an toàn, bởi vì có khả năng bạn có các thư mục mà bạn muốn bảo vệ và tính năng bỏ qua chúng. Theo mặc định, nó bảo vệ các thư mục hệ thống Windows (và các thư mục bên dưới chúng) như C: \ Users \ Tên người dùng \ Tài liệu, ở đâu Tên người dùng Đó là tên người dùng Windows của bạn. Ngoài Documents, các thư mục hệ thống Windows bao gồm Desktop, Music, Pictures và Videos.
Nhưng tất cả các thư mục khác của bạn đều là trò chơi công bằng cho bất kỳ phần mềm tống tiền nào xâm nhập vào máy tính của bạn. Vì vậy, nếu bạn sử dụng lưu trữ đám mây OneDrive của Microsoft, chẳng hạn, bất kỳ thư mục và tệp OneDrive nào trên máy tính của bạn đều không được bảo vệ. Xem xét Microsoft đang cố gắng chuyển tất cả mọi người có thể sang OneDrive, đó là một thiếu sót đáng ngạc nhiên.
Để thêm các thư mục bạn muốn bảo vệ, hãy nhấp vào liên kết Thư mục được bảo vệ xuất hiện sau khi bạn bật Quyền truy cập thư mục được kiểm soát. Một lời nhắc xuất hiện hỏi bạn có muốn thực hiện thay đổi hay không. Nhấp chuột "Ừ" . Ấn nút thêm một thư mục được bảo vệ ” ở đầu danh sách các thư mục được bảo vệ xuất hiện, sau đó từ màn hình xuất hiện đến thư mục bạn muốn bảo vệ và nhấn "chọn thư mục" .
Tiếp tục thêm các thư mục theo cách này. Hãy nhớ rằng khi bạn thêm một thư mục, tất cả các thư mục bên dưới nó cũng được bảo vệ. Vì vậy, nếu bạn thêm OneDrive, chẳng hạn, không cần phải thêm tất cả các thư mục bên dưới nó.
(Lưu ý: Tùy thuộc vào phiên bản OneDrive của bạn, bạn có thể khôi phục các tệp OneDrive, ngay cả khi bạn không kiểm soát chúng bằng cách truy cập Thư mục được Kiểm soát. Để biết chi tiết, hãy xem tài liệu của Microsoft " Khôi phục các tệp hoặc thư mục đã xóa trong OneDrive ").
Nếu bất kỳ lúc nào bạn quyết định xóa một thư mục, hãy quay lại màn hình Thư mục được Bảo vệ, nhấn vào thư mục bạn muốn xóa, sau đó nhấn Loại bỏ . Lưu ý rằng bạn sẽ không thể xóa bất kỳ thư mục hệ thống Windows được bảo vệ nào khi tính năng này được bật. Bạn chỉ có thể xóa những người bạn đã thêm.
Microsoft xác định ứng dụng nào nên được phép truy cập vào các thư mục được bảo vệ và không ngạc nhiên trong số đó là Microsoft Office. Microsoft chưa công bố danh sách các ứng dụng được phép, vì vậy hãy cân nhắc thực hiện hành động để cho phép các ứng dụng bạn tin tưởng truy cập vào tệp của mình.
Để thực hiện việc này, hãy quay lại màn hình nơi bạn đã bật Quyền truy cập thư mục được kiểm soát và nhấn Cho phép ứng dụng có quyền truy cập có kiểm soát vào thư mục . Một lời nhắc xuất hiện hỏi bạn có muốn thực hiện thay đổi hay không. Nhấp chuột "Ừ" . Từ màn hình xuất hiện, chạm vào Thêm ứng dụng được phép , điều hướng đến tệp thực thi của chương trình bạn muốn thêm và nhấp vào mở , sau đó xác nhận rằng bạn muốn thêm tệp. Giống như việc thêm các thư mục vào danh sách các thư mục được bảo vệ, bạn có thể xóa ứng dụng bằng cách quay lại màn hình này, bấm vào ứng dụng bạn muốn gỡ bỏ, sau đó bấm Loại bỏ .
Mẹo: Nếu bạn không chắc chắn vị trí các tệp thực thi của chương trình bạn muốn thêm vào danh sách trắng, hãy tìm tên của thư mục có tên chương trình trong các thư mục Windows \ Program Files hoặc Windows \ Program Files (x86) , sau đó tìm kiếm tệp thực thi trong tập đó.
Tạo một bản sao lưu ... nhưng hãy làm đúng
Toàn bộ điểm của ransomware là giữ các tệp của bạn làm con tin cho đến khi bạn trả tiền để mở khóa chúng. Vì vậy, một trong những phương pháp bảo vệ ransomware tốt nhất là sao lưu các tệp của bạn. Bằng cách này, không cần trả tiền chuộc vì bạn có thể dễ dàng khôi phục các tệp của mình từ bản sao lưu.
Nhưng khi nói đến ransomware, không phải tất cả các bản sao lưu đều được tạo ra như nhau. Bạn nên cẩn thận về việc lựa chọn công nghệ và dịch vụ sao lưu phù hợp. Bạn nên sử dụng dịch vụ lưu trữ và sao lưu đám mây thay vì chỉ sao lưu vào ổ đĩa được kết nối với máy tính của bạn. Nếu bạn sao lưu vào ổ đĩa được kết nối với máy tính của mình, khi máy tính của bạn bị nhiễm ransomware, ổ đĩa sao lưu có thể sẽ được mã hóa cùng với bất kỳ đĩa nào khác bên trong hoặc được kết nối với máy tính của bạn.
Đảm bảo rằng bộ lưu trữ và sao lưu dựa trên đám mây của bạn sử dụng phiên bản - nghĩa là nó không chỉ giữ phiên bản hiện tại của mỗi tệp của bạn mà còn giữ cả phiên bản trước đó. Bằng cách này, nếu phiên bản mới nhất của tệp của bạn bị nhiễm virus, bạn có thể khôi phục từ các phiên bản trước đó.
Hầu hết các dịch vụ sao lưu và lưu trữ, bao gồm Microsoft OneDrive, Google Drive, Carbonite, Dropbox và nhiều dịch vụ khác, đều sử dụng phiên bản này. Bạn nên làm quen với tính năng lập phiên bản của bất kỳ dịch vụ nào bạn đang sử dụng ngay bây giờ, vì vậy bạn có thể dễ dàng khôi phục tệp trong nháy mắt.
Nhận bảo vệ ransomware miễn phí
Bất kỳ chương trình chống phần mềm độc hại nào cũng bao gồm các biện pháp bảo vệ chống ransomware được tích hợp sẵn, nhưng có nhiều chương trình hứa hẹn sẽ nhắm mục tiêu cụ thể vào ransomware. Một số trong số chúng được trả phí, nhưng cũng có một số tùy chọn miễn phí, như những tùy chọn tôi liệt kê ở đây.
Bitdefender cung cấp Các công cụ giải mã miễn phí có thể mở khóa dữ liệu của bạn Nếu bạn bị tấn công bởi ransomware và tiền chuộc được giữ lại. Họ chỉ có thể giải mã dữ liệu đã được mã hóa bằng cách sử dụng một số phần hoặc nhóm ransomware nhất định, bao gồm REvil / Sodinokibi, DarkSide, MaMoCrypt, WannaRen và nhiều phần mềm khác. Kaspersky cung cấp một chương trình Chống ransomware miễn phí Đối với cả người dùng gia đình và doanh nghiệp, mặc dù có những hạn chế về số lượng thiết bị bạn có thể sử dụng trên đó.
