Как закриптовать ратник от windows defender

Обновлено: 07.07.2024

Читайте о том, как с помощью Защитника Windows включить контролируемый доступ к папкам, указать папки для защиты, восстановить зашифрованные вирусом файлы , и т.д. Последние обновление Windows 10 Fall Creators включает в себя новую функцию Защитника Windows, предназначенную для защиты пользовательских файлов от шифрования вирусом. Функция называется “Контролируемый доступ к папкам” и она отключена по умолчанию.

Хотя регулярное создание резервных копий является наилучшей защитой от такого типа вирусов, функцию “Контролируемый доступ к папкам” можно использовать в качестве превентивной меры. Резервная копия не только обеспечит максимальную безопасность файлов, но и позволит избавится от вируса наиболее простым способом.

Как работает Контролируемый доступ к папкам

Эта функция является частью Защитника Windows и она обеспечивает дополнительный уровень защиты таких личных папок пользователя как «Документы» , «Изображения» и «Рабочий стол» . Как правило, любая программа, установленная в вашей системе, может редактировать файлы в этих папках. Если защита активирована, то только «приложения, определенные Microsoft как дружественные» или приложения, которым вы специально дадите доступ, смогут вносить изменения в ваши личные файлы в этих папках.

Как включить Контролируемый доступ к папкам

Чтобы включить эту функцию, откройте приложение Центр управления защитника Windows . Чтобы найти его, нажмите «Пуск» , введите «Защитник Windows» и запустите Центр управления защитника Windows .

Затем, кликните по значку с изображением щита ( «Защита от вирусов и угроз» ), расположенному на боковой панели. После этого нажмите ссылку «Параметры защиты от вирусов и угроз» .

Прокрутите вниз и установите для параметра «Контролируемый доступ к папкам» значение «Вкл.» . Затем подтвердите изменения. Если вы не видите эту опцию, ваш ПК, вероятно, еще не был обновлен до Fall Creator Update . Вы можете форсировать процесс обновления используя мастер установки обновлений от Microsoft или дождаться пока система установит обновления в автоматическом режиме.

Как указать папки для защиты

После включения функции нажмите «Защищенные папки» в разделе «Контролируемый доступ к папкам» в интерфейсе Защитника Windows для настройки папок.

По умолчанию вы увидите, что Windows защищает системные папки и папки пользовательских данных: «Документы» , «Изображения» , «Видео» , «Музыка» , «Рабочий стол» и «Избранное» , которые находятся в папке вашей учетной записи пользователя.

Если вы храните важные данные в другом месте, вам нужно нажать кнопку «Добавить защищенную папку» и указать другие папки с важными документами.

Как предоставить доступ к вашим файлам

Настройка доступа к этим папкам для каждой установленной программы потребовало бы значительных усилий от пользователя. Поэтому Защитник Windows автоматически разрешает известным программам вносить изменения в файлы в этих папках, и вам не нужно беспокоиться о том, чтобы настроить доступ всем программам для редактирования личных файлов.

Если вы получили это уведомление, но уверенны в безопасности программы, можете разрешить ей доступ. Перейдите в «Центр управления защитника Windows» > «Защита от вирусов и угроз» > «Параметры защиты от вирусов и угроз» и нажмите «Разрешить работу приложения через контролируемый доступ к папкам» , в разделе «Контролируемый доступ к папкам» .

Вы также можете просто щелкнуть уведомление, которое будет находиться в вашем Центре действий , если вы еще не отклонили его, чтобы перейти непосредственно на этот экран.

Всякий раз, когда вы видите уведомление и хотите разблокировать приложение, вернитесь сюда и добавьте его. Вам не нужно будет делать это для всех программ, так как популярным приложениям Windows автоматически разрешает доступ к контролируемым папкам.

Системные администраторы, управляющие сетями ПК, могут использовать групповую политику, PowerShell или сервер управления мобильными устройствами (MDM), чтобы включить эту функцию для всех ПК в сети. Для получения дополнительной информации об этом обратитесь к официальной документации Microsoft.

Как восстановить файлы, зашифрованные вирусом шифровальщиком

Восстановить файлы, не зная ключа шифрования практически невозможно. Отправлять деньги злоумышленникам в надежде получить от них ключ для расшифровки, то же не лучшая идея. Скорее всего ключа вы не получите, а дополнительно рискуете привлечь к себе дополнительное внимание с их стороны. Становиться объектом наблюдения опытных хакеров не лучшая идея, так вы лишитесь не только файлов.

Давайте разберемся подробнее, как работает вирус шифровальщик. Заражая систему вирус сканирует папки пользователя и находит в них документы, фотографии и прочие файлы. Затем для каждого файла создается его зашифрованная копия, а оригинал удаляется. Этот процесс продолжается пока не будут зашифрованы все файлы.

Вы можете воспользоваться программой для восстановления удаленных данных от компании Hetman Software , чтобы попытаться восстановить удаленные оригиналы файлов. Это подход не дает 100% гарантии, так как удаленные файлы могут быть полностью или частично перезаписаны новыми. Однако у вас нет другого надежного способа вернуть ваши данные.

Загрузите и запустите Hetman Partition Recovery . Укажите диск, на котором хранились удаленные файлы и дождитесь результатов сканирования. Бесплатная версия программы отобразит все найденные для восстановления файлы. Для сохранения файлов необходимо приобрести регистрационный ключ.

В Windows 10 имеется встроенный антивирус Windows Defender («Защитник Windows»), защищающий компьютер и данные от нежелательных программ: вирусов, шпионских программ, программ-вымогателей и многих других типов вредоносных программ и действий хакеров.

И хотя встроенного решения для защиты достаточно для большинства пользователей, бывают ситуации, в которых вы можете не захотеть пользоваться этой программой. К примеру, если вы настраиваете устройство, которое не будет выходить в сеть; если вам необходимо выполнить задачу, блокируемую этой программой; если вам нужно уложиться в требования политики безопасности вашей организации.

Единственная проблема связана с тем, что полностью удалить или отключить Windows Defender у вас не выйдет – эта система глубоко интегрирована в Windows 10. Однако есть несколько обходных путей, при помощи которых вы можете отключить антивирус – это использование локальной групповой политики, реестра или настроек Windows в разделе «Безопасность» (временно).

Как отключить Защитник Windows через настройки безопасности Windows

Если вам нужно выполнить определённую задачу, и не нужно отключать Защитника полностью, вы можете сделать это временно. Для этого при помощи поиска в кнопке «Пуск» найдите раздел «Центр безопасности Защитника Windows», и выберите в нём пункт «Защита от вирусов и угроз».

Там перейдите в раздел «Параметры защиты от вирусов и других угроз» и кликните по переключателю «Защита в режиме реального времени».

После этого антивирус отключит защиту компьютера в реальном времени, что позволит вам устанавливать приложения или выполнять определённую задачу, которая была недоступна вам из-за того, что антивирус блокировал необходимое действие.

Чтобы снова включить защиту в реальном времени, перезапустите компьютер или заново пройдите все этапы настроек, но на последнем шаге включите переключатель.

Это решение не является постоянным, но лучше всего подходит для отключения антивируса Windows 10 для выполнения определённой задачи.

Как отключить Защитник Windows через групповые политики

В версиях Windows 10 Pro и Enterprise вам доступен редактор локальных групповых политик, где можно навсегда отключить Защитника следующим образом:

Через кнопку «Пуск» запустите исполняемый скрипт gpedit.msc. Откроется редактор политик. Перейдите по следующему пути: Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа «Защитник Windows».

Двойным нажатием откройте пункт «Выключить антивирусную программу „Защитник Windows“». Выберите настройку «Включено» для включения этой опции, и, соответственно, отключения Защитника.

Нажмите «ОК» и перезапустите компьютер.

После этого антивирус будет навсегда отключён на вашем устройстве. Но вы заметите, что иконка со щитом останется в панели задач – так и должно быть, поскольку эта иконка принадлежит к приложению «Безопасность Windows», а не самому антивирусу.

Если вы передумаете, вы всегда можете заново включить Защитника, повторив эти шаги, и на последнем шаге выбрав вариант «Не задано», после чего снова нужно будет перезагрузить компьютер.

Как отключить Защитник Windows через реестр

Если у вас нет доступа к редактору политик, или у вас установлена Windows 10 Home, вы можете отредактировать реестр Windows, отключив тем самым Защитника.

Напоминаю, что редактировать реестр рискованно, и ошибки в этом деле могут нанести непоправимый ущерб текущей установленной копии Windows. Лучше сделать резервную копию системы перед тем, как начинать редактирование.

Чтобы полностью отключить Защитиника через реестр, запустите через кнопку «Пуск» программу regedit, и перейдите в ней по следующему пути:

Совет: этот путь можно скопировать и вставить в адресную строку редактора реестра.

Затем правой клавишей нажмите на ключ (каталог) Windows Defender, выберите «Новый» и DWORD (32-bit) Value. Назовите новый ключ DisableAntiSpyware и нажмите «Ввод». Затем двойным щелчком откройте редактор ключа и задайте ему значение 1.

Нажмите ОК, и перезапустите компьютер.

