如何保護 Windows 10 和 11 免受勒索軟件的侵害。 勒索軟件很猖獗,但個人和管理員可以通過多種方式保護他們的 Windows 10 和 11 計算機。以下是該做什麼。
Cryptolocare。 我要你。 黑暗的一面。 孔蒂。 美杜莎儲物櫃。 勒索軟件威脅不會消失 幾乎 ; 該消息不斷報導這種惡意類型的惡意軟件在世界範圍內傳播的新浪潮。 它之所以受歡迎,很大程度上是因為攻擊者可以立即獲得經濟回報:它的工作原理是加密硬盤上的文件,然後要求你支付贖金,通常是比特幣或其他加密貨幣,以解密它們。
但你不必成為受害者。 Windows 10 和 11 用戶可以做很多事情來保護自己免受它的侵害。 在本文中,我將向您展示如何保護自己的安全,包括如何使用內置的 Windows 反勒索軟件工具。
(管理員,請參閱本文末尾的“您的 IT 部門需要了解的有關勒索軟件和 Windows 的知識”。)
本文假設您已經對一般惡意軟件採取了基本的預防措施,包括運行反惡意軟件,從不下載附件或單擊來自未知發件人的電子郵件和看起來可疑的電子郵件中的鏈接。 另請注意,本文已針對 Windows 10 年 2021 月 21 日更新(2H11 版)和 Windows 2021 21 年 2 月 10 日更新(XNUMXHXNUMX 版)進行了更新。 如果您使用的是較早版本的 Windows XNUMX,則某些情況可能會有所不同。
使用受控文件夾訪問
Microsoft 非常關心勒索軟件,他們在 Windows 10 和 Windows 11 中直接構建了一個易於配置的反勒索軟件工具。稱為受控文件夾訪問,它通過僅允許安全且經過全面審查的應用程序訪問您的文件來保護您。 不允許通過未知應用程序或已知惡意軟件威脅。
默認情況下,該功能未打開,因此如果您想保護自己免受勒索軟件的侵害,您必須告訴它開始工作。 您可以通過將新應用程序添加到有權訪問文件的程序白名單中,以及在默認情況下保護的文件夾之外添加新文件夾來精確自定義其工作方式。
要運行它,您需要訪問 Windows 安全中心。 在 Windows 10 和 Windows 11 中有幾種方法可以訪問它:
- 單擊任務欄左側的向上箭頭,然後單擊 Windows 安全圖標 - 盾牌。
- 點擊 開始 > 設置 要打開設置應用程序,然後選擇 更新和安全 > Windows 安全 在 Windows 10 或 隱私與安全 > Windows 安全 在 Windows 11 中。
- 使用 Windows 搜索。 在 Windows 10 中,搜索框位於“開始”按鈕旁邊的任務欄中。 在 Windows 11 中,單擊任務欄上的搜索圖標以打開搜索窗格。 類型 Windows安全 在下一個搜索框中並選擇 Windows安全 的結果。
在 Windows 安全中,選擇 防止病毒和危險 . 向下滾動到勒索軟件保護部分,然後單擊 勒索軟件防護管理 . 在出現的屏幕中,在控製文件夾訪問下,將開關切換到 就業 . 您將收到一個提示,詢問您是否要進行更改。 點擊 “任性” .
你不應該把它留在那裡並感到安全,因為你有可能擁有想要保護的文件夾並且該功能會忽略它們。 默認情況下,它會保護 Windows 系統文件夾(以及它們下面的文件夾),例如 C:\Users\ 用戶名 \ 文件,其中 用戶名 這是您的 Windows 用戶名。 除了 Documents,Windows 系統文件夾還包括 Desktop、Music、Pictures 和 Videos。
但是對於進入您計算機的任何勒索軟件來說,您的所有其他文件夾都是公平的遊戲。 因此,例如,如果您使用 Microsoft 的 OneDrive 雲存儲,您計算機上的任何 OneDrive 文件夾和文件都不會受到保護。 考慮到微軟正試圖將所有可能的人轉移到 OneDrive,這是一個令人驚訝的遺漏。
要添加要保護的文件夾,請單擊鏈接 受保護的文件夾 打開受控文件夾訪問後出現。 將出現一個提示,詢問您是否要進行更改。 點擊 “任性” . 點擊按鈕 添加受保護的文件夾” 在出現的受保護文件夾列表頂部,然後從出現的屏幕到您要保護的文件夾,然後點擊 “選擇文件夾” .
