Как отключить защиту от программ шантажистов windows 10
Это руководство будет обновлено по мере получения новых сведений.
Устранение атак программ-шантажистов и вымогательных атак является срочным приоритетом для организаций из-за высокого влияния этих атак и высокой вероятности того, что организация будет влиять на них.
Программы-шантажисты — это тип атаки вымогателя, которая шифрует файлы и папки, предотвращая доступ к важным данным. Злоумышленники используют программы-шантажисты для вымогательского вымогательского вымогателя, требуя денег( обычно в виде валюты) в обмен на ключ расшифровки. Злоумышленники также часто используют программы-шантажисты, чтобы вымогать деньги у злоумышленников в обмен на то, что они не выдают конфиденциальные данные в темный интернет или общедоступный Интернет.
В то время как ранние программы-шантажисты в основном использовали вредоносные программы, распространяемые с фишингом или между устройствами, управляемые человеком программы-шантажисты оказалось там, где большинство активных злоумышленников, управляемых человеческим интеллектом, нацелены на организацию, а не на одно устройство или набор устройств и используют знания злоумышленников об общих ошибках системы и безопасности и уязвимостях для взлома организации, навигация по корпоративной сети и адаптация к среде и ее уязвимостям по мере их использования.
Эти атаки могут быть критическими для бизнес-операций и их трудно очистить, требуя полного вытеснения злоумышленников для защиты от будущих атак. В отличие от ранних форм программ-шантажистов, для которых требуется только исправление вредоносных программ, программы-шантажисты, управляемые человеком, могут по-прежнему погромить ваши бизнес-операции после первоначального обнаружения.
Sophistication of ransomware and extortion attacks
Технические метки таких атак программ-шантажистов, управляемых человеком, обычно включают кражу учетных данных и боковое смещение и могут привести к развертыванию полезных данных программы-шантажиста во многих полезных ресурсах, чтобы порекомендовать оплату программы-шантажиста. Модель злоумышленников часто эффективна и хорошо настроена, включая цели уничтожения или шифрования резервных копий, сетевой и корпоративной документации и других артефактов, которые позволяют организации перестроиться без оплаты шантажа.
Атаки также имеют сложные бизнес-модели, при этом злоумышленники настраивают цены на шантаж на основе внутренней финансовой документации компании, уровней покрытия киберстрахования и стандартных нормативных требований, которые компания должна будет оплатить.
Организация рекомендаций в этом решении
В этом руководстве приводятся конкретные инструкции по оптимальной подготовке организации из различных форм программ-шантажистов и вымогателей.
Чтобы помочь вам понять, как защитить организацию от программ-шантажистов, это руководство организовано на приоритетные этапы. Каждый этап соответствует отдельной статье. Порядок приоритета предназначен для максимально быстрого снижения риска на каждом этапе, основываясь на предположении крайней срочности, которая переопределит обычную безопасность и приоритеты ИТ,чтобы избежать или устранить эти атаки.
Важно отметить, что это руководство структурировано как этапы с приоритетами, которые следует выполнять в заданных порядках. Чтобы лучше всего адаптировать это руководство к ситуации:
Придерживайте рекомендуемые приоритеты
Используйте этапы в качестве начального плана действий в первую, следующую и более поздние версии, чтобы сначала получить наиболее важные элементы. Эти рекомендации были приоритетными, используя принцип "Никому не доверяй", предполагающий нарушение безопасности. Это заставляет вас сосредоточиться на минимизации бизнес-рисков, предполагая, что злоумышленники могут успешно получить доступ к вашей среде с помощью одного или нескольких методов.
Будьте упреждающие и гибкие (но не пропускайте важные задачи)
Просмотрите контрольные списки реализации для всех разделов всех трех этапов, чтобы узнать, есть ли области и задачи, которые можно быстро выполнить ранее (например, у вас уже есть доступ к облачной службе, которая не была использована, но может быть быстро и легко настроена). При просмотре всего плана будьте внимательны, чтобы эти последующие области и задачи не задерживали выполнение критически важных областей, таких как резервное копирование и привилегированный доступ!
