Si vous vous inquiétez de la sécurité de votre PC, vous devez pointer ce nom: Défendeur. Mais il n'est pas arrivé précisément pour vous rendre la vie plus facile et plus sûre, mais tout à fait le contraire. Cet outil est responsable de la désactivation de l'antivirus Windows, Microsoft Defender. Et il le fait tromper à notre système, lui faisant croire qu'il y a un autre antivirus sur notre PC, quand c'est totalement un mensonge.
L'astuce de tout cela est que Windows, lors de la détection d'un nouvel antivirus, est responsable de l'éteinte automatiquement afin que nous n'ayons pas de problème de compatibilité. Le fait est que Defenot tire parti de cette défaillance, même s'il n'installe aucun antivirus. Mais dans la pratique, Windows pense qu'il y en a un, qui peut impliquer les défenses de notre système d'exploitation.
Dans ces cas, nous devons savoir comment fonctionne ce nouveau type de tromperie et pourquoi il est si dangereux pour la normale et les entreprises.
C'est Defendot
Defendot agit comme un costume. Autrement dit, CU I Run, utilisez une astuce technique pour faire croire à Windows qu'un autre antivirus fonctionne. Celui qui en réalité est totalement faux. Lorsque Windows le détecte, il s'oppose automatiquement à se défendre afin qu'il n'y ait pas d'incompatibilité dans le système d'exploitation. Mais le problème se traduit par le nouvel antivirus supposé n'existe pas: il n'est pas non plus prévu. C'est juste un « fantôme » créé par Defendot. De cette façon, le PC est complètement non protégé par tous les logiciels malveillants qui peuvent y se faufiler.
Ce « système sans défense » est particulièrement dangereux dans les entreprises qui utilisent la politique de Byod: Apportez votre propre appareil. Autrement dit, chaque travailleur a amené son propre appareil au travail. Dans de nombreux réseaux, ce qui est fait est de vérifier si notre PC a un antivirus, mais pas s'il protège à coup sûr. Et c'est précisément ce que Defendot réalise, cette protection est plutôt illusoire. En conséquence de tout cela, tout employé ayant des intentions douteuses ou un attaquant externe peut utiliser cet écart pour atteindre plus d'ordinateurs dans le réseau sans que personne ne le remarque.
Comment Defendot peut-il entrer dans notre PC?
Defendot a plusieurs itinéraires d'entrée vers notre PC. Mais généralement, cela nécessite que l'utilisateur PC exécute un fichier malveillant, que nous pouvons trouver à la fois via des e-mails Web et trompeurs. Il suffit d'ouvrir un programme malveillant En tant qu'administrateur de sorte que DÉFINOT est automatiquement exécuté. Pour entrer, Defundot profite d'une vulnérabilité API du centre de sécurité des fenêtres. Où il est signalé qu'il y a un antivirus prêt et qui désactive automatiquement Microsoft Defend.
C'est pourquoi, précisément, chaque fois que nous commençons notre session Windows, nous devons surveiller le fonctionnement de Windows Defender. Pour ce faire, nous devons simplement écrire « Windows Security » dans la zone de recherche de la barre des tâches et cliquer sur le seul résultat qui sort. Une fois à l'intérieur, nous pouvons voir cet écran:
Comme vous pouvez le voir, tous les tics sont verts. Ce qui signifie que toutes les fonctions de défense sont actives. Quoi qu'il en soit, nous pouvons toujours prendre des mesures supplémentaires:
- Activez l'accès contrôlé aux dossiers, que vous pouvez faire à partir de la section de protection des ransomwares. Ainsi, vous pouvez empêcher toute application de modifier les fichiers sans votre autorisation
- Vous pouvez vérifier via PowerShell, Commande: « Get-MpComputerStatus ». Il vous suffit de voir que la valeur de « AntipyWarenabled » indique « vrai ».
N'oubliez pas: la chose la plus importante est de ne jamais exécuter de script suspect ou d'accès aux liens de messagerie par les expéditeurs que vous ne connaissez pas.
| Action | Mise en œuvre | Avantage |
|---|---|---|
| Vérification de l'État | Ouvrez la «sécurité Windows» et vérifiez les indicateurs verts. | Rapide et visuel, adapté à tous les utilisateurs. |
| Accès contrôlé aux dossiers | Activer dans 'Windows Security'> 'Ransomware Protection'. | Bloquez la modification non autorisée des fichiers par malware. |
| Vérification via PowerShell | Exécuter Get-MpComputerStatus | Select AntivirusEnabled en tant qu'administrateur. |
Vérification technique infaillible de l'état réel du moteur antivirus. |
| Politiques ASR (entreprises) | Configurez via GPO ou Intuit. Règle: «Bloquer quels processus de bureau créent un contenu exécutable». | Protection proactive qui bloque les vecteurs d'attaque communs. |