Как защитить файлы на Windows 10 от вирусов-вымогателей

В состав обновления Windows 10 Fall Creators Update входят новые механизмы защиты вашего компьютера. Одна из новых функций называется «Контролируемый доступ к папкам» или “Controlled folder access” в английской локализации.

Она создана для того, чтобы предотвратить ваш компьютер от заражения так называемым “ransomware” или вирусом-вымогателем, который шифрует файлы на компьютере и требует выкуп за их расшифровку (обычно жертва платит, но так и не получает содержимое своего диска обратно).

Контролируемый доступ к папкам по умолчанию отключен, поэтому для защиты вам понадобится включить эту функцию вручную. В этой статье мы расскажем об особенностях контролируемого доступа, что это такое и как им пользоваться.

Для справки: контролируемый доступ к папкам – превентивная мера. Это значит, что функция не поможет, если компьютер уже заражен. С ее помощью можно лишь предотвратить, но никак не исправить заражение. Лечение компьютера после атаки вируса-шифровальщика — тема для отдельного разговора.

Что такое контролируемый доступ к папкам Windows 10

Эта возможность является частью Защитника Windows, встроенного в каждую редакцию операционной системы Windows 10.

Контролируемый доступ работает как дополнительный «слой» защиты в момент, когда программа пытается изменить файлы в ваших личных папках, вроде документов, изображений, рабочего стола, музыки и так далее.

В обычной среде Windows любая программа может делать все что угодно с этими папками и их содержимым. Разумеется, нормальные разработчики не пишут код пользователю во вред, а вот злоумышленникам только и надо, что зашифровать ваши данные с целью получить выкуп.

Когда пользователь включает контролируемый доступ к папкам, система будет разрешать изменения только тем приложениям, которые «одобрены» компанией Microsoft или конкретно указанные вами программы из так называемого «белого списка».

Этот список полезен в тех случаях, когда Microsoft не имеет информации о приложении, но вы уверены в его надежности работы. Вы просто вносите программу в белый список и Windows разрешит ей вносить изменения в необходимые файлы и папки.

Коротко говоря, контролируемый доступ предотвращает удаление, шифрование, изменение или любые другие негативные действия с содержимым вашего жесткого диска.

Как включить защиту от шифрования «Контролируемый доступ к папкам»

Чтобы включить контролируемый доступ к папкам в Windows 10, вам надо сначала убедиться, что система обновлена до соответствующей версии. Нажмите Win + R и введите winver. Проверьте номер версии Windows.

Если у вас установлена 1709 и выше, значит ваш компьютер можно защитить новой функцией. Если нет, тогда вам надо обновить свое устройством.

О том, как установить Windows 10 Fall Creators Update (именно в этом обновлении появилась функция контролируемого доступа), читайте в соответствующей статье по ссылке.

1. Откройте Центр безопасности защитника Windows. Его иконка расположена в области уведомлений. Просто дважды кликните по ней. Если иконки нет, найдите приложение в списке программ меню Пуск.
2. Перейдите на вкладку Защита от вирусов и угроз.
3. Опуститесь немного ниже и найдите пункт Контролируемый доступ к папкам. Активируйте его. Если Контроль учетных записей попросит у вас разрешение, согласитесь на внесение изменений (подробнее об UAC рассказано в статье «Как отключить контроль учетных записей»).

После активации у вас появится две дополнительные кнопки. Одна называется Защищенные папки, а другая Разрешить работу приложениям через контролируемый доступ к папкам.

Теперь вы можете приступить к настройке функции контролируемого доступа. Иными словами, вам теперь надо задать, какие папки Windows будет особо тщательно проверять, а также, какие приложения имеют право обходить настройки защитника.

По умолчанию контролируемый доступ применяется к стандартным библиотекам в пользовательской папке. Это все, что вы найдете в директории своего профиля. Если вы храните важные файлы в других расположениях, есть смысл добавить их в параметры контролируемого доступа.

Нажмите на кнопку Защищенные папки, а затем Добавить защищенную папку. В открывшемся окне проводника найдите нужную папку и выберите его. Это может быть любая директория на любом диске. Опять же, UAC (если включен) спросит разрешение на выполнение действия.

Для справки: Учтите, что удалить стандартные папки из списка нельзя. Они всегда будут защищаться, если контролируемый доступ активирован. Вы можете удалить лишь те папки, которые сами добавили в Защитник Windows.

Для удаления добавленной ранее папки надо нажать на нее в общем списке, а затем кликнуть по кнопке Удалить.

Когда все нужные директории находятся в списке, пора установить, какие приложения имеют «пропуск» через контролируемый доступ.

Windows сама сможет предоставить разрешение для авторизованных программ, поэтому белый список будет скорее нужен для малоизвестных или особо специфических приложений.

Иными словами, почти все приложения, полученные из надежных источников, не будут вызывать конфликтов.

• Если же Защитник Windows обнаруживает неладное, система уведомит вас соответствующим сообщением. Выглядит оно вот так:
• 
• Если речь идет о надежном приложении, тогда вам надо вручную добавить его в список доверенных программ.

1. Кликните на уведомление, либо откройте Центр защитника Windows на вкладке Защита от вирусов и угроз.
2. Найдите Контролируемый доступ к папкам и нажмите Разрешить работу приложения через контролируемый доступ к папкам.
3. Нажмите на Добавление разрешенного приложения и в окне проводника найдите исполняемый файл нужной программы. Обратите внимание, что разрешить можно только win32-приложения. Все UWP-программы проходят соответствующие проверки при сертификации в магазине и там Microsoft убеждается в том, что программа не навредит вашему компьютеру.

Удаляется доверенное приложение так же само просто. Вам надо лишь нажать на него в списке и выбрать Удалить.

Таким образом вы можете дополнительно защитить свой компьютер от заразы, вроде WannaCry, которая поразила компьютеры десятков тысяч пользователей весной 2017 года. Не забывайте, что контролируемый доступ будет эффективен как часть комплекса защитных методов.

Иными словами, стоит иметь под рукой другое антивирусоное ПО. Если вы не пользуетесь подобными решениями от сторонних производителей, тогда убедитесь, что у вас включен стандартный Защитник Windows.

Его возможностей в Windows 10 более чем достаточно, чтобы обеспечить обычному пользователю должный уровень защиты. Сходить с ума и устанавливать несколько антивирусов не стоит, но и полностью отказываться от защиты тоже неразумно.

Всегда лучше предохраниться, чем потом жалеть об этом. И это правило можно применить не только к компьютерам.

Как защитить файлы от вируса шифровальщика с помощью Защитника Windows 10

Полную версию статьи со всеми дополнительными видео уроками смотрите в источнике: https://hetmanrecovery.com/ru/recovery_news/how-to-protect-files-from-the-encryptor-virus-using-windows-defender-10.htm

Читайте о том, как с помощью Защитника Windows включить контролируемый доступ к папкам, указать папки для защиты, восстановить зашифрованные вирусом файлы, и т.д.

Последние обновление Windows 10 Fall Creators включает в себя новую функцию Защитника Windows, предназначенную для защиты пользовательских файлов от шифрования вирусом.

Функция называется “Контролируемый доступ к папкам” и она отключена по умолчанию.

Хотя регулярное создание резервных копий является наилучшей защитой от такого типа вирусов, функцию “Контролируемый доступ к папкам” можно использовать в качестве превентивной меры. Резервная копия не только обеспечит максимальную безопасность файлов, но и позволит избавится от вируса наиболее простым способом.

Как работает Контролируемый доступ к папкам

Эта функция является частью Защитника Windows и она обеспечивает дополнительный уровень защиты таких личных папок пользователя как «Документы», «Изображения» и «Рабочий стол».

Как правило, любая программа, установленная в вашей системе, может редактировать файлы в этих папках.

Если защита активирована, то только «приложения, определенные Microsoft как дружественные» или приложения, которым вы специально дадите доступ, смогут вносить изменения в ваши личные файлы в этих папках.

Такой подход блокирует возможность вымогательства денег за доступ к зашифрованным данным, и не позволяет удалить или нанести другой вред пользовательским данным.

Однако помните, что Защитник не блокирует вирусам возможности просмотра и копирования ваших личных данных.

Вредоносное ПО может скопировать и отправить данные ваших банковских или личные фотографии злоумышленникам. Что тоже будет достаточно неприятно.

Как включить Контролируемый доступ к папкам

Чтобы включить эту функцию, откройте приложение Центр управления защитника Windows. Чтобы найти его, нажмите «Пуск», введите «Защитник Windows» и запустите Центр управления защитника Windows.

Затем, кликните по значку с изображением щита («Защита от вирусов и угроз»), расположенному на боковой панели. После этого нажмите ссылку «Параметры защиты от вирусов и угроз».

Прокрутите вниз и установите для параметра «Контролируемый доступ к папкам» значение «Вкл.». Затем подтвердите изменения.