Параллельное выполнение некоторых элементов
Попытка выполнить все сразу может быть слишком сложной задачей, но некоторые элементы могут выполняться параллельно. Сотрудники разных команд могут одновременно работать над задачами (например, команда резервного копирования, команда конечных точек, группа удостоверений), а также управлять выполнением этапов в порядке приоритета.
Элементы контрольных списков реализации находятся в рекомендуемом порядке определения приоритетов, а не в порядке технической зависимости. Используйте контрольные списки для подтверждения и изменения существующей конфигурации по мере необходимости и способом, который работает в вашей организации. Например, в наиболее важном элементе резервного копирования выполняется резервное копирование некоторых систем, но они могут не быть автономными или неизменяемыми, а также могут не тестировать все корпоративные процедуры восстановления или не иметь резервных копий критически важных бизнес-систем или критически важных ИТ-систем, таких как контроллеры домена доменные службы Active Directory (AD DS).
Дополнительные сведения об этом процессе см. в трех шагах по предотвращению и восстановлению программ-шантажистов (сентябрь 2021 г.).
Этап 1. Подготовка плана восстановления
Этот этап предназначен для минимизации денежных поощрений от злоумышленников-шантажистов , сделав следующее:
- Гораздо сложнее получить доступ к системам и нарушить их работу, а также шифровать или повредить данные ключевых организаций.
- Проще для вашей организации восстановиться после атаки без оплаты программы-шантажиста.
Хотя восстановление многих или всех корпоративных систем является сложной задачей, альтернативой является оплата злоумышленником ключа восстановления, а затем использование средств, написанных злоумышленниками для восстановления систем и данных, является гораздо более сложным вариантом.
Этап 2. Ограничение области ущерба
Сделайте так, чтобы злоумышленники значительно усложняли работу, чтобы получить доступ к нескольким критически важным для бизнеса системам с помощью ролей привилегированного доступа. Ограничение возможности злоумышленника получить привилегированный доступ значительно усложняет получение прибыли от атаки на вашу организацию, что делает более вероятным, что он сдает и переемет в другое место.
Этап 3. Сделайте так, чтобы вам было трудно вступить в систему
Этот последний набор задач очень важен для создания проблем с вводом, но для выполнения этого процесса потребуется время в рамках более крупного процесса обеспечения безопасности. Цель этого этапа заключается в том, чтобы злоумышленникам было гораздо сложнее работать, чтобы получить доступ к локальной или облачной инфраструктуре в различных общих точках входа. Существует множество этих задач, поэтому важно определить приоритеты работы в зависимости от скорости их выполнения с помощью текущих ресурсов.
Хотя многие из них будут знакомыми и простыми в быстром выполнении, крайне важно, чтобы ваша работа на этапе 3 не замедляла ход выполнения на этапах 1 и 2!
С первого взгляда
Вы также можете просмотреть обзор этапов и контрольных списков их реализации в качестве уровней защиты от злоумышленников-шантажистов с помощью плаката "Защита организации от программ-шантажистов".
Следующий шаг
Начните с этапа 1 , чтобы подготовить организацию к восстановлению после атаки без оплаты программы-шантажиста.
Дополнительные ресурсы программы-шантажиста
Основные сведения от корпорации Майкрософт:
-
, Microsoft On the Issues blog post on July 20, 2021 г. (см. страницы 10–19) угроз на Microsoft 365 Defender угроз
- Подход и пример использования программ-шантажистов microsoft Detection and Response Team ( СОВ)
Microsoft 365 Defender:
Microsoft Defender for Cloud Apps:
Записи блога группы безопасности Майкрософт:
Основные шаги по обнаружению и реагированию корпорации Майкрософт (ИНСТРУКЦИЯ ПО) проведения расследований инцидентов программ-шантажистов.
