Технологии простыми словами

Узнайте, есть ли у кого-то удаленный доступ к вашему ПК с Windows

теневой человек, получающий доступ к странице входа с ноутбуком на столе

Один из самых опасных типов вредоносного ПО предназначен для получения удаленного доступа к ПК жертвы, такие как трояны удаленного доступа (RAT) и руткиты на уровне ядра. Они работают тихо, что затрудняет их обнаружение. Если вы обеспокоены тем, что кто-то имеет несанкционированный удаленный доступ к вашему ПК с Windows, узнайте, как подтвердить и удалить угрозу.

Предупреждающие знаки о том, что кто-то имеет доступ к вашему ПК

Хотя большинство попыток удаленного доступа происходят тихо, они все же имеют некоторые предупреждающие знаки. Хотя эти знаки могут рассматриваться как обычные проблемы Windows, в совокупности они могут быть убедительным доказательством активности удаленного доступа.

  • Необычная активность мыши/клавиатуры: если ваш курсор движется неуправляемо или текст вводится без вашего участия, это может быть работой удаленного инструмента. Даже когда они не контролируют активно, эти инструменты могут вызывать проблемы, такие как скачки/телепортация курсора. Этот знак также может служить подтверждением, если мышь и клавиатура начинают выполнять задачи, такие как доступ к строке адреса браузера и ввод адреса веб-сайта.
  • Программы открываются и закрываются сами по себе: хакер также может отправить команды для открытия определенных приложений (таких как антивирус или командная строка), чтобы дальше контролировать систему или отключить функции безопасности. Если вы заметили, что программы открываются и закрываются сами по себе, это тревожный сигнал.
  • Создание новых неизвестных учетных записей пользователей: некоторые злоумышленники могут попытаться создать вторичные учетные записи, чтобы иметь постоянный доступ даже после обнаружения. Они, вероятно, отключат переключение пользователей, чтобы скрыть учетные записи от экрана блокировки. Перейдите в Настройки Windows -> Учетные записи и проверьте наличие вторичных учетных записей в разделах Семья и Другие пользователи.

Опции учетных записей в настройках Windows 11

  • Внезапное снижение производительности: активность удаленного управления также потребляет много ресурсов, поэтому вы можете заметить резкое падение производительности. Это особенно стоит учитывать, если падения производительности возникают время от времени из-за активности удаленного управления.
  • Удаленный рабочий стол Windows включен сам по себе: удаленный рабочий стол Windows довольно уязвим, поэтому хакеры часто используют его для создания удаленного соединения. Он отключен по умолчанию, поэтому, если он включен без вашего вмешательства, это может быть делом хакера. В настройках Windows перейдите в Система -> Удаленный рабочий стол и посмотрите, был ли он включен.

Удаленный рабочий стол отключен в настройках Windows

Как подтвердить, что ваш ПК подвергается удаленному доступу

Если вы заметили вышеуказанные знаки, примите необходимые меры для подтверждения подозрений. Вы можете отслеживать активность компонентов/приложений, участвующих в процессе удаленного доступа, чтобы подтвердить, что кто-то получает доступ к вашему ПК с Windows. Вот некоторые из самых надежных методов:

Проверьте журналы просмотра событий Windows

Просмотр событий Windows — это отличный встроенный инструмент для отслеживания активности пользователей и помощи в обнаружении попыток удаленного доступа, отслеживая активность RDP и журналы входа.

Поиск “просмотр событий” в поиске Windows и откройте Просмотр событий.

Перейдите в Журналы Windows -> Безопасность и нажмите на вкладку Идентификатор события, чтобы отсортировать события по идентификатору. Ищите все события с идентификатором 4624 и проверьте их детали, чтобы убедиться, что нет событий с Типом входа 10. Идентификатор события 4624 предназначен для попыток входа, а Тип входа 10 соответствует удаленным входам с использованием служб удаленного доступа, которые могут использовать хакеры.

Просмотр событий Windows, показывающий идентификатор события

Вы также можете искать идентификатор события 4778, так как он показывает повторное подключение удаленной сессии. Страница деталей каждого события сообщит вам важные идентификационные данные, такие как имя учетной записи или сетевой IP-адрес.

Отслеживайте сетевой трафик

Удаленный доступ зависит от сетевого соединения, поэтому отслеживание сетевого трафика — надежный способ его обнаружения. Мы рекомендуем использовать бесплатную версию GlassWire для этого, так как она помогает отслеживать и автоматически защищаться от вредоносных соединений.

В приложении GlassWire вы увидите все соединения приложений в разделе Защита GlassWire. Приложение автоматически оценит соединения и отметит ненадежные соединения. В большинстве случаев оно должно быть в состоянии обнаружить вредоносные удаленные соединения и предупредить вас.

Раздел оценки Glasswire в основном интерфейсе

Помимо алгоритмов приложения, вы также можете искать подсказки, такие как высокий объем данных неизвестного приложения. Удаленное соединение использует постоянные данные, поэтому его должно быть легко обнаружить.

Посмотрите на запланированные задачи

Многие попытки удаленного доступа управляются с помощью инструмента Планировщик задач в Windows. Это помогает им сохраняться при перезагрузках ПК и выполнять задачи без необходимости работать постоянно. Если ваш ПК заражен, вы должны увидеть задачи от неизвестных приложений в Планировщике задач.

Поиск “планировщик задач” в поиске Windows и откройте приложение Планировщик задач. В панели слева откройте Планировщик задач (локальный) -> Библиотека планировщика задач. Ищите любые незнакомые или подозрительные папки, кроме Microsoft. Если вы найдете какие-либо, щелкните правой кнопкой мыши на задаче и выберите Свойства.

Меню свойств задачи в планировщике задач Windows

В свойствах просмотрите вкладки Триггеры и Действия, чтобы узнать, что делает задача и когда она выполняется, что должно быть достаточно, чтобы понять, является ли она вредоносной. Например, если задача запускает неизвестное приложение или скрипт при входе в систему или когда система простаивает, это может быть для злонамеренных целей.

Вкладки триггеров и действий свойств задачи

Если вы не найдете подозрительных задач, вы можете взглянуть на папку Microsoft. Существует вероятность, что сложное вредоносное ПО скрывается в системных папках. Ищите задачи, которые кажутся подозрительными, такие как имеющие общие названия, такие как “systemMonitor” или неправильно написанные названия. К счастью, вам не придется исследовать каждую задачу, так как большинство из них будут иметь автора Microsoft Corporation, которые безопасно пропустить.

Как остановить удаленный доступ и защитить ваш ПК

Как только вы подтвердили, что кто-то имеет удаленный доступ к вашему ПК с Windows, вашим первым шагом должно быть отключение от интернета, чтобы они не могли нанести дальнейший ущерб. Вашим приоритетом должно быть управление ущербом, а не избавление от угрозы. Поэтому используйте другое устройство, чтобы сбросить пароли важных учетных записей, таких как электронная почта, финансовые учетные записи, учетные записи в социальных сетях и т. д. Также убедитесь, что вы сделали резервную копию важных данных.

Следуйте приведенным ниже методам, чтобы избавиться от вредоносного ПО удаленного доступа:

Запустите офлайн-сканирование Microsoft Defender

Если ваша система безопасности не может обнаружить или защитить от этой атаки удаленного доступа, это может быть сложное вредоносное ПО, такое как руткиты или буткиты. Офлайн-сканирование Microsoft Defender может помочь вам. Оно просканирует ваш ПК во время загрузки в безопасной и минимальной среде, чтобы найти вредоносное ПО, когда оно неактивно.

Чтобы запустить сканирование, поищите “безопасность Windows” в поиске Windows и откройте приложение Безопасность Windows.

Перейдите в Защита от вирусов и угроз -> Параметры сканирования, выберите Microsoft Defender Antivirus (офлайн-сканирование) и нажмите Сканировать сейчас.

Запуск офлайн-сканирования Windows Defender

Это перезагрузит ваш ПК и выполнит полное сканирование системы. Если будут обнаружены какие-либо угрозы, они будут в разделе История защиты приложения Безопасность Windows.

Избавьтесь от подозрительных программ

Независимо от того, обнаруживает ли сканирование что-то или нет, вы должны провести ручной аудит программ, чтобы убедиться, что у вас нет неизвестной программы, действующей как шлюз. В настройках Windows перейдите в Приложения -> Установленные приложения и ищите любые приложения, которые не являются частью Windows и которые вы не помните, чтобы установить. Кроме того, избавьтесь от приложений удаленного доступа, которые могут быть скомпрометированы, таких как TeamViewer, AnyDesk, VNC, Chrome Remote Desktop и т. д.

Существует вероятность, что вредоносное расширение браузера является причиной. Убедитесь, что вы проверили все расширения и удалили подозрительные расширения.

Заблокируйте входящие порты удаленного доступа в брандмауэре

Если вы не получаете удаленный доступ к своему ПК или не получаете помощь от кого-либо, вы можете заблокировать общие входящие порты для удаленных соединений в брандмауэре. Это блокирует входящие удаленные соединения, но позволяет вам управлять другими устройствами, если это необходимо.

Поиск “брандмауэр Windows Defender” в поиске Windows и откройте приложение Брандмауэр Windows Defender с расширенной безопасностью.

Выберите Входящие правила -> Новое правило, затем Порт -> Далее. Выберите TCP и укажите один из номеров портов, перечисленных ниже.

  • 3389 (Удаленный рабочий стол Windows)
  • 5900 (Виртуальная сеть)
  • 5938 (TeamViewer)
  • 6568 (AnyDesk)
  • 8200 (GoToMyPC)

Создание входящего правила в брандмауэре Windows

Выберите Заблокировать соединение и завершите настройку, чтобы создать правила. Убедитесь, что вы дали четкое имя правилу, чтобы вы могли идентифицировать его позже. Повторите этот процесс для каждого порта, чтобы заблокировать его.

Выполните чистую установку Windows, если это необходимо

Если ничего не работает или вы не хотите рисковать, выполнение чистой установки Windows — еще один вариант. Крайне редко вредоносное ПО выживает как после офлайн-сканирования антивируса, так и после чистой установки ОС. Однако вам придется сделать резервную копию ваших важных данных, так как чистая установка удалит все данные на вашем ПК.

Посмотрите наше руководство о том, как выполнить чистую установку Windows, чтобы узнать все шаги для безопасной установки чистой Windows.

Никогда не рискуйте, если вы подозреваете доступ к ПК, будь то удаленный доступ или локальный доступ. Такой контроль всегда приводит к более серьезным проблемам с безопасностью. Конечно, лучше предотвратить это с самого начала, поэтому убедитесь, что вы используете эти настройки безопасности Windows и расширенные параметры Windows Defender.

Кредит изображения: Vecteezy. Все скриншоты сделаны Карраром Хайдером.

Содержание

  1. Предупреждающие знаки о том, что кто-то имеет доступ к вашему ПК
  2. Как подтвердить, что ваш ПК подвергается удаленному доступу
  3. Проверьте журналы просмотра событий Windows
  4. Отслеживайте сетевой трафик
  5. Посмотрите на запланированные задачи
  6. Как остановить удаленный доступ и защитить ваш ПК
  7. Запустите офлайн-сканирование Microsoft Defender
  8. Избавьтесь от подозрительных программ
  9. Заблокируйте входящие порты удаленного доступа в брандмауэре
  10. Выполните чистую установку Windows, если это необходимо
Ello-dashboardprofile

Ello: Исследование Частной Социальной Сети

Bitdefender не устанавливается: 3 простых решения, которые вы можете использовать

Больше о решениях Bitdefender

Google убивает Inbox и дает ему шесть месяцев жизни

aspect-ratios-16x9

Понимание соотношений сторон видео

Менеджер файлов с тегами для организации ваших файлов: Топ 5

Исправление проблемы с Wake on LAN

Проблемы с Wake On LAN в Windows [Решено]

easycap-mac-mspacman-console

Использование EasyCAP для захвата VHS и консолей на Mac

Google тестирует новую функцию Chrome для проверки права на обновление до Windows 11