Если вы не видите эту опцию, ваш ПК, вероятно, еще не был обновлен до Fall Creator Update.

Вы можете форсировать процесс обновления используя мастер установки обновлений от Microsoft или дождаться пока система установит обновления в автоматическом режиме.

Как указать папки для защиты

После включения функции нажмите «Защищенные папки» в разделе «Контролируемый доступ к папкам» в интерфейсе Защитника Windows для настройки папок.

По умолчанию вы увидите, что Windows защищает системные папки и папки пользовательских данных: «Документы», «Изображения», «Видео», «Музыка», «Рабочий стол» и «Избранное», которые находятся в папке вашей учетной записи пользователя.

Если вы храните важные данные в другом месте, вам нужно нажать кнопку «Добавить защищенную папку» и указать другие папки с важными документами.

Как предоставить доступ к вашим файлам

Настройка доступа к этим папкам для каждой установленной программы потребовало бы значительных усилий от пользователя. Поэтому Защитник Windows автоматически разрешает известным программам вносить изменения в файлы в этих папках, и вам не нужно беспокоиться о том, чтобы настроить доступ всем программам для редактирования личных файлов.

Однако любая попытка редактирования файлов от программы, которую не знает Защитник Windows, будет заблокирована. В этот момент, вы увидите уведомление об «неавторизованных изменениях», в котором будет указано какой программе был заблокирован доступ к определенной папке. Вероятно, сама программа также отобразит сообщение об ошибке.

Если вы получили это уведомление, но уверенны в безопасности программы, можете разрешить ей доступ. Перейдите в «Центр управления защитника Windows» > «Защита от вирусов и угроз» > «Параметры защиты от вирусов и угроз» и нажмите «Разрешить работу приложения через контролируемый доступ к папкам», в разделе «Контролируемый доступ к папкам».

Вы также можете просто щелкнуть уведомление, которое будет находиться в вашем Центре действий, если вы еще не отклонили его, чтобы перейти непосредственно на этот экран.

Нажмите кнопку «Добавить разрешенное приложение» и перейдите к программе, к которой вы хотите предоставить доступ. Вам нужно будет найти файл .exe, связанный с программой, который, вероятно, будет находиться где-то в папке Program Files.

Всякий раз, когда вы видите уведомление и хотите разблокировать приложение, вернитесь сюда и добавьте его. Вам не нужно будет делать это для всех программ, так как популярным приложениям Windows автоматически разрешает доступ к контролируемым папкам.

Системные администраторы, управляющие сетями ПК, могут использовать групповую политику, PowerShell или сервер управления мобильными устройствами (MDM), чтобы включить эту функцию для всех ПК в сети. Для получения дополнительной информации об этом обратитесь к официальной документации Microsoft.

Как восстановить файлы, зашифрованные вирусом шифровальщиком

Восстановить файлы, не зная ключа шифрования практически невозможно. Отправлять деньги злоумышленникам в надежде получить от них ключ для расшифровки, то же не лучшая идея. Скорее всего ключа вы не получите, а дополнительно рискуете привлечь к себе дополнительное внимание с их стороны. Становиться объектом наблюдения опытных хакеров не лучшая идея, так вы лишитесь не только файлов.

Давайте разберемся подробнее, как работает вирус шифровальщик. Заражая систему вирус сканирует папки пользователя и находит в них документы, фотографии и прочие файлы. Затем для каждого файла создается его зашифрованная копия, а оригинал удаляется. Этот процесс продолжается пока не будут зашифрованы все файлы.

Вы можете воспользоваться программой для восстановления удаленных данных от компании Hetman Software, чтобы попытаться восстановить удаленные оригиналы файлов. Это подход не дает 100% гарантии, так как удаленные файлы могут быть полностью или частично перезаписаны новыми. Однако у вас нет другого надежного способа вернуть ваши данные.

Загрузите и запустите Hetman Partition Recovery. Укажите диск, на котором хранились удаленные файлы и дождитесь результатов сканирования. Бесплатная версия программы отобразит все найденные для восстановления файлы. Для сохранения файлов необходимо приобрести регистрационный ключ.

Полную версию статьи со всеми дополнительными видео уроками смотрите в источнике: https://hetmanrecovery.com/ru/recovery_news/how-to-protect-files-from-the-encryptor-virus-using-windows-defender-10.htm

Защита от вымогателей в Windows 10

Ransomware становится серьезной проблемой для пользователей компьютеров во всем мире, включая Microsoft, когда дело доходит до обработки вредоносных программ в Windows 10 . Фактически, компания утверждает, что варианты вымогателей более чем удвоились за последние 12 месяцев.