Программа-шантажист — это вредоносная программа, шифрующая файлы или мешающая использовать компьютер, пока вы не заплатите ей деньги (выкуп) за разблокировку. Если компьютер подключен к сети, программа-шантажист также может распространяться на другие компьютеры или устройства хранения в сети.
Программа-шантажист может оказаться на вашем компьютере, в частности, в описанных далее случаях.
При посещении небезопасных, подозрительных или поддельных веб-сайтов.
При открытии вложенных файлов, которые вы не ожидали или получили от незнакомых людей.
Программы-шантажисты могут быть ориентированы на любой компьютер, будь то домашний компьютер, компьютер в сети предприятия или сервер, используемый правительственным учреждением.
Внимание: Мобильные устройства также могут стать жертвой программ-шантажистов! Подробнее
Как защитить компьютер?
Убедитесь, что на компьютере установлены последняя версия Windows и все последние исправления. Дополнительные сведения о Центре обновления Windows.
Убедитесь, что приложение Безопасность Windows (или Центр безопасности Защитника Windows в предыдущих версиях Windows 10) включено для защиты от вирусов и вредоносных программ.
В Windows 10 или 11 включите Контролируемый доступ к папкам, чтобы защитить важные локальные папки от неавторизованных программ, например программ-шантажистов или других вредоносных программ.
Обнаружение и восстановление программ-шантажистов с помощьюрасширенной защиты Microsoft 365.
Создавайте резервные копии своих файлов, включив историю файлов, если она не была включена изготовителем компьютера. Узнать больше об истории файлов.
Храните важные файлы в Microsoft OneDrive. OneDrive содержит встроенное обнаружение программ-шантажистов и средства восстановления, а также управление версиями файлов, чтобы вы могли сохранить прошлую версию файла. А когда вы изменяете файлы Microsoft Office, сохраненные в OneDrive, ваша работа автоматически сохраняется на ходу.
Используйте безопасный, современный браузер, например, Microsoft Edge.
Перезапускайте компьютер хотя бы один раз в неделю. Это помогает обеспечить актуальность приложений и операционной системы и улучшить ее работу.
Примечание: Если вы являетесь владельцем малого бизнеса, рассмотрите возможность использования Microsoft 365 бизнес премиум. Этот продукт содержит расширенную защиту от угроз в Microsoft Defender для защиты вашей компании от сетевых угроз.
Если вы подозреваете, что ваш компьютер заражен
Используйте программы защиты от вредоносных программ, такие как Безопасность Windows, всякий раз, когда опасаетесь, что ваш компьютер может быть заражен. Например, если вы узнали о новых вредоносных программах в новостях или заметили странное поведение на вашем компьютере. См. раздел Защита от вирусов и угроз в Безопасности Windows, чтобы узнать, как проверить ваше устройство.
Если на вашем компьютере действительно есть программа-шантажист
Попробуйте полностью очистить компьютер с помощью Безопасности Windows. Это следует сделать, прежде чем пытаться восстановить файлы. См. также раздел Резервное копирование и восстановление в Windows для получения справки о резервном копировании и восстановлении файлов для вашей версии Windows.
Не платите деньги, чтобы восстановить файлы. Даже если вы заплатите выкуп, нет гарантий, что вы снова получите доступ к компьютеру или файлам.
Что делать, если вы уже заплатили
Если вы уже заплатили выкуп, немедленно обратитесь в ваш банк и местные органы власти. Если оплата осуществлялась с помощью кредитной карты, банку, возможно, удастся заблокировать транзакцию и вернуть вам деньги.
В Австралии действует веб-сайт SCAMwatch.
В Ирландии действует веб-сайт An Garda Síochána.
В Новой Зеландии действует веб-сайт Consumer Affairs Scams
В Соединенном Королевстве действует веб-сайт Action Fraud.
В США действует веб-сайт On Guard Online.
Если вашего региона нет в списке, корпорация Майкрософт рекомендует обратиться в полицию вашего региона или органа по связи.
Иллюстрированный обзор программ-шантажистов, а также сведения о способах защиты от таких программ см. в статье The 5Ws and 1H of ransomware.
Если вы работаете на предприятии, подробные сведения о программах-шантажистах см. в Центре Майкрософт по защите от вредоносных программ.
Программы-шантажисты — это тип атаки вымогателя, которая уничтожает или шифрует файлы и папки, предотвращая доступ к критически важным данным. Обычные программы-шантажисты обычно распространяются как вирус, который заражает устройства и требует только исправления вредоносных программ. Программы-шантажисты, управляемые человеком, являются результатом активной атаки киберпреступений, которые внедряют локальную или облачную ИТ-инфраструктуру организации, повышает их привилегии и развертывают программы-шантажисты до критически важных данных.
Эти атаки с помощью практической клавиатуры нацелены на организацию, а не на одно устройство, и используют знания злоумышленников о распространенных ошибках системы и безопасности для взлома организации, навигации по корпоративной сети и адаптации к среде и ее слабым местам по мере их использования. Эти атаки программ-шантажистов, управляемых человеком, обычно включают кражу учетных данных и боковое смещение и могут привести к развертыванию полезных данных программы-шантажиста в ресурсы с высоким влиянием на бизнес, которые выбирают злоумышленники.
Эти атаки могут быть критическими для бизнес-операций и их трудно очистить, требуя полного вытеснения злоумышленников для защиты от будущих атак. В отличие от обычных программ-шантажистов, для которых требуется только исправление вредоносных программ, программы-шантажисты, управляемые человеком, продолжат по-прежнему повредлять бизнес-операции после первоначального обнаружения.
На этом рисунке показано, как эта атака на основе вымогательского использования, использующая пропуски конфигурации обслуживания и безопасности и привилегированный доступ, растет в влиянии и вероятности.
Защита организации от программ-шантажистов и вымогателей
Чтобы получить полное представление о программах-шантажистов и вымогателях, а также о том, как защитить свою организацию, используйте сведения в презентации плана Project программ-шантажистов, управляемых PowerPoint программ-шантажистов.
Ниже приведена сводка по рекомендациям.
- Существует высокая доля атак на программ-шантажистов и вымогателей.
- Однако атаки имеют слабые места, которые могут снизить вероятность атак.
- Существует три этапа настройки инфраструктуры для использования уязвимостей атак.
Три этапа использования уязвимостей атак см. в разделе "Защита организации от программ-шантажистов и вымогателей", чтобы быстро настроить ИТ-инфраструктуру для оптимальной защиты:
- Подготовьте организацию к восстановлению после атаки без необходимости платить шантаж.
- Ограничьте область повреждения атаки, защитив привилегированные роли.
- Усложнив доступ злоумышленника к вашей среде, постепенно удалите риски.
Скачайте плакат " Защита организации от программ-шантажистов", чтобы получить общие сведения о трех этапах защиты от злоумышленников- шантажистов.
Дополнительные ресурсы программы-шантажиста
Основные сведения от корпорации Майкрософт:
-
, Microsoft On the Issues blog post on July 20, 2021 г. (см. страницы 10–19) угроз на Microsoft 365 Defender угроз
- Подход к программам-шантажистам группы обнаружения и реагирования (MICROSOFT) и рекомендации и примеры использования
Microsoft 365 Defender:
Microsoft Defender for Cloud Apps:
Записи блога группы безопасности Майкрософт:
Основные шаги по обнаружению и реагированию корпорации Майкрософт (ИНСТРУКЦИЯ ПО) проведения расследований инцидентов программ-шантажистов.
В данной статье показаны действия, с помощью которых можно включить или отключить контролируемый доступ к папкам в операционной системе Windows 10.
