如何保护 Windows 10 和 11 免受勒索软件的侵害。 勒索软件很猖獗,但个人和管理员可以通过多种方式保护他们的 Windows 10 和 11 计算机。以下是该做什么。
Cryptolocare。 我要你。 黑暗的一面。 孔蒂。 美杜莎储物柜。 勒索软件威胁不会消失 几乎 ; 该消息不断报道这种恶意类型的恶意软件在世界范围内传播的新浪潮。 它之所以受欢迎,很大程度上是因为攻击者可以立即获得经济回报:它的工作原理是加密硬盘上的文件,然后要求你支付赎金,通常是比特币或其他加密货币,以解密它们。
但你不必成为受害者。 Windows 10 和 11 用户可以做很多事情来保护自己免受它的侵害。 在本文中,我将向您展示如何保护自己的安全,包括如何使用内置的 Windows 反勒索软件工具。
(管理员,请参阅本文末尾的“您的 IT 部门需要了解的有关勒索软件和 Windows 的知识”。)
本文假设您已经对一般恶意软件采取了基本的预防措施,包括运行反恶意软件,从不下载附件或单击来自未知发件人的电子邮件和看起来可疑的电子邮件中的链接。 另请注意,本文已针对 Windows 10 年 2021 月 21 日更新(2H11 版)和 Windows 2021 21 年 2 月 10 日更新(XNUMXHXNUMX 版)进行了更新。 如果您使用的是早期版本的 Windows XNUMX,则某些情况可能会有所不同。
使用受控文件夹访问
Microsoft 非常关心勒索软件,他们在 Windows 10 和 Windows 11 中直接构建了一个易于配置的反勒索软件工具。称为受控文件夹访问,它通过仅允许安全且经过全面审查的应用程序访问您的文件来保护您。 不允许通过未知应用程序或已知恶意软件威胁。
默认情况下,该功能未打开,因此如果您想保护自己免受勒索软件的侵害,您必须告诉它开始工作。 您可以通过将新应用程序添加到有权访问文件的程序白名单中,以及在默认情况下保护的文件夹之外添加新文件夹来精确自定义其工作方式。
要运行它,您需要访问 Windows 安全中心。 在 Windows 10 和 Windows 11 中有几种方法可以访问它:
- 单击任务栏左侧的向上箭头,然后单击 Windows 安全图标 - 盾牌。
- 点击 开始 > 设置 要打开设置应用程序,然后选择 更新和安全 > Windows 安全 在 Windows 10 或 隐私与安全 > Windows 安全 在 Windows 11 中。
- 使用 Windows 搜索。 在 Windows 10 中,搜索框位于“开始”按钮旁边的任务栏中。 在 Windows 11 中,单击任务栏上的搜索图标以打开搜索窗格。 类型 Windows安全 在下一个搜索框中并选择 Windows安全 的结果。
在 Windows 安全中,选择 防止病毒和危险 . 向下滚动到勒索软件保护部分,然后单击 勒索软件保护部 . 在出现的屏幕中,在控制文件夹访问下,将开关切换到 تشغيل . 您将收到一个提示,询问您是否要进行更改。 点击 “是的” .
你不应该把它留在那里并感到安全,因为你有可能拥有想要保护的文件夹并且该功能会忽略它们。 默认情况下,它会保护 Windows 系统文件夹(以及它们下面的文件夹),例如 C:\Users\ 用户名 \ 文件,其中 用户名 这是您的 Windows 用户名。 除了 Documents,Windows 系统文件夹还包括 Desktop、Music、Pictures 和 Videos。
但是,对于任何进入您计算机的勒索软件来说,您的所有其他文件夹都是公平的游戏。 因此,例如,如果您使用 Microsoft 的 OneDrive 云存储,您计算机上的任何 OneDrive 文件夹和文件都不会受到保护。 鉴于微软正试图将所有可能的人转移到 OneDrive,这是一个令人惊讶的遗漏。
要添加要保护的文件夹,请单击链接 受保护的文件夹 打开受控文件夹访问后出现。 将出现一个提示,询问您是否要进行更改。 点击 “是的” . 点击按钮 添加受保护的文件夹” 在出现的受保护文件夹列表顶部,然后从出现的屏幕到您要保护的文件夹,然后点击 “选择文件夹” .
继续以这种方式添加文件夹。 请记住,当您添加文件夹时,该文件夹下的所有文件夹也会受到保护。 因此,例如,如果您添加 OneDrive,则无需添加其下的所有文件夹。
(注意:根据您的 OneDrive 版本,您可能能够恢复 OneDrive 文件,即使您不通过访问受控文件夹来控制它们。有关详细信息,请参阅 Microsoft 的文档“ 恢复 OneDrive 中已删除的文件或文件夹 。“)
如果您在任何时候决定删除文件夹,请返回受保护的文件夹屏幕,点击要删除的文件夹,然后点击 移动 . 请注意,当该功能打开时,您将无法删除任何受保护的 Windows 系统文件夹。 您只能删除已添加的内容。
Microsoft 确定应允许哪些应用程序访问受保护的文件夹,其中 Microsoft Office 也就不足为奇了。 Microsoft 尚未发布允许的应用程序列表,因此请考虑采取措施允许您信任的应用程序访问您的文件。
为此,请返回您打开受控文件夹访问的屏幕,然后点击 允许应用程序对文件夹具有受控访问权限 . 将出现一个提示,询问您是否要进行更改。 点击 “是的” . 在出现的屏幕中,点击 允许添加应用 ,导航到要添加的程序的可执行文件,然后单击 打开 ,然后确认您要添加文件。 与将文件夹添加到受保护文件夹列表一样,您可以通过返回此屏幕,单击要删除的应用程序,然后单击 移动 .
提示:如果您不确定要添加到白名单的程序的可执行文件在哪里,请在 Windows\Program Files 或 Windows\Program Files (x86) 文件夹中查找具有程序名称的文件夹名称,然后在该卷中搜索可执行文件。
做一个备份......但做对了
勒索软件的全部意义在于将您的文件扣为人质,直到您付费解锁它们。 因此,最好的勒索软件保护方法之一就是备份您的文件。 这样,无需支付赎金,因为您可以轻松地从备份中恢复文件。
但在勒索软件方面,并非所有备份都是平等的。 您应该谨慎选择正确的备份技术和服务。 使用云存储和备份服务而不是仅备份到连接到计算机的驱动器是一个好主意。 如果您备份到连接到计算机的驱动器,当您的计算机感染勒索软件时,备份驱动器可能会与内部或连接到计算机的任何其他磁盘一起被加密。
确保您的基于云的存储和备份使用版本 - 也就是说,它不仅保留每个文件的当前版本,还保留以前的版本。 这样,如果您的文件的最新版本被感染,您可以从以前的版本恢复。
大多数备份和存储服务,包括 Microsoft OneDrive、Google Drive、Carbonite、Dropbox 等,都使用该版本。 熟悉您现在使用的任何服务的版本控制功能是一个好主意,这样您就可以轻松地快速恢复文件。
获得免费的勒索软件保护
任何反恶意软件程序都包含内置的反勒索软件保护,但有许多程序承诺专门针对勒索软件。 其中一些是付费的,但也有一些免费选项,就像我在这里列出的一样。
Bitdefender 优惠 可以解锁您的数据的免费解密工具 如果您受到勒索软件的攻击并保留赎金。 他们只能解密使用某些部分或勒索软件系列加密的数据,包括 REvil/Sodinokibi、DarkSide、MaMoCrypt、WannaRen 等。 卡巴斯基提供了一个程序 免费反勒索软件 对于家庭和企业用户,尽管您可以在其上使用的设备数量有所限制。
保持正确
Microsoft 会定期发布 Windows 10 和 Windows 11 的安全补丁,并通过 Windows Update 自动应用这些补丁。 但是,如果您听说勒索软件爆发,请不要等待 Windows 更新运行 - 您应该立即自行获取更新,以便尽快得到保护。 您想要获得的不仅仅是 Windows 更新。 您还需要确保 Microsoft 的内置反恶意软件工具 Windows 安全具有最新的反恶意软件定义。
要在 Windows 10 中同时执行这两项操作,请访问 设置 > 更新和安全 > Windows 更新 并单击 . 按钮 التحققمنوجودتحديثات . 在 Windows 11 中,转到 设置 > Windows 更新 并单击 . 按钮 التحققمنوجودتحديثات . (如果更新已经在等你,你会看到它们被列出而不是一个按钮 التحققمنوجودتحديثات .) 如果 Windows 找到更新,它会安装它们。 如果它需要重新启动,它会告诉你。
您不仅要担心 Windows 会一直打补丁,而且还要担心其他程序。 如果您使用 Windows 安全以外的反恶意软件,请确保它及其恶意软件定义是最新的。
您计算机上的其他软件也必须更新。 所以检查每个软件是如何更新的,并确保每个部分都定期更新。
在 Microsoft Office 中禁用宏
勒索软件可以传播 通过 Office 文件中的宏 ,因此您必须将其关闭以确保安全。 Microsoft 现在默认禁用它,但这并不一定意味着它在您的 Office 版本中已关闭,具体取决于您安装它的时间以及您是否更新了它。 若要将其关闭,当您在 Office 应用中时,选择 文件 > 选项 > 信任中心 > 信任中心设置 并选择 禁用所有通知宏 أو 禁用所有宏,恕不另行通知 . 如果您通过通知禁用它们,当您打开文件时,您将收到一条消息警告宏已禁用并允许您运行它们。 只有在您绝对确定它来自安全可靠的来源时才运行它。
您的 IT 部门需要了解的有关勒索软件和 Windows 的信息
IT 可以做很多事情来使公司免受勒索软件的侵害。 最明显的是:不仅将最新的安全补丁应用于企业中的所有计算机,而且应用于企业级别的所有服务器和任何其他设备。
这仅仅是开始。 您的 IT 部门需要禁用已知不安全的 SMB1 Windows 网络协议。 多个勒索软件攻击分布在一个 30 年前的协议上; 甚至微软也说没有人应该使用它。
好消息是,1709 年 10 月发布的 Windows 2017 版本 1 终于摆脱了 SMB11。 (它也不在 Windows 1709 中。)但这仅适用于全新安装版本 XNUMX 或更高版本的计算机,包括此后出现的新计算机。 从以前版本的 Windows 更新的旧计算机仍然具有内置协议。
您的 IT 部门可以在多个地方寻求帮助以将其关闭。 一个好的起点是 中小企业安全最佳实践文档 来自美国国土安全部运营的 US-CERT。 它建议禁用 SMB1,然后“通过阻止 TCP 端口 445 以及所有边界设备的 UDP 端口 137-138 和 TCP 端口 139 上的相关协议来阻止网络边界上的所有 SMB 版本。”
高级 Microsoft 支持文章” 如何在 Windows 中检测、启用和禁用 SMBv1、SMBv2 和 SMBv3 有关如何关闭协议的详细信息。 它建议在保持 SMB1 和 SMB2 处于活动状态的同时终止 SMB3,并且仅将它们停用以进行临时故障排除。 有关关闭 SMB1 的最新详细信息,请访问 Microsoft TechNet 文章” 在使用组策略管理的环境中禁用 SMB v1 设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
管理员可以使用受控文件夹访问(本文前面讨论过)来阻止勒索软件对装有 Windows 11 或 Windows 10 版本 1709 或更高版本的计算机上的文件和文件夹进行加密。 他们可以使用组策略管理控制台、Windows 安全中心或 PowerShell 为网络上的用户打开受控文件夹访问权限,自定义要保护的文件夹,并允许其他应用程序访问 Microsoft 默认设置以外的文件夹。 有关说明,请转到 Microsoft 文章” 启用对文件夹的受控访问 “打开它,然后” 自定义对文件夹的受控访问 自定义应保护哪些文件夹以及应允许哪些应用程序通过。
控制文件夹访问的一个潜在问题是它可能会阻止用户通常使用的应用程序访问文件夹。 所以微软建议先使用审核模式,看看开启文件夹访问控制后会发生什么。 有关如何执行此操作的信息,请转到文档。 漏洞利用保护评估 来自微软。
如上所述,Office 宏可以传播勒索软件。 Microsoft 现在默认阻止从 Internet 下载的宏,但为了安全起见,IT 必须使用组策略来阻止它们。 有关如何执行此操作的提示,请访问“ 阻止从 Internet 在 Office 文件中运行宏 在 Microsoft 文档中 默认情况下,Office 中的宏将被阻止访问 Internet “并” 帮助用户保持安全:在帖子中默认阻止互联网宏 办公室博客”。
遗言
好消息是:Windows 10 和 Windows 11 内置了特定的反勒索软件功能。 请按照我们在此处解释的提示来防止勒索软件威胁。