И в то время как другие виды вирусов и троянов являются краткосрочными и извлекаемыми, вымогатель работает на основе вымогательства средств в обмен на не удаление всех ваших важных файлов и документов.

Чтобы добавить к этому, методы и средства, используемые злоумышленниками для совершения атак с использованием вымогателей, разнообразны, сложны и дороги.

Вот как Windows 10 Anniversary Update справляется с угрозой вымогателей на вашем ПК.

В Windows 10 Anniversary Update добавлена ​​новая технология для повышения защиты в Windows 10 от вредоносных программ, включая угрозы, связанные с вымогателями.

Microsoft сделала так, что некоторым эксплойтам чрезвычайно трудно работать при использовании Microsoft Edge, а также улучшила репутацию URL, чтобы лучше уведомлять вас о потенциально небезопасных веб-сайтах.

Мы расширили возможности блокирования атак по электронной почте, чтобы они никогда не доходили до наших клиентов и клиентов из пакета коммерческих продуктов. Microsoft выпустила Windows Defender ATP, чтобы компаниям было легче расследовать и реагировать на атаки вымогателей и многое другое!

Защита

Для защиты от злоумышленников, вызывающих вымогателей, Windows 10 v1607 и более поздних версий имеет некоторые существенные улучшения для вашего компьютера. Таким образом, вы должны сделать следующее, чтобы оставаться защищенным:

• Обновите выпуск до годовщины и переключитесь на настройки по умолчанию.
• Обновите операционную систему и установленное программное обеспечение до последних версий.
• Хорошо управляйте своей стратегией резервного копирования и восстановления.

Читать : защищать от атак вымогателей и предотвращать их.

ПРОФИЛАКТИКА

Как видно в прошлом месяце, некоторые злоумышленники использовали программное обеспечение, такое как Adobe Flash, чтобы проникнуть в браузеры и нанести вред вашим компьютерам. Итак, с новым обновлением Microsoft обновила Adobe Flash для работы в изолированном контейнере в браузере Microsoft Edge.

Обновление также добавляет в Edge функцию, которая не позволяет вредоносным программам выходить из браузера и влиять на другие программы. Такое ужесточение границ в Microsoft Edge поможет сдержать вымогателей и ускорит процесс удаления.

Эти улучшения также блокируют вредоносные программы от автоматической загрузки и выполнения дополнительных полезных нагрузок в системах клиентов.

Чтобы улучшить работу по предотвращению доступа пользователей к вымогателям на основе браузера, Microsoft расширила фильтр SmartScreen, обрабатывая широкий набор данных из источников, являющихся частью Microsoft Intelligent Security Graph. Когда вы невольно нажимаете на ссылку, которая может привести к небезопасному веб-сайту, Windows 10 может уведомить вас о том, что сайт может быть вредоносным.

Другой основной канал распространения для злоумышленников-вымогателей – через вложения электронной почты. Они могут отправлять вредоносные ссылки по электронной почте, которые затем перехватываются уязвимыми пользователями.

Microsoft утверждает, что она усовершенствовала модели машинного обучения и эвристику для обнаружения вредоносных программ, распространяемых по электронной почте, и разработала более быстрый канал доставки подписи, чтобы быстрее обновлять Защитника Windows по почте.

Результатом будет повышение уровня защиты как для потребителей, так и для коммерческих пользователей в Windows 10 Anniversary Update. Ознакомьтесь с мерами предосторожности, которые следует соблюдать при открытии вложений электронной почты или перед переходом по веб-ссылкам.

Помимо защиты всех уязвимых мест в своих браузерах и серверах электронной почты, Microsoft также представила улучшенное и более эффективное машинное обучение, которое откроет путь для более жесткой реализации защиты от вымогателей.

Усовершенствованные методы машинного обучения позволяют быстро обнаруживать вредоносные программы. Весь процесс обнаружения, анализа, а затем попытки удаления вредоносных программ становится задачей, которая выполняется за считанные минуты.

ОБНАРУЖЕНИЕ

Защитник Windows был программным обеспечением по умолчанию для Windows, которое стало светом во времена XP. С Windows 10 v1607, программное обеспечение стало более жестким и сильным.

Теперь обновление может быстрее реагировать на новые угрозы с помощью улучшенной облачной защиты и функций автоматической отправки образцов, чтобы блокировать вредоносные программы по мере их обнаружения.