Контролируемый доступ к папкам помогает защитить файлы, папки и области памяти на устройстве от несанкционированных изменений вредоносными приложениями.
Функция контролируемый доступ к папкам является частью приложения «Безопасность Windows».
Контролируемый доступ к папкам проверяет приложения, которые могут вносить изменения в файлы в защищенных папках. Иногда приложение, которое безопасно использовать, будет определено как вредное. Это происходит потому, что Microsoft хочет сохранить в безопасности ваши файлы и папки с данными и иногда может ошибаться и это может помешать тому, как вы обычно используете свой компьютер. Но при необходимости можно добавить приложение в список безопасных или разрешенных приложений, или же полностью отключить контролируемый доступ к папкам чтобы предотвратить их блокировку.
Чтобы включить или отключить доступ к контролируемым папкам, необходимо войти в систему с правами администратора
Как включить или отключить контролируемый доступ к папкам в приложении «Безопасность Windows»
Чтобы включить или отключить контролируемый доступ к папкам, откройте приложение «Безопасность Windows» и выберите Защита от вирусов и угроз
Затем в разделе "Защита от программ-шантажистов" нажмите на ссылку Управление защитой от программ-шантажистов
Установите переключатель Контролируемый доступ к папкам в соответствующее положение: Откл. или Вкл.
Как включить или отключить контролируемый доступ к папкам в Windows PowerShell
Чтобы отключить контролируемый доступ к папкам, откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:
Set-MpPreference -EnableControlledFolderAccess Disabled
Чтобы включить контролируемый доступ к папкам, откройте консоль Windows PowerShell от имени администратора и выполните следующую команду:
Set-MpPreference -EnableControlledFolderAccess Enabled
В этой статье представлен обзор различных функций Центра безопасности Защитника Windows в Windows 10.
Центр безопасности Защитника Windows — приложение для управления встроенным системным антивирусом и другими функциями безопасности операционной системы Windows 10. В центр безопасности Защитника Windows собраны различные защитные функции, так называемые области защиты.
В частности, сам Защитник Windows, защита учетных записей, Брандмауэр Windows и безопасность сети, управление приложениями и браузером (фильтр SmartScreen), безопасность устройства, проверка производительности и работоспособности устройства, параметры для семьи (родительский контроль).
«Центр безопасности Защитника Windows» был переименован в «Безопасность Windows» в обновлении Windows 10 October 2018 Update (версия 1809).
Как открыть Центр безопасности Защитника Windows
В более ранних версиях Windows 10, на вкладке Защитник Windows в разделе Обновление и безопасность приложения Параметры Windows были доступны некоторые настройки встроенного антивируса, теперь здесь отображаются кнопка для запуска Центра безопасности Защитника Windows и быстрый доступ к областям защиты.
Также открыть Центр безопасности Защитника Windows можно воспользовавшись меню Пуск или системным поиском.
Еще открыть Центр безопасности Защитника Windows можно щелкнув по значку защитника Windows в системном трее панели задач.
Интерфейс центра безопасности Защитника Windows представляет собой так называемый Кабинет (окно) с кратким обзором компонентов защиты, которые являются ярлыками и информерами. Зелеными или красными отметками они отображают состояние безопасности.
Далее будут рассмотрены настройки компонентов защиты приложения Центр безопасности Защитника Windows.
Защита от вирусов и угроз
Компонент Защита от вирусов и угроз представляет собой новый интерфейс Защитника Windows, в котором собраны все его функции и настройки. Здесь можно выполнить сканирование на наличие вирусов и других угроз, просмотреть журнал угроз, проверить наличие обновлений и включить защиту от программ-шантажистов.
В журнале угроз можно просмотреть сведения о сканировании и обнаруженных угрозах, угрозах в карантине и разрешенных угрозах.
