Как узнать, есть ли у кого-то удаленный доступ к вашему компьютеру Windows?

Некоторые из наиболее опасных типов вредоносного ПО предназначены для получения удаленного доступа к ПК жертвы, например, трояны удаленного доступа (RAT) и руткиты уровня ядра . Они работают бесшумно, что затрудняет их обнаружение. Если вы обеспокоены тем, что кто-то получил несанкционированный удаленный доступ к вашему ПК с Windows, узнайте, как подтвердить наличие угрозы и устранить ее.

Предупреждающие знаки, когда кто-то получает доступ к вашему ПК

Хотя большинство попыток удаленного доступа бесшумны, они все же сопровождаются некоторыми предупреждающими знаками. Хотя эти признаки могут свидетельствовать о популярности Windows, в совокупности они могут быть убедительным доказательством активности удаленного доступа.

• Необычное поведение мыши/клавиатуры : если курсор движется хаотично или текст вводится без вашего вмешательства, это может быть работой удаленного инструмента. Даже если эти инструменты не контролируются активно, они все равно могут вызывать проблемы, такие как скачки курсора или телепортация. Этот сигнал также может служить подтверждением, если мышь и клавиатура начинают выполнять такие задачи, как доступ к адресной строке браузера и ввод адреса веб-сайта.
• Программы, которые открываются и закрываются самостоятельно : хакеры также могут отправлять команды для открытия определенных приложений (например, антивирусного программного обеспечения или командной строки ), чтобы получить больший контроль над системой или отключить функции безопасности. Если вы видите, что программы открываются и закрываются сами по себе, это тревожный знак.
• Создание новых неизвестных учетных записей пользователей : некоторые злоумышленники могут попытаться создать дополнительные учетные записи, чтобы получить постоянный доступ даже после обнаружения. Скорее всего, они отключат функцию переключения пользователей, чтобы скрыть учетную запись на экране блокировки. Откройте «Параметры Windows» -> «Учетные записи» и найдите дополнительную учетную запись в разделах «Семья» и «Другие пользователи».

• Внезапное снижение производительности : Операции удаленного управления также требуют больших ресурсов, поэтому вы можете заметить внезапное падение производительности. Это особенно стоит учитывать, если из-за операций дистанционного управления время от времени происходят падения производительности.
• Удаленный рабочий стол Windows включается автоматически : Удаленный рабочий стол Windows довольно уязвим, поэтому хакеры часто используют эту функцию для создания удаленных подключений. Эта функция по умолчанию отключена, поэтому, если она включена без вашего вмешательства, это может сделать хакер. В настройках Windows перейдите в раздел Система -> Удаленный рабочий стол и проверьте, включена ли эта функция.

Как убедиться, что к вашему ПК осуществляется удаленный доступ

Если вы заметили вышеуказанные признаки, примите необходимые меры для подтверждения своих подозрений. Вы можете отслеживать активность компонентов/приложений, участвующих в процессе удаленного доступа, чтобы убедиться, что кто-то получает доступ к вашему ПК с ОС Windows. Вот некоторые из наиболее надежных методов:

Проверьте журналы просмотра событий Windows.

Средство просмотра событий Windows — это великолепный встроенный инструмент для мониторинга активности пользователей и обнаружения попыток удаленного доступа путем мониторинга активности RDP и журналов входов в систему.

Найдите «просмотр событий» в поиске Windows и откройте «Просмотр событий» .

Перейдите в Журналы Windows -> Безопасность и щелкните вкладку Идентификатор события , чтобы отсортировать события по идентификатору. Найдите все события с идентификатором 4624 и проверьте их данные, чтобы убедиться, что ни одно из них не имеет типа входа 10 . Идентификатор события 4624 относится к попыткам входа в систему, а тип входа 10 соответствует удаленным входам с использованием служб удаленного доступа, которые могут использовать хакеры.

Вы также можете поискать событие с идентификатором 4778, поскольку оно указывает на повторное подключение удаленного сеанса. На странице сведений о каждом событии вы найдете важную идентификационную информацию, например имя учетной записи или сетевой IP-адрес.

Мониторинг сетевого трафика

Удаленный доступ зависит от сетевого подключения, поэтому мониторинг сетевого трафика является надежным способом его обнаружения. Для этой цели мы рекомендуем использовать бесплатную версию GlassWire, поскольку она не только отслеживает, но и автоматически защищает от вредоносных подключений.

В приложении GlassWire вы увидите все подключения приложения в разделе GlassWire Protect . Приложение автоматически оценивает соединения и отмечает ненадежные. В большинстве случаев приложение сможет обнаружить вредоносные удаленные подключения и предупредить вас.

Помимо алгоритмов приложений, вы также можете искать подсказки, такие как высокий уровень использования данных неизвестным приложением. Удаленные соединения используют постоянные данные, поэтому их легко обнаружить.

Просмотр запланированных задач

Многие попытки удаленного доступа управляются с помощью инструмента «Планировщик заданий» в Windows. Это помогает им выдерживать перезагрузки ПК и выполнять задачи без необходимости непрерывной работы. Если ваш компьютер заражен вирусом, в планировщике задач вы увидите задачи неизвестных приложений.

Найдите «планировщик заданий» в поиске Windows и откройте приложение «Планировщик заданий». На левой панели откройте Планировщик заданий (локальный) -> Библиотека планировщика заданий . Ищите любые странные или подозрительные папки, помимо Microsoft. Если вы обнаружите какие-либо папки, щелкните правой кнопкой мыши по задаче и выберите «Свойства».

В разделе «Свойства» просмотрите вкладки «Триггеры» и «Действия» , чтобы узнать, что делает задача и когда она выполняется. Этого должно быть достаточно, чтобы понять, является ли она плохой. Например, если задача запускает неизвестное приложение или скрипт при входе в систему или во время бездействия системы, задача может быть вредоносной.

Если вы не нашли подозрительную задачу, возможно, вам стоит поискать ее в Microsoft. Вполне возможно, что в системных папках скрывается сложное вредоносное ПО. Обратите внимание на задачи, которые выглядят подозрительно, например, имеющие общие имена, такие как «systemMonitor», или имена с ошибками. К счастью, вам не придется изучать каждую задачу, поскольку большинство из них будут разработаны корпорацией Microsoft, которую можно смело игнорировать.