Поведенческая эвристика Защитника Windows была улучшена, чтобы помочь определить, выполняет ли файл действия, связанные с вымогателями, а затем быстрее обнаруживать и предпринимать действия. Это также помогает защитить от вымогателей инфекции в корпоративных сетях.

ACTION

Как только вымогатель был обнаружен с помощью Защитника Windows, настало время для атаки.

Windows 10 Anniversary Update включает в себя новую услугу расширенной защиты Windows Defender, которая дает компаниям возможность обнаруживать и предотвращать атаки, совершенные с помощью других методов защиты.

Защитник Windows ATP объединяет события безопасности, собранные с компьютеров, с облачной аналитикой, чтобы обнаружить признаки атак и помочь вашему ПК держаться подальше.

Помимо этого, Microsoft также запускает новую функцию – Блокировать с первого взгляда – – службу облачной защиты, которая была включена по умолчанию с помощью Anniversary Update.

Вот так Windows 10 Anniversary Update v1607 и более поздние версии помогают защитить вас от вымогателей с помощью новых функций, которые он представляет.

Несмотря на то, что кибер-атак никогда не избежать, Microsoft стремится к будущему, чтобы свести к минимуму воздействие таких атак и обеспечить постоянную защиту Windows. Вы можете загрузить эту полезную электронную книгу в формате PDF от Microsoft, чтобы узнать больше об этом.

Теперь прочитайте . Что делать после атаки вымогателей на компьютер с Windows?

Защита компьютера от вирусов вымогателей и шифровальщиков — основные правила

Последнее время весь Интернет будоражат вирусные эпидемии.

Вымогатель WannaCry, шифровальщик Petya и прочая виртуальная пакость атакует компьютеры и ноутбуки, мешая нормальной их работе и заражая хранящиеся на жестком диске данные.

Делается это чтобы заставить пользователя заплатить деньги создателям вредоносной программы. Я хочу дать несколько советов, которые помогут максимально защитить компьютер от вирусов и не дать им поразить важные данные.

Их можно использовать как правила, соблюдение которых является залогом информационной безопасности вашего ПК.

1. Обязательно пользуйтесь антивирусом

На любом компьютере, у которого установлена операционная система Windows, имеющем доступ в сеть Интернет должна стоять антивирусная программа. Это даже не обсуждается, это — аксиома! В противном случае Вы можете практически в первый же день нахватать столько заразы, что спасёт только полная переустановка ОС с форматированием жесткого диска.

Сразу же встаёт вопрос — а какой антивирус лучше установить? По своему опыту скажу, что лучше чем Kaspersky Internet Security или DrWeb Security Space нет пока ничего! Лично я сам активно используют обе программы дома и на работе и могу с уверенностью заявить, что они без проблем выявляют 99% всей попадающейся заразы, работают быстро и без нареканий, так что денег своих стоят однозначно.

Если Вы не готовы раскошелится на хорошую защиту компьютера от вирусов, то можно воспользоваться бесплатными антивирусными приложениями. Тем более, что их выбор очень велик. Я у себя уже выкладывал обзор лучших бесплатных антивирусов — можете воспользоваться одним из предложенных там вариантов.

Примечание: Для себя составил небольшой анти-рейтинг антивирусного ПО, которое я не использую сам и не советую другим. Вот они: Avast, Eset NOD32, F-Secure, Norton Antivirus, Microsoft Security Essentials. Поверьте, это не пустые слова и программы попали в этот список не случайно! Выводы сделаны на основе личного опыта использования, а так же опыта моих друзей и коллег.

2. Своевременно обновляйте операционную систему и программы

Старайтесь не пользоваться устаревшим программным обеспечением.

Это касается не только обязательного регулярного обновления баз антивируса (хотя даже про это пользователи очень часто почему то забывают напрочь)! Не пренебрегайте хотя бы раз в месяц выполнять установку обновлений Windows. Тем более, что делает это ОС самостоятельно, достаточно лишь запустить поиск через Центр обновлений.

Про обновление других программ тоже не надо забывать, ведь на устаревших версиях всплывают уязвимости, которые сразу же стараются использовать злоумышленники, пытаясь заразить ваше устройство. Особенно это касается веб-браузеров и других приложений, через которые Вы работает в Интернете.

3. Не работайте под Администратором

Главная ошибка большинства юзеров, из-за которой способна рухнуть даже самая совершенная защита от вирусов — это работа в системе с максимальными полномочиями, то есть с правами Администратора. Создайте учётную запись обычного пользователя с ограниченными правами и работайте под ней.

Старайтесь не давать полномочия Администратора и другим пользователям — это значительная брешь в безопасности вашего компьютера. Как показывает практика, большинство вредоносных приложений не смогли бы выполнить свою деструктивную задачу, если бы в момент попадания в систему пользователь не имел бы полномочий суперпользователя.

Вредоносам просто не хватило бы прав на выполнение действий.

4. Пользуйтесь средствами восстановления системы

В каждой версии операционной системы от Microsoft, начиная с уже теперь древней Windows XP и заканчивая модной «Десяткой», есть встроенный инструмент создания и использования точек восстановления, с помощью которых можно сделать откат системы к предыдущему работоспособному состоянию.
Например, если Вы поймали вирус, то вы сможете вернуться к последней точке восстановления, когда ОС была ещё не поражена.

Стоит отметить, что если Вы поймали вымогателя-шифровальщика, то в некоторых случая можно восстановить какую-то часть зашифрованных файлов за счёт теневых копий Windows.
Обязательно проверьте включена ли эта функция в системе. Для этого кликаем правой кнопкой по значку компьютера и в появившемся меню выбираем пункт «Свойства»:

В появившемся окне в меню справа кликните на пункт «Дополнительные параметры чтобы появилось ещё одно окно Свойств системы:

На вкладке «Защита системы» надо найти и нажать кнопку «Настроить». Откроется ещё одно окошко. Ставим точку в чекбоксе «Включить защиту». Ниже нужно ещё будет сдвинуть ползунок использования диска хотя бы до 5-10%, чтобы ОС могла сохранить несколько точек восстановления. Применяем внесённые изменения.

5. Скрытые файлы и расширения

В Виндовс по умолчанию не показываются расширения файлов, а так же не видны скрытые файлы и папки. Это очень часто используется злоумышленниками для внедрения вирусов на ПК. Исполняемый файл с расширением «.

exe» или скрипт «.vbs» обычно маскируют под документ Word или таблицу Excel и пытаются подсунуть ничего не подозревающему пользователю. Именно по этому принципу работают распространённые в последнее время шифровальшики.

Именно поэтому я рекомендую зайти в параметры папок и на вкладке «Вид» снять галочку «Скрывать расширения для зарегистрированных типов файлов», а ниже — поставить чекбокс «Показывать скрытые файлы, папки и диски». Нажимаем на кнопку «ОК». Это позволить Вам защитить свой компьютер от скрытых и замаскированных вирусов, а так же оперативно отслеживать вредоносные вложения в письмах, на флешках и т.п.

6. Отключите удалённое управление

В ОС Windows по умолчанию  включена функция удалённого управление через протокол RDP — Remote Desktop Protocol. Это не есть хорошо, а потому данную опцию я бы порекомендовал отключить, если Вы ею не пользуетесь. Для этого открываем свойства системы и переходим в «Дополнительные параметры»:

Заходим на вкладку «Удалённый доступ» и ставим чекбокс «Не разрешать удалённые подключения к этому компьютеру». Так же надо снять галочку «Разрешать подключения удалённого помощника к этому компьютеру». Применяем настройки нажатием на кнопку «ОК».

7. Соблюдайте правила информационной безопасности

Не стоит забывать и про основы безопасной работы на ПК и в Интернете. Вот несколько правил, которые Вы должны обязательно выполнять сами и объяснить их важность своим родным, близким и коллегам по работе.

— Используйте сложные и длинные (не короче 8 символов) пароли;
— По возможности используйте двухфакторную авторизацию;
— Не сохраняйте пароли в памяти браузера;
— Не нужно хранить пароли в текстовых файлах, да и вообще не стоит держать их на компьютере;
— Выходите из учётной записи после завершения работы (если ПК пользуются несколько человек);
— Не открывайте вложения в письмах от неизвестных людей;
— Не запускайте файлы с расширением.exe,.bat,.pdf,.vbs из писем даже от известных Вам людей;
— Не используйте свой личный или рабочий E-Mail для регистрации на сайтах и в соцсетях;

Только обязательное соблюдение перечисленных основ цифровой безопасности позволит Вам держать защиту своего компьютера от вирусов-вымогателей и шифровальщиков на достаточно высоком уровне!

P.S.: Напоследок хочу сказать, что значительно проще заранее принять меры предосторожности и не допустить вирусного заражения, нежели потом разгребать его последствия в надежде восстановить хоть какую-нибудь информацию!

Защита от шифровальщиков в Windows 10 (Защищенные папки)

В последней версии Windows 10 Fall Creators Update (версия 1709) появилась новая функция защитника Windows. Функция «Контролируемый доступ к папкам» позволяет защитить файлы и папки от действия вирусов-шифровальщиков и других подобных угроз.

В этой статье попробуем разобраться, что из себя представляет функция «Контролируемый доступ к папкам». Я покажу как включить защиту от шифровальщиков и сделаю небольшой эксперимент с заражением Windows для того, чтобы узнать насколько эта самая защита от шифровальщиков может защитить пользователя.

Еще по теме: Как определить шифровальщик

Защита от шифровальщиков в Windows 10

Функция «Контролируемый доступ к папкам» позволяет пользователям контролировать доступ к определенным папкам. Работает она по принципу, все что не добавлено в белый лист — будет заблокировано. Теоретически это должно усложнить шифровальщикам получение доступа к папкам и заражения файлов.

Шифровальщики — основной подкласс троянов-вымогателей, а Windows — основная атакуемая платформа. Поэтому Microsoft старается предпринять дополнительные меры защиты.

Проблема в том, что шифровальщики — это не классические вирусы трояны, и эффективное противодействие им требует принципиально других подходов. Отловить известного шифровальщика по сигнатуре под силу практически любому антивирусу, а вот поймать новый экземпляр — совсем другая задача.

Шифровальщик зашифровал файл в Windows

Упреждающий удар со стороны антивируса затруднен хотя бы потому, что трояны-вымогатели используют легитимные средства криптографии, как и многие популярные программы шифрования. В их коде обычно нет каких-нибудь явных признаков злонамеренной активности, поэтому эвристика и другие меры несигнатурного анализа антивириусов часто не срабатывают.

Поиск отличительных маркеров Ransomware — головная боль всех антивирусных разработчиков. Все, что они пока могут предложить, — это подменить задачу. Вместо поиска рансомварей сосредоточиться на их основной цели и смотреть за ней.

То есть — контролировать доступ к файлам и каталогам пользователя, а также регулярно делать их бэкап на случай, если шифровальщик все же до них доберется.

На практике это далеко не идеальный подход. Контроль доступа — это снова баланс между безопасностью и удобством, сильно смещенный в сторону дискомфорта.

Концептуально ситуация такая же, как и при использовании новой функции Exploit Guard: либо запрещающие правила применяются сполна, но работать за компьютером становится проблематично, либо ограничения заданы формально ради сохранения совместимости со старым софтом и удобства пользователя.

Контроль доступа к папкам в Windows Defender

Подобный контроль доступа давно появился в сторонних антивирусах, но немного в другом виде. Он был нацелен на сохранность системы, а не на обнаружение угроз. Предполагается, что, если антивирус проморгает зловреда, дополнительные средства контроля просто заблокируют нежелательные изменения в каталоге Windows и загрузчике.

Если для системных файлов этот подход еще как-то годится, то для пользовательских — нет. В отличие от системного каталога, содержимое которого более-менее одинаково на разных компьютерах, в пользовательском может находиться что угодно.

К тому же запросы на изменение файлов в нем могут поступить от любой программы. Добавьте к этому OLE, возможность любого процесса вызывать другой и открывать файлы через него, и вы получите представление о том, как выглядит ад для антивирусного разработчика.

Поскольку модификация пользовательских файлов никак не влияет на работу ОС, в Windows не было встроенных средств их защиты. Все изменилось с выходом обновленной версии Windows 10, в которой встроенный «Защитник» начал контролировать документы, фотографии и прочий пользовательский контент.

Утверждается, что он не даст заменить файлы их зашифрованными версиями, лишая авторов шифровальщика повода требовать выкуп.

Как включить контролируемый доступ к папкам

Вот несколько шагов, с помощью которых вы сможете включить функцию «Контроль доступа».

1. Зайдите в параметры Windows и выберите пункт «Обновление и безопасность».
2. В левом меню перейдите на вкладку «Защитник Windows».
3. Откройте центр безопасности Windows.
4. Защита от вирусов и угроз.
5. Параметры защиты от вирусов и угроз.
6. Контролируемый доступ к папкам.
7. Добавление папок.

С включение контроля доступа и добавлением защищенных папок разобрались. Теперь давайте проверим в действии.

Тестирование функции «Контроль доступа Windows»

Для проверки я решил создать тестовую папку C:Docs с документами разного типа и добавить ее в список контроля доступа Windows Defender. Затем запустил несколько популярных троянов-вымогателей и посмотрел, сможет ли «Защитник Windows» им противостоять и защитить пользователя от шифровальщика.

Добавляем контролируемую папку

В этом тесте Windows Defender справился с подборкой троянов лучше многих сторонних антивирусов. Он просто не дал скопировать с сетевого диска ни один образец, включая разные модификации WannaCry, Petya, TeslaCrypt, Jigsaw, Locky и Satana.

Все они были автоматически удалены, несмотря на измененное расширение (.tst) и упаковку средствами UPX.

«Защитник Windows» обезвредил на лету модификацию трояна Petya

Новый компонент «Контролируемый доступ к папкам» — это часть защиты в реальном времени. Поэтому отключить в Windows Defender сканирование на лету и проверить новую функцию отдельно не удастся. Отключить постоянную защиту можно только полностью, но тогда результат будет предсказуемым.

Лог зашифрованных файлов

Я расширил тестовую подборку шифровальщиков, включив в нее свежие и малоизвестные виды. Однако Windows Defender моментально удалял их все, не оставляя выбора. Поэтому было решено провести модельный эксперимент, написав… нет, нет! Что вы, господин прокурор! Никакой не вирус, а простейшую безвредную программу. Вот ее код, добро пожаловать в девяностые!

echo Open `Docs` directoryecho The original content of `lenses.txt` file is listed below:echo Changing text in file 'lenses.txt'…echo File data was replaced by this string>lenses.txt

Любой шифровальщик заменяет файлы пользователя их зашифрованными версиями. По сути, нам требуется проверить, как функция «Контролируемый доступ к папкам» блокирует операции перезаписи файлов в каталоге пользователя.

Эта программа как раз заменяет содержимое файла в указанном каталоге той строкой, которую вы сами укажешь. Знак > перенаправляет консольный вывод в файл, полностью перезаписывая его.

Преимущество у этого батника в том, что он выглядит подозрительно (исполняемый файл с низкой репутацией) и его код точно неизвестен антивирусу. Он был написан только что и не успел нигде засветиться.

В качестве цели был указан файл lenses.txt, поскольку его содержимое отформатировано знаками табуляции и наглядно отображается в консоли командой more в пределах одного экрана.

После запуска командный файл показывает содержимое каталога C:Docs, а затем — файла lenses.txt. Он пытается перезаписать его строкой File data was replaced by this string и снова показывает содержимое lenses.txt для проверки результата.

Сам командный файл запускается из другого каталога — «Загрузки», имитируя привычку неопытного пользователя (скачивать что ни попадя и кликать на все подряд).

Если мы просто запустим батник двойным кликом, то увидим, что файл lenses.txt остался в прежнем виде. Функция «Контролируемый доступ к папкам» справилась со своей задачей, предотвратив перезапись документа по команде от неизвестного исполняемого файла.

При этом текст можно спокойно открыть и отредактировать в «Блокноте», а потом сохранить поверх старого, и это не вызовет никаких вопросов. Notepad — доверенный процесс, и для пользователя защита работает прозрачно.

Защитник Windows заблокировал изменения документа

При желании можно добавить стороннее приложение в список доверенных. Да, вы совершенно верно восприняли это как потенциальный вектор атаки.

Добавляем приложение как доверенное

Если мы предварительно выполним повышение привилегий и запустим наш батник с правами админа, то файл lenses.txt будет тихо перезаписан. Защитник Windows не шелохнется и даже не отразит это событие в логе. Ему все равно, админ отдал команду или какой-то левый файл от имени админа.

Документ удалось изменить

Таким образом, с использованием (само)доверенных процессов или с помощью предварительного повышения привилегий трояны-шифровальщики смогут обойти новую функцию «Контролируемый доступ к папкам», появившуюся в Windows 10 v. 1709. Причем сделать это можно даже методами времен MS-DOS. Да здравствует совместимость!

Контролируемый доступ к папкам: есть ли смысл?

Как мы смогли выяснить «Контроль доступа» — защита полумера. Она поможет снизить ущерб от простейших шифровальщиков, запускаемых с правами пользователя и не более.

Если же автор очередного шифровальщика будет использовать способы повышения привилегий или сможет отправить запрос на изменение файлов через доверенный процесс, то новые функции Windows 10 не спасут данные пользователя.

Минимизировать последствия заражения поможет только регулярный бэкап. Главное, чтобы шифровальщик не смог зашифровать и резервные копии. Поэтому лучше хранить их на неперезаписываемом (или хотя бы отключаемом) внешнем носителе и иметь дубликат в облаке. Более подробно о защите от шифровальщиков вы можете узнать из статьи «Как защититься от шифровальщика BadRabbit».