đúng
Microsoft thường xuyên phát hành các bản vá bảo mật cho Windows 10 và Windows 11 và chúng được áp dụng tự động thông qua Windows Update. Nhưng nếu bạn nghe nói về sự bùng phát của ransomware, đừng đợi Windows Update chạy - bạn nên tự mình nhận bản cập nhật ngay lập tức để được bảo vệ càng sớm càng tốt. Và không chỉ có các bản cập nhật Windows mà bạn muốn nhận được. Bạn cũng muốn đảm bảo rằng Windows Security, công cụ chống phần mềm độc hại tích hợp của Microsoft, có các định nghĩa chống phần mềm độc hại mới nhất.
Để thực hiện cả hai trong Windows 10, hãy truy cập Cài đặt> Cập nhật & Bảo mật> Windows Update và nhấp vào nút. Kiểm tra cập nhật . Trong Windows 11, đi tới Cài đặt> Cập nhật Windows và nhấp vào nút. Kiểm tra cập nhật . (Nếu các bản cập nhật đang chờ bạn, bạn sẽ thấy chúng được liệt kê thay vì một nút Kiểm tra cập nhật .) Nếu Windows tìm thấy các bản cập nhật, nó sẽ cài đặt chúng. Nếu nó yêu cầu khởi động lại, nó sẽ cho bạn biết.
Bạn không chỉ phải lo lắng về việc Windows vẫn được vá mà còn các chương trình khác. Nếu bạn sử dụng phần mềm chống phần mềm độc hại không phải Windows Security, hãy đảm bảo phần mềm đó và các định nghĩa phần mềm độc hại được cập nhật.
Các phần mềm khác trên máy tính của bạn cũng phải được cập nhật. Vì vậy, hãy kiểm tra cách cập nhật từng phần mềm và đảm bảo từng phần được cập nhật thường xuyên.
Tắt Macro trong Microsoft Office
Ransomware có thể lây lan Qua Macro trong Tệp Office , vì vậy bạn phải tắt nó đi để an toàn. Microsoft hiện vô hiệu hóa tính năng này theo mặc định, nhưng điều đó không nhất thiết có nghĩa là tính năng này bị tắt trong phiên bản Office của bạn, tùy thuộc vào thời điểm bạn cài đặt và liệu bạn đã cập nhật hay chưa. Để tắt tính năng này, khi bạn đang sử dụng ứng dụng Office, hãy chọn Tệp> Tùy chọn> Trung tâm Tin cậy> Cài đặt Trung tâm Tin cậy và chọn một trong hai Tắt tất cả các macro thông báo أو Tắt tất cả các macro mà không cần thông báo . Nếu bạn tắt chúng bằng một thông báo, khi bạn mở tệp, bạn sẽ nhận được thông báo cảnh báo rằng các macro đã bị vô hiệu hóa và cho phép bạn chạy chúng. Chỉ chạy nó nếu bạn hoàn toàn chắc chắn rằng nó đến từ một nguồn an toàn và đáng tin cậy.
Bộ phận CNTT của bạn cần biết gì về ransomware và Windows
Có rất nhiều điều mà CNTT có thể làm để giữ cho các công ty không có phần mềm tống tiền. Rõ ràng nhất: áp dụng các bản vá bảo mật mới nhất không chỉ cho tất cả các máy tính trong doanh nghiệp mà cho tất cả các máy chủ và bất kỳ thiết bị nào khác ở cấp doanh nghiệp.
Điều này chỉ là khởi đầu. Bộ phận CNTT của bạn cần vô hiệu hóa giao thức mạng SMB1 Windows được biết là không an toàn. Nhiều cuộc tấn công ransomware đã được lan truyền trên một giao thức 30 năm tuổi; Ngay cả Microsoft cũng nói rằng không ai nên sử dụng nó.
Tin tốt là Windows 1709 phiên bản 10, được phát hành vào tháng 2017 năm 1, cuối cùng đã thoát khỏi SMB11. (Nó cũng không có trong Windows 1709.) Nhưng đó chỉ dành cho các máy tính có cài đặt sạch phiên bản XNUMX trở lên, bao gồm cả những phiên bản mới đã ra mắt. Các máy tính cũ đã được cập nhật từ các phiên bản Windows trước vẫn có giao thức tích hợp sẵn.
