Достаточно ли стандартной системы защиты от криптошифраторов в Windows 10?

23 ноября 2017

К сожалению, многие пользователи ПК по-прежнему полагаются исключительно на встроенные меры защиты Windows. Несмотря на то, что в последние годы компания Microsoft внесла несколько улучшений в систему безопасности операционной системы, Windows Defender все еще заметно отстает от других подобных решений. По результатам недавнего AV-теста из 18 комплектов безопасности Windows 10 Defender Windows оказался на последнем месте из-за посредственной работы и плохой производительности.

Тем не менее, мы рады, что Microsoft проявляет активность в плане совершенствования защиты своей ОС. Например, последнее обновление Fall Creators добавило опцию защиты от криптошифраторов.

Хорошо ли работает новый компонент? А если сравнить его с модулем Anti-Ransomware от Emsisoft? И, самое главное, обеспечит ли обновленная система полноценную защиту компьютера? Давайте выясним.

Что же на самом деле делает новая защита Windows Ransomeware?

Обновление Fall Creators Pack включило в себя множество улучшений, направленных на ужесточение политики безопасности Windows 10. Теперь уязвимый протокол SMBv1, который был причиной массовых вспышек WannaCry и Petya в начале этого года, автоматически удаляется (по крайней мере, при чистой установке ОС).

В надежде предотвратить столь же разрушительную кибератаку Microsoft также выпустила Controlled Folder Access, совершенно новый механизм защиты, который, по сути, является ответом Microsoft на действия преступников.

Controlled Folder Access - это новый компонент Защитника Windows. Он предотвращает внесение нежелательных изменений в определенные папки. Когда он включен, только приложения из белого списка могут изменять системные файлы и папки данных Windows. Теоретически, это должно уберечь ваши данные от шифрования в случае заражения компьютера. По умолчанию доступ к контролируемой папке отключен. Если вы хотите включить его, выполните следующие действия:

1. Откройте меню «Пуск».
2. Введите «Центр безопасности Windows Defender» и откройте приложение.
3. Выберите «Защита от вирусов и угроз». Далее «Параметры защиты от вирусов и угроз».
4. Прокручивайте вниз до тех пор, пока не найдете раздел Доступ к контролируемой папке.
5. Нажмите кнопку включения / выключения компонента.

После того, как вы включили данную защиту, вы можете перейти к списку «Защищенные папки», чтобы выбрать папки, которые вам нужно обезопасить (например, содержащие важные фото, рабочие отчеты и другую личную информацию). Все системные папки Windows защищены по умолчанию. Раздел «Доступ к контролируемым папкам» позволяет настроить белый список приложений, которым будет разрешено изменять содержимое указанных директорий.

Что Emsisoft делает по-другому?

Представьте себе, что вы живете в небезопасном районе и при этом хотите надежно защитить свои вещи. Вы знаете, что рано или поздно преступники смогут проникнуть в ваш дом, поэтому все свои ценные вещи вы складываете в надежный сейф, доступ к которому можете получить только вы или члены вашей семьи. Конечно, все, что находится вне сейфа (вы же не можете спрятать в него абсолютно все), воры, возможно, похитят или испортят. Но, по крайней мере, все ваши важные документы и, например, драгоценности останутся целы.

Это и есть основная идея Controlled Folder Access. Он не препятствует проникновению преступников, не помещает им украсть другие ваши вещи, но все самое дорогое и ценное будет в безопасном «сейфе», куда никто посторонний точно не сможет получить доступ.

Продолжим рассуждать по аналогии. Скажем, теперь вы хотите сделать систему защиты более проактивной. Вместо того чтобы просто вкладывать деньги в сейф, вы устанавливаете прожекторы и камеры наблюдения по всему периметру вашего дома. Ваша система безопасности автономно контролирует вашу собственность и сможет отличить случайное проникновение, которое не несет угрозы (например, любознательный кот, блуждающий рядом с гаражом), и возможно опасные действия (неизвестный следит за вашими окнами). Так вы сможете отличить потенциальных воришек и предотвратить ограбление вместо того, чтобы ждать, пока они решатся проникнуть в дом.

Это второй подход Emsisoft к борьбе с криптошифраторами. Наш расширенный модуль распознавания поведения и технология Anti-Ransomware постоянно сканируют все активные программы, чтобы оперативно выявить шаблон действий зараженного приложения и предупредить шифрование данных. Поведенческий мониторинг с помощью самых инновационных технологий и инструментов позволяет Emsisoft Anti-Malware блокировать как известные, так и совершенно новые виды угроз. Другие продукты для защиты от вымогательства могут обнаруживать только вирус с известными сигнатурами. Это означает, что защита срабатывает лишь после того, как ваши файлы уже зашифрованы.

Достаточно ли Windows, чтобы защитить вас от мошенничества с целью получения выкупа?

Благодаря безопасному доступу к контролируемым папкам, никакие другие программы, кроме тех, что есть в белом списке, не смогут получить доступ к данным в таких папках, изменить или отредактировать их. Это означает, что даже если ваш компьютер заражен вирусом-вымогателем, системные файлы и важные данные не будут зашифрованы или украдены. Тем не менее, хотя механизм контроля доступа обеспечивает базовый уровень защиты, существует несколько недостатков, так называемых, реактивных средств безопасности.

По факту они не борются с вирусом

Одним из ключевых недостатков такого рода решений является то, что они не мешают злоумышленнику заражать и захватывать ваш компьютер. Вместо этого они блокируют необходимые данные, чтобы хакеры не могли воспользоваться ими.

Угроза шифрования данных никуда не исчезает

Все содержимое защищенных папок находится в безопасности, но что происходит с директориями, которые остались без защиты в случае атака? Ответ: все данные в них будут зашифрованы. Даже если некоторые из ваших файлов остались целы, ваш компьютер по-прежнему будет непригодным для использования, что невероятно разрушительно как для бизнеса, так и доставит огромные неудобства обычным пользователям. Опять же преступники смогут потребовать выкуп, и многие люди более склонны спокойно выполнять все требования, чтобы восстановить доступ к своим устройствам.

Потенциальные проблемы совместимости

Control Folder Access – это не самостоятельный компонент, то есть он требует включения системы защиты в режиме реального времени через Защитник Windows. Так почему это проблема? По словам Роба Леффертса, директора по управлению ПО и безопасностью, Windows Defender прекрасно работает на примерно 95% ПК с ОС Windows 10, где установлено антивирусное программное обеспечение сторонних производителей. Но это все еще остается 5% пользователей, которые могут столкнуться с проблемами совместимости при попытке использовать Control Folder в сочетании с их антивирусным приложением.

Шаг в правильном направлении

Модуль контроля доступа к папкам – это и есть тот самый «шаг». Замечательно, что в Microsoft понимают, насколько опасным становятся вирусы-шифровальщики и предпринимают шаги для защиты пользователей, которые полагаются на Центр защиты Windows Defender. Однако это не идеальное решение для защиты от криптошифраторов, в основном из-за того, что оно просто не позволяет вирусам добраться до важных данных, а не предотвращает и не сражается с вымогателями. Имея это ввиду, лучше думать о Controlled Folder Access как об дополнительном инструменте защиты данных, а не о всеобъемлющей функции защиты от вымогательства.