繼續以這種方式添加文件夾。 請記住,當您添加文件夾時,該文件夾下的所有文件夾也會受到保護。 因此,例如,如果您添加 OneDrive,則無需添加其下的所有文件夾。
(注意:根據您的 OneDrive 版本,您可能能夠恢復 OneDrive 文件,即使您不通過訪問受控文件夾來控制它們。有關詳細信息,請參閱 Microsoft 的文檔“ 恢復 OneDrive 中已刪除的文件或文件夾 。“)
如果您在任何時候決定刪除文件夾,請返回受保護的文件夾屏幕,點擊要刪除的文件夾,然後點擊 移動 . 請注意,當該功能打開時,您將無法刪除任何受保護的 Windows 系統文件夾。 您只能刪除已添加的內容。
Microsoft 確定應允許哪些應用程序訪問受保護的文件夾,其中 Microsoft Office 也就不足為奇了。 Microsoft 尚未發布允許的應用程序列表,因此請考慮採取措施允許您信任的應用程序訪問您的文件。
為此,請返回您打開受控文件夾訪問的屏幕,然後點擊 允許應用程序對文件夾具有受控訪問權限 . 將出現一個提示,詢問您是否要進行更改。 點擊 “任性” . 在出現的屏幕中,點擊 允許添加應用 ,導航到要添加的程序的可執行文件,然後單擊 打開 ,然後確認您要添加該文件。 與將文件夾添加到受保護文件夾列表一樣,您可以通過返回此屏幕,單擊要刪除的應用程序,然後單擊 移動 .
提示:如果您不確定要添加到白名單的程序的可執行文件在哪裡,請在 Windows\Program Files 或 Windows\Program Files (x86) 文件夾中查找具有程序名稱的文件夾名稱,然後在該卷中搜索可執行文件。
做一個備份......但做對了
勒索軟件的全部意義在於將您的文件扣為人質,直到您付費解鎖它們。 因此,最好的勒索軟件保護方法之一就是備份您的文件。 這樣,無需支付贖金,因為您可以輕鬆地從備份中恢復文件。
但在勒索軟件方面,並非所有備份都是平等的。 您應該謹慎選擇正確的備份技術和服務。 使用雲存儲和備份服務而不是僅備份到連接到計算機的驅動器是一個好主意。 如果您備份到連接到計算機的驅動器,當您的計算機感染勒索軟件時,備份驅動器可能會與內部或連接到計算機的任何其他磁盤一起被加密。
確保您的基於雲的存儲和備份使用版本 - 也就是說,它不僅保留每個文件的當前版本,還保留以前的版本。 這樣,如果您的文件的最新版本被感染,您可以從以前的版本恢復。
大多數備份和存儲服務,包括 Microsoft OneDrive、Google Drive、Carbonite、Dropbox 等,都使用該版本。 熟悉您現在使用的任何服務的版本控制功能是個好主意,這樣您就可以輕鬆地恢復文件。
獲得免費的勒索軟件保護
任何反惡意軟件程序都包含內置的反勒索軟件保護,但有許多程序承諾專門針對勒索軟件。 其中一些是付費的,但也有一些免費選項,就像我在這裡列出的一樣。
Bitdefender 優惠 可以解鎖您的數據的免費解密工具 如果您受到勒索軟件的攻擊並保留贖金。 他們只能解密使用某些部分或勒索軟件系列加密的數據,包括 REvil/Sodinokibi、DarkSide、MaMoCrypt、WannaRen 等。 卡巴斯基提供了一個程序 免費反勒索軟件 對於家庭和企業用戶,儘管您可以在其上使用的設備數量有所限制。
保持正確
Microsoft 會定期發布 Windows 10 和 Windows 11 的安全補丁,並通過 Windows Update 自動應用這些補丁。 但是,如果您聽說勒索軟件爆發,請不要等待 Windows 更新運行 - 您應該立即自行獲取更新,以便盡快得到保護。 您想要獲得的不僅僅是 Windows 更新。 您還需要確保 Microsoft 的內置反惡意軟件工具 Windows 安全具有最新的反惡意軟件定義。
要在 Windows 10 中同時執行這兩項操作,請訪問 設置 > 更新和安全 > Windows 更新 然後單擊 . 按鈕 檢查更新 . 在 Windows 11 中,轉到 設置 > Windows 更新 然後單擊 . 按鈕 檢查更新 . (如果更新已經在等你,你會看到它們被列出而不是一個按鈕 檢查更新 .) 如果 Windows 找到更新,它會安裝它們。 如果它需要重新啟動,它會告訴你。
您不僅要擔心 Windows 會一直打補丁,而且還要擔心其他程序。 如果您使用 Windows 安全以外的反惡意軟件,請確保它及其惡意軟件定義是最新的。
您計算機上的其他軟件也必須更新。 所以檢查每個軟件是如何更新的,並確保每個部分都定期更新。
在 Microsoft Office 中禁用宏
勒索軟件可以傳播 通過 Office 文件中的宏 ,因此您必須將其關閉以確保安全。 Microsoft 現在默認禁用它,但這並不一定意味著它在您的 Office 版本中已關閉,具體取決於您安裝它的時間以及您是否更新了它。 若要將其關閉,當您在 Office 應用中時,選擇 文件 > 選項 > 信任中心 > 信任中心設置 並選擇 禁用所有通知宏 أو 禁用所有宏,恕不另行通知 . 如果您通過通知禁用它們,當您打開文件時,您將收到一條消息警告宏已禁用並允許您運行它們。 只有在您絕對確定它來自安全可靠的來源時才運行它。
您的 IT 部門需要了解的有關勒索軟件和 Windows 的信息
IT 可以做很多事情來使公司免受勒索軟件的侵害。 最明顯的是:不僅將最新的安全補丁應用於企業中的所有計算機,而且應用於企業級別的所有服務器和任何其他設備。
這僅僅是開始。 您的 IT 部門需要禁用已知不安全的 SMB1 Windows 網絡協議。 多個勒索軟件攻擊分佈在一個 30 年前的協議上; 甚至微軟也說沒有人應該使用它。
好消息是,1709 年 10 月發布的 Windows 2017 版本 1 終於擺脫了 SMB11。 (它也不在 Windows 1709 中。)但這僅適用於全新安裝版本 XNUMX 或更高版本的計算機,包括此後出現的新計算機。 從以前版本的 Windows 更新的舊計算機仍然具有內置協議。
您的 IT 部門可以在多個地方尋求幫助以將其關閉。 一個好的起點是 中小企業安全最佳實踐文檔 來自美國國土安全部運營的 US-CERT。 它建議禁用 SMB1,然後“通過阻止 TCP 端口 445 以及所有邊界設備的 UDP 端口 137-138 和 TCP 端口 139 上的相關協議來阻止網絡邊界上的所有 SMB 版本。”
高級 Microsoft 支持文章” 如何在 Windows 中檢測、啟用和禁用 SMBv1、SMBv2 和 SMBv3 有關如何關閉協議的詳細信息。 它建議在保持 SMB1 和 SMB2 處於活動狀態的同時終止 SMB3,並且僅將它們停用以進行臨時故障排除。 有關關閉 SMB1 的最新詳細信息,請訪問 Microsoft TechNet 文章” 在使用組策略管理的環境中禁用 SMB v1 “
管理員可以使用受控文件夾訪問(本文前面討論過)來阻止勒索軟件對裝有 Windows 11 或 Windows 10 版本 1709 或更高版本的計算機上的文件和文件夾進行加密。 他們可以使用組策略管理控制台、Windows 安全中心或 PowerShell 為網絡上的用戶打開受控文件夾訪問權限,自定義要保護的文件夾,並允許其他應用程序訪問 Microsoft 默認設置以外的文件夾。 有關說明,請轉到 Microsoft 文章” 啟用對文件夾的受控訪問 “打開它,然後” 自定義對文件夾的受控訪問 自定義要保護的文件夾以及允許流量的應用程序。
控製文件夾訪問的一個潛在問題是它可能會阻止用戶通常使用的應用程序訪問文件夾。 所以微軟建議先使用審核模式,看看開啟文件夾訪問控制後會發生什麼。 有關如何執行此操作的信息,請轉到文檔。 漏洞利用保護評估 來自微軟。
如上所述,Office 宏可以傳播勒索軟件。 Microsoft 現在默認阻止從 Internet 下載的宏,但為了安全起見,IT 必須使用組策略來阻止它們。 有關如何執行此操作的提示,請訪問“ 阻止從 Internet 在 Office 文件中運行宏 在 Microsoft 文檔中 默認情況下,Office 中的宏將被阻止訪問 Internet “並” 幫助用戶保持安全:在帖子中默認阻止互聯網宏 辦公室博客”。
遺言
好消息是:Windows 10 和 Windows 11 內置了特定的反勒索軟件功能。 請按照我們在此處解釋的提示來防止勒索軟件威脅。