Bộ phận CNTT của bạn có thể đến một số nơi để yêu cầu trợ giúp để tắt tính năng này. Một nơi tốt để bắt đầu là Tài liệu Thực tiễn Tốt nhất về Bảo mật dành cho Doanh nghiệp Vừa và Nhỏ Từ US-CERT, do Bộ An ninh Nội địa Hoa Kỳ điều hành. Nó khuyến nghị vô hiệu hóa SMB1, sau đó "chặn tất cả các phiên bản của SMB trên ranh giới mạng bằng cách chặn cổng TCP 445 với các giao thức liên quan trên cổng UDP 137-138 và cổng TCP 139, cho tất cả các thiết bị biên."
Nâng cao bài viết Hỗ trợ của Microsoft ” Cách phát hiện, bật và tắt SMBv1, SMBv2 và SMBv3 trong Windows Chi tiết về cách tắt giao thức. Nó khuyên bạn nên giết SMB1 trong khi vẫn giữ SMB2 và SMB3 hoạt động, và chỉ hủy kích hoạt chúng để khắc phục sự cố tạm thời. Để biết thông tin chi tiết, mới nhất về cách tắt SMB1, hãy truy cập bài viết Microsoft TechNet ” Tắt SMB v1 trong các môi trường được quản lý bằng Chính sách Nhóm ".
Quản trị viên có thể sử dụng Quyền truy cập thư mục có kiểm soát (được thảo luận trước đó trong bài viết này) để ngăn ransomware mã hóa tệp và thư mục trên máy tính chạy Windows 11 hoặc Windows 10 phiên bản 1709 trở lên. Họ có thể sử dụng Bảng điều khiển quản lý chính sách nhóm, Trung tâm bảo mật Windows hoặc PowerShell để bật quyền truy cập thư mục được kiểm soát cho người dùng trên mạng, tùy chỉnh thư mục nào cần bảo vệ và cho phép các ứng dụng bổ sung truy cập thư mục khác với cài đặt mặc định của Microsoft. Để được hướng dẫn, hãy truy cập bài viết của Microsoft ” Bật quyền truy cập có kiểm soát vào thư mục "Để bật nó lên và để" Tùy chỉnh quyền truy cập có kiểm soát vào thư mục Tùy chỉnh thư mục nào cần bảo vệ và ứng dụng nào cho phép lưu lượng truy cập.
Một vấn đề tiềm ẩn với việc kiểm soát quyền truy cập thư mục là nó có thể chặn các ứng dụng mà người dùng thường sử dụng truy cập thư mục. Vì vậy, Microsoft khuyên bạn nên sử dụng chế độ kiểm tra trước để xem điều gì sẽ xảy ra khi bạn bật Kiểm soát truy cập thư mục. Để biết thông tin về cách thực hiện việc này, hãy truy cập Tài liệu. Đánh giá Bảo vệ Khai thác Của Microsoft.
Như đã đề cập ở trên, các macro Office có thể phát tán ransomware. Microsoft hiện chặn các macro được tải xuống từ Internet theo mặc định, nhưng để an toàn, CNTT phải sử dụng Chính sách Nhóm để chặn chúng. Để biết các mẹo về cách thực hiện việc này, hãy truy cập trang “ Chặn các macro đang chạy trong tệp Office từ Internet Trong tài liệu của Microsoft Macro sẽ bị chặn khỏi Internet theo mặc định trong Office "và tới" Giúp người dùng an toàn: Chặn macro internet theo mặc định trong bài đăng Blog Văn phòng ”.
tư cuôi cung
Tin tốt trong tất cả những điều này: Windows 10 và Windows 11 có các tính năng chống ransomware cụ thể được tích hợp sẵn. Làm theo các mẹo mà chúng tôi đã giải thích ở đây để ngăn chặn mối đe dọa ransomware.