После этого Защитник Windows уже не будет защищать вашу систему. Если вы захотите отменить эти изменения, повторите все шаги, но в конце удалите этот ключ или назначьте ему значение 0.

Всем привет. Сегодня рассмотрим вариант запуска mimikatz на Windows 10. Mimikatz — инструмент, реализующий функционал Windows Credentials Editor и позволяющий извлечь аутентификационные данные залогинившегося в системе пользователя в открытом виде.

В ходе пентеста полезно иметь штуку, которая сдампит пароли юзеров, но сейчас даже встроенный в винду стандартный Windows Defender становится проблемой и может помешать нашим грандиозным планам.

Замечу, что этот способ подходит и для других антивирусных продуктов (Virustotal ДО и ПОСЛЕ тоже так считает), которые проводят статичный анализ бинарников по сигнатурам.
Так что хоть и данный способ вряд ли поможет вам против EDR решений, но легко поможет обойти Windows Defender.

Раньше его можно было обойти изменением слов в файле с mimikatz на mimidogz, удалением пары строк в метаданных и баннеров. Сейчас же это стало сложнее, но все же возможно.

За идею всего этого действа выражаю благодарность человеку с ником ippsec.

В данной статье мы будем использовать:

Windows 10 с включенным Windows Defender (с обновленными базами)
Mimikatz
Visual Studio
HxD (hex редактор)

Далее мы проведем серию манипуляций, чтобы Defender перестал видеть тут угрозу.

Первым делом, найдем и заменим слова mimikatz. Заменим mimikatz например на thunt (заменить можно на что угодно), а MIMIKATZ на THUNT. Выглядит это примерно вот так.

Следом отредактируем в Visual Studio файл mimikatz\mimikatz\mimikatz.rc (который после нашей замены теперь thunt.rc), заменяя mimikatz и gentilkiwi на что угодно, также не забудем заменить mimikatz.ico на любую другую иконку. Жмем «пересобрать решение» (или rebuild solution) и получаем нашу обновленную версию mimikatz. Скопируем на компьютер жертвы, иии…алерт. Давайте узнаем, на что срабатывает Defender. Самый простой способ это копировать бинарник с разным размером до первого срабатывания антивируса.

Для начала скопируем половину и скопируем на машину с Windows 10.

Defender молчит, уже неплохо. Экспериментируя, найдем первое срабатывание. У меня это выглядело так:

Откроем hunt.exe в hex редакторе и смотрим, на что может сработать Defender. Глаз уцепился за строку KiwiAndRegistryTools.

Поиграемся со случайным капсом — стало KiWIAnDReGiSTrYToOlS, сохраним и скопируем. Тишина, а это значит, что мы угадали. Теперь найдем все вхождения этих строк в коде, заменим и пересоберем наш проект. Для проверки выполним head -c 936300 mimikatz.exe > hunt.exe. В прошлый раз Defender сработал, сейчас нет. Движемся дальше.

Таким не хитрым способом, добавляя все больше строк в наш hunt.exe, были обнаружены слова-триггеры — wdigest.dll, isBase64InterceptOutput, isBase64InterceptInput, multirdp, logonPasswords, credman. Меняя их случайным капсом, я добивался того, что Defender перестал на них ругаться.
Но не может же быть все так легко, подумал Defender и сработал на функции, которые импортируются и чувствительны к регистру. Это функции, которые вызываются из библиотеки netapi32.dll.

I_NetServerAuthenticate2
I_NetServerReqChallenge
I_NetServerTrustPasswordsGet

Сохраняем и выполним команду (не забудьте на всякий случай сделать бэкап оригинала netapi32.min.lib)

В очередной раз пересоберем проект и скопируем то, что у нас получилось. Defender молчит. Запустим получившейся mimikatz с правами администратора.

Успех. Таким образом mimikatz запущен и Windows Defender не сработал, чего мы и добивались. Пароли, явки и хеши выданы.

Подводные камни

Ситуация в жизни несколько отличается от лабораторных условий. Возможно, для просмотра пароля вам придется поработать с реестром. Например, включить или создать ключ UseLogonCredential (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest). Но и с этим могут возникнуть проблемы, т.к. при перезагрузке ключи могут выставляться обратно.

Может быть и ещё хуже, если в случае запуска на одной из последних версии Windows 10, вместо пароля в plain-text вы увидите вот такое:

Все дело в механизме TBAL, который является наследником Automatic Restart Sign-On (ARSO). Теперь, когда запрашивается TBAL, lsasrv проверяет является ли аккаунт локальным или MS аккаунтом, и исходя из этого, использует msv1_0 или cloudAP, чтобы сохранить все необходимое для возобновления сессии пользователя. После чего механизму autologon выставляется захардкоженный пароль _TBAL_.