Здесь также можно выполнить быстрое сканирование, нажав кнопку Выполнить проверку сейчас.
Также можно запустить полную, настраиваемую проверку, а также проверку автономного Защитника Windows.
В параметрах защиты от вирусов можно включить или отключить защиту в реальном времени, облачную защиту, автоматическую отправку образцов. Также здесь можно добавить или исключить элементы содержащие угрозы.
В параметрах обновления защиты от вирусов и угроз, можно проверить наличие обновлений.
И еще в параметрах защиты от программ-шантажистов, можно включить контролируемый доступ к папкам, файлам и областям памяти.
Защита учетных записей
В данном компоненте защиты, можно просмотреть данные учетной записи, управлять параметрами входа, а также параметрами динамической блокировки
Все опции данной области защиты ведут в соответствующие разделы настроек приложения «Параметры Windows».
Брандмауэр и безопасность сети
В разделе Брандмауэр и безопасность сети представлена сводка о состоянии Брандмауэра Windows и о типе сетевых подключений
Вы можете включить или отключить брандмауэр Windows для различных типов сети (сеть домена, частная сеть, общедоступная сеть), а также можете блокировать входящие подключения.
Кроме этого есть возможность разрешить работу приложениям через брандмауэр.
Вы можете запустить монитор брандмауэра Защитника Windows в режиме повышенной безопасности.
Также можно восстановить значения по умолчанию для брандмауэров.
Управление приложениями/браузером
В компоненте Управление приложениями/браузером можно управлять настройками фильтра SmartScreen для неопознанных приложений и файлов из интернета, браузера Microsoft Edge и приложений из магазина Windows Store.
Опция Проверка приложений и файлов позволяет настроить обработку неопознанных приложений и файлов из Интернета. По умолчанию выбрана опция Предупредить , которая будет оптимальной для большинства пользователей. Для усиленной защиты от угроз нужно установить значение Блокировать .
SmartScreen для Microsoft Edge позволяет защитить компьютер от вредоносных сайтов и загрузок. По умолчанию выставлено значение Предупредить , но для усиленной защиты рекомендуется установить значение Блокировать .
Опция SmartScreen для приложений из Microsoft Store предназначена для управления функцией проверки содержимого, которое используется в приложениях Магазина Windows. Здесь доступны всего два значения: Предупредить и Выключить . Если вам нужна повышенная безопасность, то установите значение Предупредить .
Также в системе встроена защита от эксплойтов.
Вы можете изменить параметры защиты от эксплойтов для системы и программ.
Безопасность устройства
Безопасность устройства - это доступные на устройстве функции безопасности.
Производительность и работоспособность устройств
Производительность и работоспособность устройств - это своеобразная функция сканирования компьютера на наличие в нем проблем с обновлениями Windows, драйверами и свободным дисковым пространством.
Опция Новый запуск является автоматизированной версией функции сброса системы с сохранением личных файлов. Это не новая функция, но можно использовать Центр безопасности Защитника Windows для переустановки Windows с сохранением личных файлов и некоторых параметров Windows (при этом будет удалено большинство установленных приложений, сторонние антивирусные программы и классические приложения).
Параметры для семьи
Данный компонент Центра безопасности Защитника Windows содержит всего две ссылки, которые ведут в веб-интерфейс управления учетной записью Microsoft.
Опция Просмотр параметров для семьи показывает членов семьи, которые были добавлены в Windows 10. Вы можете посмотреть недавнюю активность детей, время проведенное за компьютером, историю браузерной активности, статистику использования приложений, игр и мультимедийного контента.
Опция Просмотр устройств показывает список всех семейных устройств - компьютеров, ноутбуков, планшетов и смартфонов. Вы можете определить местоположение устройства, посмотреть их недавние локации, удалить старые устройства.
Центр безопасности Защитника Windows - приложение которое представляет обширный набор средств защиты, что обеспечит защиту вашего устройства с Windows 10
Читайте также: