Потенциально опасное содержимое блокировано winrar как убрать

Обновлено: 06.07.2024

Уязвимость в WinRAR позволяет злоумышленникам получить контроль над вашим компьютером, если вы распакуете зловредный архив.

Про то, что не стоит запускать первые попавшиеся EXE-файлы, известно многим. Некоторые даже в курсе, что вредоносное ПО может таиться и в документах MS Office, а значит, к ним тоже стоит относиться с осторожностью. Но чем может грозить распаковка обычного архива WinRAR? Как выяснилось, много чем.

На свете 500 миллионов пользователей WinRAR. И все они – идеальная цель для взломщиков, если, конечно, не успели обновить архиватор. Недавно выяснилось, что в версиях WinRAR, выпущенных за последние 19 лет (кроме самых последних), есть критическая уязвимость, используя которую, киберпреступники могут попасть в вашу систему. Сейчас уже известно более 100 способов ее эксплуатации — и это число продолжает расти.

Как работает 19-летняя уязвимость WinRAR

Баг позволяет злоумышленникам создать вредоносный RAR-архив. Стоит пользователю распаковать его, и зараженный исполняемый файл незаметно извлечется в папку автозагрузки. Во время следующей перезагрузки системы он автоматически запустится и – заразит компьютер жертвы тем, чем его начинили создатели.

Чтобы усыпить нашу бдительность, преступники дают EXE-файлам самые безобидные названия, например GoogleUpdate.exe.

Само собой, вредоносные архивы и электронные письма с ними оформлены так, чтобы жертва распаковала зловред как можно охотнее. Кибержулики используют самые разные приманки: подписывают вложение как фото для взрослых, предлагают очень интересную вакансию, иногда даже предупреждают о риске террористической атаки. Бывает, что злоумышленники отправляют вам какие-то якобы технические документы или информируют о недавних изменениях в местном законодательстве. Некоторые даже предлагают скачать пиратскую копию популярного альбома, например последние хиты Арианы Гранде.

В общем, все делается для того, чтобы большинство получателей не заподозрили дурного и распаковали архив без задней мысли.

Что происходит после эксплуатации уязвимости

В архиве может оказаться любая из вредоносных программ, которыми кишит Интернет: шифровальщик, банковский троян или какое-нибудь средство удаленного доступа, позволяющее делать снимки экрана, скачивать файлы с устройства жертвы или, наоборот, загружать их туда.

Как только троян-вымогатель / шифровальщик попадает в вашу систему, уже поздно пытаться спасти несохраненные данные. Удивительно, но многие киберпреступники не отказываются от своих обязательств после оплаты выкупа и действительно восстанавливают ваши файлы. Конечно, никто гарантий вам не даст. Всегда есть шанс, что злоумышленник заберет деньги, оставив вас наедине с заблокированными файлами.

Тем не менее, если вы столкнулись с заражением шифровальщиком, не стоит паниковать. И даже не думайте платить выкуп. Сохраняя спокойствие и хладнокровие, проделайте следующие шаги:

1. Запустите антивирус или антивирусный сканер для удаления трояна

Запустите антивирус или антивирусный сканер для удаления трояна

Строго рекомендуется удалить заражение в безопасном режиме без сетевых драйверов. Существует вероятность того, что шифровальщик мог взломать ваше сетевое подключение.

Удаление вредоносной программы является важным шагом решения проблемы. Далеко не каждая антивирусная программа сможет справится с очисткой. Некоторые продукты не предназначены для удаления данного типа угроз. Проверьте, поддерживает ли ваш антивирус данную функцию на официальном сайте или связавшись со специалистом технической поддержки.

Основная проблема связана с тем, что файлы остаются зашифрованы даже после полного удаления вредоносного заражения. Тем нем менее, данный шаг как минимум избавит вас от вируса, который производит шифрование, что обеспечит защиту от повторного шифрования объектов.

Попытка расшифровки файлов без удаления активной угрозы обычно приводит к повторному шифрованию. В этом случае вы сможете получить доступ к файлам, даже если заплатили выкуп за инструмент дешифрования.

2. Попробуйте расшифровать файлы с помощью бесплатных утилит

Опять же, вы должны сделать все возможное, чтобы избежать оплаты выкупа. Следующим шагом станет применение бесплатных инструментов для расшифровки файлов. Обратите внимание, что нет гарантий, что для вашего экземпляра шифровальщика существует работающий инструмент дешифрования. Возможно ваш компьютер заразил зловред, который еще не был взломан.

“Лаборатория Касперского”, Avast, Bitdefender, Emsisoft и еще несколько вендоров поддерживают веб-сайт No More Ransom!, где любой желающий может загрузить и установить бесплатные средства расшифровки.

Первоначально рекомендуется использовать инструмент Crypto Sheriff, который позволяет определить ваш тип шифровальщика и проверить, существует ли для него декриптор. Работает это следующим образом:

Как удалить шифровальщики и восстановить данные – Crypto Sheriff

Crypto Sheriff обработает эту информацию с помощью собственной базы данных и определит, существует ли готовое решение. Если инструменты не обнаружены, не стоит отчаиваться. Одни из декрипторов все-равно может сработать, хотя вам придется загрузить и протестировать все доступные инструменты. Это медленный и трудоемкий процесс, но это дешевле, чем платить выкуп злоумышленникам.

Инструменты дешифрования

Следующие инструменты дешифрования могут расшифровать ваши файлы. Нажмите ссылку (pdf или инструкция) для получения дополнительной информации о том, с какими вымогателями работает инструмент:

Количество доступных декрипторов может изменяться с течением времени, мы будем регулярно обновлять информацию, проверяя веб-сайт No More Ransom!

Запустить средство дешифрования файлов совсем несложно. Многие утилиты поставляются с официальной инструкцией (в основном это решения от Emsisoft, Kaspersky Lab, Check Point или Trend Micro). Каждый процесс может немного отличаться, поэтому рекомендуется предварительно ознакомиться с руководством пользователя.

Рассмотрим процесс восстановления файлов, зашифрованных трояном-вымогателем Philadelphia:

  • Выбираем один из зашифрованных файлов в системе и файл, который еще не был зашифрован. Помещает оба файла в отдельную папку на компьютере.
  • Загружает средство дешифрования Philadelphia и перемещаем его в папку с нашими файлами.
  • Выбираем оба файла и перетаскиваем их на иконку исполняемого файла декриптора. Инструмент запустит поиск правильных ключей для дешифрования.

Как восстановить данные – Philadelphia

Как восстановить данные – Philadelphia

  • После завершения работы, вы получите ключ дешифрования для восстановления доступа ко всем заблокированным шифровальщикам файлам.

Как восстановить данные – Philadelphia

Повторимся, что данный процесс не сработает, если для вашего конкретного экземпляра шифровальщика не существует декриптора. Так как многие пользователи предпочитают заплатить выкуп, а не искать альтернативные способы решения проблемы, даже взломанные шифровальщики активно используются киберпреступниками.

Если есть резервная копия: очистите систему и восстановите бэкап

Шаги 1 и 2 будут эффективны только при совместном использовании. Если они не помогут, то используйте следующие рекомендации.

Надеемся, что у вас есть рабочая резервная копия данных. В этом случае даже не стоит задумываться об оплате выкупа – это может привести к более серьезным последствиям, чем ущерб от первичного заражения.

Самостоятельно или делегировав задачу системному администратору, выполните полный сброс системы и восстановите ваши файлы из резервной копии. Защита от действия шифровальшиков – это важная причина использования инструментов резервного копирования и восстановления файлов.

Пользователи Windows могут использовать полный сброс системы до заводских настроек. На официальном сайте Microsoft доступны рекомендации по восстановлению зашифрованных троянами файлов.

Потенциально нежелательные программы (ПНП) не являются вирусами, вредоносным ПО или другими типами угроз, но могут выполнять действия, которые повлияют на производительность и удобство использования компьютера. Часто под ПНП понимают приложения с плохой репутацией.

Типичными сценариями поведения ПНП являются:

  • Интеграция дополнительного (рекламного) ПО в установщик.
  • Инъекция рекламных модулей в браузеры.
  • Поиск проблем производительности системы, запрос платежа для исправления ошибок и отсутствие внесенных изменений после факта оплаты (такие программы также известны как фальшивые антивирусы).

Данные приложения могут увеличить риск заражения сети вредоносными программами или усложнить обнаружение заражений, а также потребляют системные ресурсы устройства.

По умолчанию, защита от ПНП отключена в Защитнике Windows, но при желании любой пользователь Windows 10 может включить данный механизм безопасности.

Первоначально Microsoft объявила, что функция защиты от ПНП будет доступна только для Windows 10 Enterprise. Тем не менее, пользователи редакций Windows 10 Pro и Windows 10 Домашняя также могут включить защиту, чтобы заблокировать установку нежелательных программ на ПК.

Обновления функции защиты ПНП поставляются как часть стандартных сигнатурных обновлений и облачной защиты Защитника Windows.

В данной инструкции описывается как включить или отключить защиту от потенциально нежелательных программ в Защитнике Windows для всех пользователей Windows 10.

Примечание

Все указанные в статье действия можно выполнить только в учетной записи с правами Администратор.

Содержание

Включение / отключение защиты от ПНП через системный реестр

Следующие файлы .REG позволяют добавить или изменить значение DWORD в соответствующих ключах системного реестра:

Включение / отключение защиты от ПНП через системный реестр

  1. Выполните шаг 2 или шаг 3 чтобы включить или отключить защиту от ПНП соответственно. Чтобы включить защиту от ПНП скачайте файл Enable_Windows_Defender_PUA_protection.reg и перейдите к шагу 4. Чтобы отключить защиту от ПНП скачайте файл Disable_Windows_Defender_PUA_protection.reg и перейдите к шагу 4. Сохраните файл .REG на рабочий стол.
  2. Дважды щелкните файл .REG для его запуска.
  3. Если появился запрос службы контроля учетных записей, подтвердите его. Затем нажмите Да, чтобы применить файл, а затем OK.
  4. Выполните перезагрузку ПК, чтобы изменения вступили в силу.
  5. Теперь вы можете удалить файл .REG при желании.

Описание значений ключей реестра

0 или удаление = отключить
1 = включить

0 или удаление = отключить
1 = включить

Включение / отключение защиты от ПНП с помощью редактора групповой политики

Редактор групповых политик является компонентом Windows 10 Pro и Enterprise (Корпоративная). Для отключения Защитника Windows нужно выполнить следующие шаги:

  • Нажмите сочетание клавиш Windows + R и введите gpedit.msc , затем нажмите клавишу ввода Enter . При необходимости подтвердите запрос службы контроля учетных записей для запуска редактора групповых политик.
  • Перейдите по следующему пути:
    • Для Windows 10, версия 1909, 1903, 1809 и ниже: Политика “Локальный компьютер” > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа “Защитник Windows”.
    • Для Windows 10, версия 2004 и выше: Политика “Локальный компьютер” > Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Антивирусная программа Microsoft Defender.

    Настройка обнаружения потенциально нежелательных приложений

    • В правой части окна выберите политику Настройка обнаружения потенциально нежелательных приложений.

    Включение защиты

    • В открывшемся окне установите состояние политики на Включено и укажите режим в разделе "Параметры" – Блокировать: потенциально нежелательные программы будут блокироваться.
    • Примените изменение, затем нажмите ОК.

    Настройка обнаружения потенциально нежелательных приложений

    Режим аудита

    • В открывшемся окне установите состояние политики на Включено и укажите режим в разделе "Параметры" – Проверять: потенциально нежелательные программы не будут блокироваться, запись об этом событии будет внесена в журналы событий.
    • Примените изменение, затем нажмите ОК.

    Отключение защиты

    • В открывшемся окне установите состояние политики на Включено и укажите режим в разделе "Параметры" – Выкл. (по умолчанию): потенциально нежелательные программы не будут блокироваться.
    • Примените изменение, затем нажмите ОК.

    Включение / отключение защиты от ПНП через Windows PowerShell

    Следующие команды PowerShell позволяют добавить или изменить значение DWORD в соответствующих ключах системного реестра.

    0 = отключить
    1 = включить
    2 = режим аудита (будет обнаруживать ПНП, но не блокировать)

    Включение / отключение защиты от ПНП через Windows PowerShell

    • Откройте Windows PowerShell с правами администратора.
    • Введите следующие команды чтобы включить соответствующий режим:

    Включение защиты

    Режим аудита

    Отключение защиты

    • Выполните перезагрузку ПК, чтобы изменения вступили в силу.

    Состояние защиты от ПНП проверяется командлетом Get-MpPreference. В его выводе значение PUAProtection: 1 означает включенную защиту.

    Get-MpPreference

    Как проверить защиту от ПНП

    Чтобы проверить активность защиты от ПНП, вы можете скачать безопасный тестовый файл на сайте AMTSO, нажав ссылку LAUNCH THE TEST.

    Тестовый файл ПНП

    Если при попытке запустить файл PotentiallyUnwanted.exe, он был заблокирован Защитником Windows, то защита от ПНП была успешно включена.

    Как проверить защиту от ПНП

    Также проверить успешную блокировку можно в меню приложения Безопасность Windows: Защита от вирусов и угроз > Текущие угрозы.

    Безопасность Windows – Текущие угрозы

    или в Защита от вирусов и угроз > Текущие угрозы > Журнал защиты

    Как добавить обнаруженное приложение в исключения

    В случае, если функция защиты от ПНП блокирует приложение, которому вы доверяете, можно разрешить его запуск, выполнив следующие действия:

    • Откройте приложения Безопасность Windows.
    • Перейдите в меню Защита от вирусов и угроз > Текущие угрозы > Журнал защиты
    • Выберите необходимый файл, отмеченный как Найдено потенциально нежелательное приложение, и нажмите Действие > Разрешить на устройстве.

    Добавить в исключения

    После выполнения всех шагов приложение будет восстановлено в исходное местоположение, и вы сможете без проблем запустить его.

    Примечание: вы также можете нажать кнопку «Удалить», чтобы избавиться от нежелательного приложения и других зараженных файлов.

    Считаете ли вы, что Windows 10 должна включать дополнительный уровень защиты от ПНП по умолчанию? Напишите нам в комментариях.

    Рассказываем, в каких файлах злоумышленники чаще всего прячут вирусы — и как себя правильно вести, чтобы не заразиться.

    Спамеры ежедневно рассылают многие миллионы писем. Львиную долю составляет банальная реклама — назойливая, но в основном безвредная. Но иногда к письмам прикрепляют вредоносные файлы.

    Чтобы заинтересовать получателя и заставить его открыть опасный файл, его обычно маскируют подо что-нибудь интересное, полезное или важное — рабочий документ, какое-нибудь невероятно выгодное предложение, поздравительную открытку с подарком от имени известной компании и так далее.

    1. ZIP- и RAR-архивы

    2. Документы Microsoft Office

    Также среди киберпреступников популярны файлы Microsoft Office, особенно документы Word (.doc, .docx), электронные таблицы Excel (.xls, .xlsx, .xlsm), а также презентации и шаблоны. Эти файлы могут содержать встроенные макросы — небольшие программы, которые выполняются прямо внутри файла. Злоумышленники использовали их, например, как скрипты для скачки зловредов.

    3. Файлы PDF

    Если про опасность макросов в документах Microsoft Office многие уже знают, то от файлов PDF подвоха часто не ожидают. Тем не менее, в них тоже можно спрятать вредоносный код: формат позволяет создавать и выполнять скрипты JavaScript.

    4. Образы дисков ISO и IMG

    Файлы ISO и IMG по сравнению с предыдущими типами вложений используются не очень часто, но в последнее время злоумышленники все больше обращают на них внимание. Такие файлы — образы диска — представляют собой фактически виртуальную копию CD, DVD или других дисков.

    С помощью подобных вложений злоумышленники доставляли жертвам, например, троян Agent Tesla, специализирующийся на краже учетных данных. Внутри образа диска находился вредоносный исполняемый файл, который запускался при открытии и устанавливал на устройство шпионскую программу. Любопытно, что в некоторых случаях преступники использовали, видимо, для верности, сразу два вложения — ISO и DOC.

    Как себя вести с потенциально опасными вложениями

    Само собой, отправлять в спам все письма с вложенными архивами или файлами в формате DOCX или PDF — слишком радикальный метод защиты. Чтобы не попасться на удочку мошенников, достаточно помнить несколько простых правил.

    Читайте также: