Zo schakelt u de toegang tot verwijderbare opslagapparaten in Windows 10 uit

Ja, u kunt de toegang voor alle verwisselbare opslagstations op uw pc beperken, in dit Windows 10 artikel laten we u zien hoe u in Windows 10 werkt. Als in Windows 10 een USB-poort of een andere ondersteunde poort beschikbaar is.

Op de computer, kunnen gebruikers verwisselbare opslagapparaten, zoals USB-flashstations, externe harde schijven en andere soorten apparaten voor massaopslag, aansluiten om gegevens te openen of te exporteren.

Ook al is het gebruikelijk is om verwisselbare schijven te gebruiken, zijn er momenten waarop u de toegang tot dit soort apparaten wilt beperken. U kunt bijvoorbeeld de toegang uitschakelen om te voorkomen dat gebruikers verbinding maken met externe apparaten, die malware kunnen bevatten die de computer kunnen beschadigen of het moeilijker maken om applicaties van onbekende bronnen te installeren.

Of als het apparaat gevoelige gegevens opslaat, kan het uitschakelen van lees- en schrijftoegang tot verwijderbare opslagapparaten helpen het systeem te vergrendelen om te voorkomen dat gebruikers proberen een kopie van bepaalde informatie te maken, waardoor de beveiliging wordt verbeterd, zelfs als de gegevens in het netwerk zijn opgeslagen.

Ongeacht de reden bevat Windows 10 instellingen waarmee u de toegang tot alle verwijderbare opslagapparaten kunt uitschakelen met behulp van de lokale groepsbeleid-editor of het register.

In deze Windows 10 artikel leiden we u door de stappen om lees- en schrijftoegang uit te schakelen voor alle klassen van verwijderbare opslagapparaten.

  • Alle toegang tot verwijderbare opslag uitschakelen met behulp van Groepsbeleid
  • Alle toegang tot verwijderbare opslag uitschakelen met behulp van Register

Alle toegang tot verwijderbare opslag uitschakelen met behulp van Groepsbeleid

In Windows 10 Pro, Enterprise of Educatie is de eenvoudigste manier om te voorkomen dat gebruikers toegang krijgen tot verwijderbare opslag, de Editor voor lokaal groepsbeleid.

Volg deze stappen om toegang tot verwisselbare opslag uit te schakelen in Windows 10:

  1. Gebruik de sneltoets Windowstoets + R.
  2. Typ bij uitvoeren: gpedit.msc en klik op OK om de Editor voor lokaal groepsbeleid te openen.
  3. Blader door het volgende pad:
Computer Configuratie > Beheerssjablonen > Systeem > Toegang verwisselbare opslag
  • Dubbelklik aan de rechterkant op het beleid Alle verwisselbare opslagklassen: alle toegang weigeren.
  • Selecteer de optie Ingeschakeld .
  • Klik op de knop Toepassen . 
  • Klik op de OK knop.
  • Start uw computer opnieuw op.

Nadat u de stappen hebt voltooid, weigert Windows 10 toegang tot verwijderbare opslagklassen, inclusief USB-flashstations, USB externe harde schijven, fysieke schijven, zoals cd en dvd en andere opslag die in de verwijderbare klasse valt.

Als u van gedachten verandert, kunt u de wijzigingen altijd ongedaan maken met dezelfde instructies, maar zorg dan dat u de optie Niet geconfigureerd selecteert .

Alle toegang tot verwijderbare opslag uitschakelen met behulp van Register

Windows 10 Home biedt geen toegang tot de Editor voor lokaal groepsbeleid, maar u kunt dezelfde resultaten bereiken door het register te wijzigen.

Waarschuwing: dit is een vriendelijke herinnering dat het bewerken van het register riskant is en onomkeerbare schade aan uw installatie kan veroorzaken als u het niet correct doet. Het wordt aanbevolen om een volledige back-up van uw pc te maken voordat u doorgaat.

Volg deze stappen om toegang tot alle verwijderbare opslag te voorkomen: 

  • Gebruik de sneltoets Windowstoets + R.
  • Typ in het vak Uitvoeren: regedit en klik op OK.
  • Blader door het volgende pad:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows

Tip: in Windows 10 kunt u nu het pad kopiëren en in de adresbalk van het register plakken om snel naar de belangrijkste bestemming te gaan.

  • Klik met de rechtermuisknop op de Windows- toets (map), selecteer het submenu Nieuw en kies de optie Sleutel .
  • Noem de sleutel RemovableStorageDevices en druk op Enter .
  • Klik met de rechtermuisknop op de nieuw gemaakte sleutel, selecteer het submenu Nieuw en kies de optie DWORD (32-bits) waarde .
  • Noem de sleutel Deny_All en druk op Enter .
  • Dubbelklik op het zojuist gemaakte DWORD en stel de waarde in van 0 tot 1 .
  • Klik op de OK- knop.
  • Start uw computer opnieuw op.

Nadat u de stappen hebt voltooid, hebben gebruikers geen toegang meer tot beschikbare verwijderbare opslagapparaten en kunnen ze ook geen externe opslagstations aansluiten.

U kunt de wijzigingen altijd ongedaan maken met dezelfde instructies als hierboven beschreven, maar zorg ervoor dat u met de rechtermuisknop op de toets RemovableStorageDevices klikt en de optie Verwijderen selecteert. Als u andere instellingen in de sleutel heeft geconfigureerd, verwijder deze dan niet. Dubbelklik in plaats daarvan op de DWORD Deny_All en wijzig de waarde van 1 in 0 .

Nadat u de wijzigingen met een van beide methoden ongedaan heeft gemaakt, moet u onmiddellijk weer toegang krijgen tot opslagapparaten. Als dit echter niet het geval is, start u het apparaat opnieuw op om de wijzigingen te vernieuwen

Een stap verder gaan met Windows 10

Op 20 oktober twitterde Microsoft dat de October 2020 Update versie 20H2 officieel is uitgebracht en na verloop van tijd zal verschijnen via een “gesmoorde” uitrol. Maar een paar van de antwoorden van de tweet zijn snel opgemerkt dat sommige Windows 10 gebruikers zijn  nog steeds wachten op versie 2004 of handmatig moeten installeren. Microsoft stelt dat de upgrade van Windows 10 2004 naar 20H2 sneller installeert omdat het meer lijkt op een maandelijkse update.

De sleutel tot een stabiel Windows 10 systeem is om te upgraden wanneer u het gevoel hebt dat u er klaar voor bent. En we hebben eindelijk het punt bereikt voor versie 2004. De “mei” uitgave (20H1) is er nu bijna vijf maanden, waardoor Microsoft de tijd heeft gehad om de meer flagrante bugs vast te stellen. En gebruikers die de versie al vroeg hebben geinstalleerd geven een goede blik op het besturingssysteem.

Inmiddels hebben we versie 2004 geïnstalleerd op verschillende testmachines op zowel thuis als op kantoor en we lopen niet mank. Dat gezegd hebbende, als we onze productiesystemen upgraden, dan zullen we ongetwijfeld een aantal post-installatie haken en ogen tegenkomen.

Voordat u versie 2004 installeert op productie (bedrijfs) systemen, zult u geïnstalleerde software moeten bekijken en bevestigen dat alle gespecialiseerde apps klaar zijn voor Windows 10 2004, wellicht moet u heirvoor contact opnemen met de makers van de software voor eventuele updates vóór dat u begint. We zullen ook onze persoonlijke systemen upgraden, maar ook u kunt dit doen als u klaar bent

Een oplossing voor wat schenen Windows Update:

Heeft u problemen met het installeren van patches via Windows Update? Een functie upgrade kan een goede manier zijn om Window Update weer werkend te maken.

Dus hier is onze checklist om ervoor te zorgen dat de belangrijkste machines klaar zijn voor versie 2004.

Het geven van een solide basis voor de nieuwe Windows

Het moet gaan vanzelfsprekend maar we zullen het toch nog eens zeggen: de eerste stap in een upgrade proces is om ervoor te zorgen dat u volledige, recente, werkende back-ups van uw systeem heeft, veilig opgeslagen buiten het systeem dat u upgrade. Pas als dat klaar is, kunt u naar de volgende stappen gaan.

Opslagruimte: Tijdens het installatieproces hebt u in feite twee versies van Windows 10 tegelijkertijd op uw systeem. Dus u hebt veel vrije harde schijf ruimte nodig (ongeveer 20GB). Tegenwoordig is dat waarschijnlijk een probleem op systemen met kleinere solid-state drives. Houd er tevens rekening mee dat versie 2004 meer ruimte in beslag neemt dan de nieuwste, meer incrementele 20H2.

Als u niet zeker weet of u over voldoende schijfruimte beschikt, hoeft u zich geen zorgen te maken. de Windows 10 installer controleert uw systeem aan het begin van het upgradeproces.

Op de meeste systemen kunt u meestal gebruik maken van de flash drive gebaseerde installatie optie. Maar voor echt krappe schijven, kunt u Versie 2004 ISO downloaden van het Internet en plaats het op een externe harde schijf; niet een flash drive, start dan de upgrade vanaf die locatie. IWij gebruiken die techniek voor een Acer laptop, die een ‘bloedarmoede’ 35GB drive heeft. Wij zijn voortdurend bezig met het aanpassen van het apparaat om ervoor te zorgen dat het genoeg opslagruimte heeft. Eigenlijk zouden we er een grotere Solid-state drive in moeten zetten (Red).

In feite, met behulp van een externe schijf en een ISO is de enige manier waarop we in staat zijn om een feature release geïnstalleerd te krijgen op de Acer. De externe Western Digital-schijf maakt automatisch opnieuw verbinding na het opnieuw opstarten van de installatie, waardoor het upgradeproces kan worden voortgezet. Dus bij twijfel, zorg voor een externe harde schijf; handig.

Voor een typische upgrade moet u een buffer met vrije ruimte hebben op uw systeem van ten minste 20 GB of meer moet dan genoeg zijn voor het installeren van een halfjaarlijkse “functie update”. Houd dit in gedachten: Als u moeite hebt om ruimte vrij te maken op een bijna volle harde schijf, is het waarschijnlijk tijd om te zoeken naar een grotere schijf voordat u naar de volgende versie van Windows 10 gaat.

Opmerking: Het upgraden van de harde schijf in sommige laptops is bijna onmogelijk. En het achter laten van uw machine in een computer reparatie winkel tijdens de pandemie kan ook even problematisch zijn. Dus toen wij de aankoop van een nieuwe laptop deden, kiezen we meestal voor de grootste en snelste schijf die wordt aangeboden.

Installeren versie 2004 met de ISO optie

Als Microsoft denkt dat uw machine klaar is voor een nieuwe release van Windows 10, kunt u de upgrade starten vanuit Windows Update (WU). Maar op machines die ik eerder heb gehad moeite met upgraden, het proces gaat vaak beter met een Windows 10 ISO in plaats van via Windows Update. Microsoft’s handige Media Creation Tool download pagina; klik op de knop Nu downloaden u bouwt ofwel een ISO-bestand of een flash drive gebaseerde installatie. De flash drive installatie is makkelijker voor een eenmalige installatie, maar het ISO bestand is een betere optie als u versie 2004 of een andere oudere Windows release later opnieuw wilt installeren.

Waarschuwing: Nu versie 20H2 is vrijgegeven, zal de Media Creation Tool niet langer Windows10 2004 bevatten maar Windows 10 20H2 downloaden. Dus hopelijk heeft u een versie 2004 ISO bewaard, zoals is aanbevolen in verschillende artikelen. Zo niet, dan bent u waarschijnlijk, voor nu, beter af met Windows 10 versie 1909 of maak gebruik van de Rufus optie die we hieronder bespreken.

Ervan uitgaande dat je een 2004 ISO, gewoon dubbelklikken; die het Windows 10-installatieprogramma als een nieuwe virtuele harde schijf op uw systeem zal monteren. Klik vervolgens op setup.exe  en versie 2004 wordt boven op uw bestaande systeem geïnstalleerd — zonder dat dit gevolgen heeft voor uw bestaande bestanden. Het is in wezen hetzelfde proces als het doen van een in-place reparatie / opnieuw te installeren.

Windows 10 2004 installer systeem opent op een virtueel station. Als u het upgradeproces wilt starten, dubbelklikt u gewoon op setup.exe.

De Rufus optie

Het nadeel van Microsoft’s Media Creation Tool is dat het alleen de meest recente Win10 release ondersteunt. Maar met de Rufus-app van derden kun je elke oudere versie van Win10 downloaden.

Let op: Om de optie ‘downloaden’ te kunnen gebruiken, moet u de instructies volgen om Rufus bij te werken en vervolgens de app sluiten/opnieuw opstarten. Rufus kan een beetje eigenzinnig zijn. Bijvoorbeeld, op onze Lenovo laptop, het bood niet meerdere Windows 10 versies aan. Maar op de HP desktop PC, werden alle oudere versies werden getoond. Wij vermoeden dat het verschil te wijten is aan de relatief kleine schijf op de Lenovo.

Gebruik Rufus om eerdere versies van Windows 10 te downloaden.

Softwaregeek.nl raad u aan om comfortabel om te gaan met het downloaden van de ISO voor Windows 10; ongeacht de bron en met het opslaan van het bestand naar externe opslag.

Zet wat tijd opzij

Als algemene regel moet een functie-upgrade ongeveer 30 minuten duren, van begin tot eind. Als het aanzienlijk langer duurt, betekent dit waarschijnlijk dat u een trage internetverbinding hebt of een uitzonderlijk trage harde schijf of pc.

Microsoft werknemers zijn ongetwijfeld verwend met zeer goede breedband. Maar als meer van haar personeel van huis uit werknemers worden en min of meer permanent dan zal het interessant zijn om te zien of eventuele wijzigingen in Windows 10 zal helpen voor diegene met trage internetsnelheden.

Als u robuuste bandbreedte hebt, maar uw machine nog steeds een traditionele harde schijf heeft, moet u serieus overwegen om te upgraden naar een solid-state apparaat. Dat zal helpen met de snelheid van toekomstige upgrades.

Tijd voor een nieuw systeem?

Met meer van ons nu werken vanuit huis of thuis blijven of nooit ons huis verlaten is nu misschien een goed moment om uw technologie behoeften te beoordelen. Als u een trage laptop heeft, houdt dan in gedachten dat u relatief goedkope gerenoveerde computers kunt vinden. Ze zijn een uitstekende waarde en komen vaak met een garantie. Ook niet beknibbelen op de specificaties: over het algemeen, hoe krachtiger de PC, hoe langer het levensvatbaar zal zijn.

Toen we onze nieuwe/gebruikte systemen hebben aangeschaft, die zijn uitgerust met oudere IDE-harde schijven, heb we upgradekits gebruikt om de gegevens van een bestaande computer naar een nieuwe harde schijf over te brengen.

Werken mijn applicaties hierna nog?

Controleer na een functie upgrade of uw belangrijkste toepassingen nog steeds werken. Bijvoorbeeld, “PDF en Component Repair tools” site die u kunt gebruiken na een grote update.

Vervolgens zorgen we ervoor dat alle printers goed zijn ingesteld en operationeel. Vroege functie releases resetten deze apparaten vaak naar hun standaardstuurprogramma’s, waardoor de afdrukaanpassingen worden gewist. Gelukkig, gedragen recente updates zich beter. Maar elke nieuwe upgrade is een draai van het roulettewiel.

Hoe ouder het apparaat, hoe meer het de upgrade zou kunnen bestrijden. Microsoft heeft bijvoorbeeld onlangs zijn beleid ten aanzien van stuurprogramma’s van derden gewijzigd. Zoals Microsoft opmerkte, “Te beginnen met de release van oktober vereist Windows de geldigheid van DER-gecodeerde PKCS#7-inhoud in catalogusbestanden. Catalogusbestanden moeten worden ondertekend per punt 11.6 van het beschrijven van DER-codering voor SET OF-leden in X.690.” Kortom, Microsoft zorgt ervoor dat malware niet in uw systeem rijdt vermomd als stuurprogramma.

Bij het installeren van een stuurprogramma van derden ontvangt u mogelijk het foutbericht ‘Windows kan de uitgever van deze stuurprogrammasoftware niet verifiëren’. Mogelijk ziet u ook ‘Er was geen handtekening aanwezig in het onderwerp’ wanneer u probeert de handtekening van het stuurprogramma te bekijken met Verkenner. Lees meer in onze blog hierover.

Geen van deze problemen is het directe resultaat van een functie-update, maar ze kunnen opduiken nadat  de upgrade is voltooid. Houd er rekening mee dat, vanaf nu, Windows zal blokkeren oem of fabrikant driver die het niet kan verifiëren.

HP gewaarschuwd over het probleem in een recente installatie waarschuwing meer info.

Tot slot, als je hebt geslagen je hoofd tegen de muur in een poging om een ouder apparaat te upgraden, is het misschien tijd om een alternatief gebruik te vinden voor het â € “of met pensioen gaan. Het komt allemaal neer op je doorzettingsvermogen. Persoonlijk, als ik ouder ben geworden, mijn tolerantie voor misdragende technologie is aanzienlijk afgenomen. Nu zal ik gewoon weggooien / recyclen van een apparaat dat niet meer goed werkt of past bij mijn behoeften.

Zoals bij elke update, houd een oogje op versie 2004’s lijst van nog openstaande problemen. Bladwijzer zijn Health Dashboard. En ik zal dit nogmaals zeggen: Zorg ervoor dat je een goede back-up voordat je een upgrade. Met dat en een ISO, u beslissen wanneer het de juiste tijd voor het installeren van Windows 10 versie 2004.

Een bestand handmatig scannen met Windows Defender Antivirus in Windows 10

Heeft u een verdacht bestand gevonden op uw pc? Als dit het geval is, kunt u het handmatig op malware scannen met Microsoft Defender Antivirus in Windows 10 in dit artikel laten we drie manieren zien om de taak te voltooien.

Microsoft Defender Antivirus is de antimalware toepassing die bij elke installatie van Windows 10 wordt geïntegreerd. Het biedt standaard een robuuste realtime bescherming tegen virussen, ransomware, spyware en vele andere soorten malware en hackers.

Hoewel de antivirus uw bestanden altijd controleert en periodiek scant om ongewenste malware automatisch te detecteren en te verwijderen, wilt u soms toch een specifiek bestand of een specifieke map handmatig controleren om er zeker van te zijn dat ze geen enkele vorm van virussen of schadelijke code bevatten die schadelijk kunnen zijn. uw computer en bestanden.

Als u een bestand of map handmatig moet scannen, bevat Microsoft Defender ten minste drie verschillende scanmethoden met behulp van de bestandsverkenner, de opdrachtprompt en zelfs PowerShell.

In dit Windows 10 artikel lopen we u door de stappen om een ​​bestand of map te scannen met Microsoft Defender Antivirus zonder dat een volledige scan nodig is.

  • Handmatig een bestand of map scannen met Microsoft Defender;
  • Hoe kunt u bestanden of mappen handmatig scannen met Defender met de opdrachtprompt;
  • Hoe kunt u handmatig een bestand of map scannen met Defender in PowerShell.

Hoe u een bestand of map handmatig kunt scannen met Microsoft Defender met behulp van Verkenner

Volg deze stappen om een ​​handmatige scan uit te voeren voor een specifiek bestand of specifieke map met Microsoft Defender:

  • Open de bestandsverkenner .

Tip: u kunt de bestandsverkenner openen met de sneltoets Windows-toets + E, door op het pictogram in de taakbalk te klikken of door de app te raadplegen vanuit het menu Start.

  • Blader naar de locatie met de bestanden en map die u wilt scannen.
  • Selecteer een of meerdere items (indien nodig).

Tip: u kunt alle items selecteren met de sneltoets Ctrl + A, door op de Ctrl toets te drukken en de items te selecteren die u wilt scannen, of door het eerste item te selecteren, op de Shift toets te drukken en het laatste item te selecteren dat u moet controleren.

  • Klik met de rechtermuisknop op de selectie en selecteer de optie Scannen met Microsoft Defender.

Terwijl u de stappen uitvoert, wordt de Windows-beveiligingsapp geopend op de pagina “Bescherming tegen virussen en bedreigingen”, waar u de voortgang en het resultaat van de scan kunt zien en actie moet ondernemen als malware wordt gedetecteerd.

U kunt ook de optie “Aangepaste scan” in het gedeelte “Bescherming tegen virussen en bedreigingen” gebruiken om aangepaste scans uit te voeren. U kunt het echter alleen gebruiken om mappen te scannen, niet een specifiek bestand, daarom vermelden we deze optie niet.

Hoe kunt u bestanden of mappen handmatig scannen met Defender met de opdrachtprompt

Volg deze stappen om een ​​specifieke map of bestand handmatig te scannen met de opdrachtprompt:

  1. Open Start net de Rechtse muisknop.
  2. Klik op opdrachtprompt met de optie Als administrator uitvoeren.
  3. Typ de volgende opdracht om toegang te krijgen tot de platformmap en druk op Enter :
cd c:\ProgramData\Microsoft\Windows Defender\Platform
  • Typ de volgende opdracht om de nieuwste versie van de antivirus opdrachttool te identificeren en druk op Enter :
dir
  • Typ de volgende opdracht om toegang te krijgen tot de map met de nieuwste versie en druk op Enter :
cd 4.18.2009.7-0

Vervang in de opdracht “4.18.2009.7-0” door de laatste versie van de map die op uw apparaat beschikbaar is.

  • Typ de volgende opdracht om een ​​specifieke map te scannen en druk op Enter:
mpcmdrun -Scan -ScanType 3 -File "C:\PATH\NAAR\MAP"

Vervang in de opdracht “C: \ PATH \ NAAR \ MAP” door het pad naar de map die u wilt scannen.

Deze opdracht scant bijvoorbeeld alle inhoud in de map “bestanden”:

mpcmdrun -Scan -ScanType 3 -File "C:\Users\username\Downloads\files"

Opmerking: u hoeft alleen aanhalingstekens te gebruiken als het pad een spatie bevat.

  • Typ de volgende opdracht om een ​​specifiek bestand te scannen en druk op Enter:
mpcmdrun -Scan -ScanType 3 -File "C:\PATH\TO\FILE.TXT"

Vervang in de opdracht “C: \ PATH \ NAAR \ BESTAND.TXT” door het pad naar het bestand dat u wilt scannen.

Deze opdracht scant bijvoorbeeld het bestand met de naam “OfficeSetup.exe” in de map “bestanden”:

mpcmdrun -Scan -ScanType 3 -File "C:\Users\username\Downloads\OfficeSetup.exe"

Zodra u de stappen heeft voltooid, scant Microsoft Defender de bestanden en als ze schoon zijn, ontvangt u het bericht “Geen bedreigingen gevonden”. Ook kunt u deze gids gebruiken om vele andere aspecten van het antivirus te beheren.

Hoe kunt u handmatig een bestand of map scannen met Defender in PowerShell

Volg deze stappen om een ​​bestand of map handmatig te scannen met PowerShell:

  1. Open Start .
  2. Scroll naar beneden waar u de map PowerShell vindt, klik op de map en klik met de rechtermuisknop op Windows Powershell en selecteer de optie Als administrator uitvoeren .
  3. Typ de volgende opdracht om een ​​map te scannen met behulp van Microsoft Defender Antivirus-scan en druk op Enter :
Start-MpScan -ScanType CustomScan -ScanPath "C:\PATH\TO\FOLDER"

Zorg ervoor dat u in de opdracht “C: \ PATH \ NAAR \MAP” vervangt door de maplocatie die u wilt scannen.

Deze opdracht scant bijvoorbeeld de map “bestanden”:

Start-MpScan -ScanType CustomScan -ScanPath "C:\Users\username\Downloads\files"
  • Typ de volgende opdracht om een ​​bestand handmatig te scannen met Microsoft Defender en druk op Enter :
Start-MpScan -ScanType CustomScan -ScanPath C:\PATH\NAAR\MAP\BESTAND.TXT

Zorg ervoor dat u in de opdracht “C: \ PATH \ NAAR \ MAP \BESTAND.TXT” vervangt door het pad naar het bestand dat u wilt scannen.

Deze opdracht scant bijvoorbeeld het bestand met de naam “image-1.jpg” op bedreigingen:

Start-MpScan -ScanType CustomScan -ScanPath "C:\Users\username\Downloads\files\OfficeSetup.exe"

Nadat u de stappen hebt voltooid, scant Microsoft Defender Antivirus alleen het door u opgegeven bestand op virussen op de door u geselecteerde locatie.

Naast het scannen van een specifiek bestand of map, kunt u met de Microsoft Defender Antivirus-modules in PowerShell vele andere functionaliteiten beheren. 

Microsoft maakt misbruik van Windows Update mogelijk om schadelijke programma’s uit te voeren

De Windows Update-client is zojuist toegevoegd aan de lijst met LoLBins Living-off-the-Land Binaries die aanvallers kunnen gebruiken om kwaadaardige code op Windows-systemen uit te voeren. LoLBins zijn door Microsoft ondertekende uitvoerbare bestanden, vooraf geïnstalleerd of gedownload die kunnen worden misbruikt door bedreigingsactoren om detectie te omzeilen tijdens het downloaden, installeren of uitvoeren van schadelijke code.

Ze kunnen ook worden gebruikt door aanvallers bij hun pogingen om Windows User Account Control (UAC) of Windows Defender Application Control (WDAC) te omzeilen en om persistentie te verkrijgen op reeds gecompromitteerde systemen.

Uitvoeren van schadelijke code met behulp van kwaadaardige DLL’s

De WSUS / Windows Update-client (wuauclt) is een hulpprogramma op % windir% \ system32 \ dat gebruikers gedeeltelijke controle geeft over een deel van de functionaliteit van Windows Update Agent vanaf de opdrachtregel.

Hiermee kunt u controleren op nieuwe updates en deze installeren zonder de gebruikersinterface van Windows te hoeven gebruiken, maar in plaats daarvan te activeren vanuit een opdrachtpromptvenster.

Door de  optie / ResetAuthorization te gebruiken, kan een handmatige updatecontrole worden gestart op de lokaal geconfigureerde WSUS-server of via de Windows Update-service volgens Microsoft .

MDSec-onderzoeker David Middlehurst ontdekte echter dat wuauclt ook door aanvallers kan worden gebruikt om kwaadaardige code op Windows 10-systemen uit te voeren door deze te laden vanaf een willekeurige speciaal vervaardigde DLL met de volgende opdrachtregelopties:

wuauclt.exe /UpdateDeploymentProvider [path_to_dll] /RunHandlerComServer

Zoals te zien is in de bovenstaande schermafbeelding, is de Full_Path_To_DLL het absolute pad naar het speciaal vervaardigde DLL-bestand van de aanvaller dat code zou uitvoeren bij het bijvoegen.

Deze verdedigingstechniek wordt door MITRE ATT & CK gecategoriseerd als Signed Binary Proxy Execution via Rundll32 en stelt aanvallers in staat om antivirus, applicatiebeheer en digitale certificaatvalidatie te omzeilen

In dit geval wordt dit gedaan door schadelijke code uit te voeren vanaf een DLL die is geladen met een ondertekend Microsoft-binair bestand, de Windows Update-client (wuauclt).

Nadat hij had ontdekt dat wuauclt ook als een LoLBin kan worden gebruikt, vond Middlehurst ook een monster dat het in het wild gebruikte.

Microsoft heeft onlangs de Windows 10 Microsoft Defender-antivirus bijgewerkt, ironisch genoeg en stilletjes een manier toegevoegd om bestanden die mogelijk kwaadaardig zijn, naar Windows-apparaten te downloaden.

Microsoft heeft later de mogelijkheid verwijderd van MpCmdRun.exe het Microsoft Antimalware Service Command Line Utility.

Trickbot malware netwerk door Microsoft verstoord

Wat u moet weten

Het Trickbot-botnet

Trickbot heeft sinds eind 2016 meer dan een miljoen computerapparatuur over de hele wereld geïnfecteerd. Hoewel de exacte identiteit van de operators onbekend is, suggereert onderzoek dat ze zowel natiestaten als criminele netwerken dienen voor verschillende doeleinden.

Trickbot is een van de recentere banktrojanen, met veel van de originele kenmerken die zijn geïnspireerd door Dyreza, een andere banktrojan. Naast het richten op een breed scala aan internationale banken via zijn webinjects, kan Trickbot ook stelen van Bitcoin-portefeuilles.

Enkele van de andere mogelijkheden zijn het verzamelen van e-mails en inloggegevens met behulp van de Mimikatz-tool. De auteurs laten ook zien dat ze constant nieuwe functies en ontwikkelingen kunnen gebruiken.

Trojan.TrickBot wordt geleverd in modules die vergezeld gaan van een configuratiebestand. Elke module heeft een specifieke taak, zoals persistentie verkrijgen, doorgeven, inloggegevens stelen, codering, enzovoort. De C & C’s  zijn opgezet op gehackte draadloze routers.

Tijdens het onderzoek van Microsoft naar Trickbot hebben we ongeveer 61.000 voorbeelden van Trickbot-malware geanalyseerd. Wat het zo gevaarlijk maakt, is dat het modulaire mogelijkheden heeft die voortdurend evolueren en slachtoffers infecteren voor de doeleinden van de operators via een “malware-as-a-service” -model. De operators zouden hun klanten toegang kunnen geven tot geïnfecteerde machines en hen een afleveringsmechanisme kunnen bieden voor vele vormen van malware, waaronder ransomware. Naast het infecteren van computers van eindgebruikers, heeft Trickbot ook een aantal “Internet of Things” -apparaten, zoals routers, geïnfecteerd, waardoor het bereik van Trickbot is uitgebreid naar huishoudens en organisaties.

Naast het onderhouden van modulaire mogelijkheden voor een verscheidenheid aan einddoeleinden, hebben de operators bewezen bedreven te zijn in het veranderen van technieken op basis van ontwikkelingen in de samenleving. De spam- en spearphishing-campagnes van Trickbot die worden gebruikt om malware te verspreiden, bevatten onderwerpen als Black Lives Matter en COVID-19, waardoor mensen worden verleid om op kwaadaardige documenten of links te klikken. Op basis van de gegevens die we zien via Microsoft Office 365 Advanced Threat Detection, is Trickbot de meest productieve malwareprocedure met kunstaas met COVID-19-thema.

Microsoft heeft vandaag actie ondernomen nadat de Amerikaanse rechtbank voor het oostelijk district van Virginia haar verzoek om een ​​gerechtelijk bevel om de activiteiten van Trickbot te stoppen, had ingewilligd.

Bron: Microsoft

Tijdens het onderzoek dat tegen Trickbot ten grondslag lag, was Microsoft in staat om operationele details te identificeren, waaronder de infrastructuur die Trickbot gebruikte om te communiceren met en controle over de computers van slachtoffers, de manier waarop geïnfecteerde computers met elkaar kunnen praten, de mechanismen van Trickbot om detectie te omzeilen en pogingen om de werking ervan te verstoren. Toen ze bij Microsoft zagen dat de geïnfecteerde computers verbinding maakten met en instructies kregen van command and control-servers, konden ze de precieze IP-adressen van die servers identificeren. Met dit bewijs gaf de rechtbank toestemming aan Microsoft en hun partners om de IP-adressen uit te schakelen, de inhoud die op de command and control-servers is opgeslagen ontoegankelijk te maken, alle services voor de botnet beheerders op te schorten en elke poging van de Trickbot beheerders om te kopen of extra servers leasen te stoppen.

Door deze actie uit te voeren, heeft Microsoft een internationale groep van industrie- en telecommunicatieproviders gevormd. De Digital Crimes Unit (DCU) van Microsoft leidde de onderzoeksinspanningen, waaronder detectie, analyse, telemetrie en reverse engineering, met aanvullende gegevens en inzichten om hun rechtszaak te versterken vanuit een wereldwijd netwerk van partners, waaronder  FS-ISAC ,  ESET ,  Lumen’s Black Lotus Labs ,  NTT  en  Symantec, een divisie van Broadcom , naast ons  Microsoft Defender team. Verdere maatregelen om slachtoffers te herstellen zullen worden ondersteund door internetproviders (ISP’s) en computer Emergency Readiness Teams (CERT) over de hele wereld.

Bron: Microsoft

Tijdens deze actie vertegenwoordigt ook een nieuwe juridische benadering die de DCU voor het eerst gebruikt. De zaak omvat volgens Microsoft “auteursrechtclaims tegen kwaadwillig gebruik van onze softwarecode door Trickbot.” Deze aanpak is een belangrijke ontwikkeling in de inspanningen die Microsoft doet om de verspreiding van malware te stoppen, waardoor ze civiele maatregelen kunnen nemen om klanten te beschermen in het grote aantal landen over de hele wereld waar deze wetten van kracht zijn.

Microsoft en hun partners anticiperen er volledig op dat de beheerders van Trickbot zich zullen inspannen om hun activiteiten nieuw leven in te blazen, we zullen samen met onze partners werken om hun activiteiten te volgen en aanvullende juridische en technische stappen te nemen om ze te stoppen.

Naast de bedreiging voor verkiezingen staat Trickbot erom bekend malware te gebruiken om websites voor internetbankieren te bereiken en geld te stelen van mensen en financiële instellingen. Financiële instellingen, variërend van wereldwijde banken en betalingsverwerkers tot regionale kredietverenigingen, zijn het doelwit van Trickbot.

Het is ook bekend dat Trickbot ook de makers zijn van de Ryuk crypto-ransomware en deze levert en gebruikt bij aanvallen op een breed scala aan openbare en particuliere instellingen. Ransomware kan verwoestende gevolgen hebben. Onlangs heeft het het IT-netwerk van een Duits ziekenhuis lamgelegd, met als gevolg de dood van een vrouw die een spoedbehandeling zocht. Ryuk is een geavanceerde crypto-ransomware omdat het netwerkbestanden identificeert en versleutelt en Windows Systeemherstel uitschakelt om te voorkomen dat mensen kunnen herstellen van de aanval zonder externe back-ups. Ryuk heeft organisaties aangevallen, waaronder gemeentebesturen, staatsrechtbanken, ziekenhuizen, verpleeghuizen, bedrijven en grote universiteiten. Ryuk is bijvoorbeeld toegeschreven aan aanvallen gericht op een aannemer van het ministerie van Defensie, de stad Durham in North Carolina, een IT-provider voor 110 verpleeghuizen,

Type en bron van infectie

Trojan.TrickBot richt zich op het stelen van bankgegevens.

TrickBot verspreidt zich doorgaans via kwaadaardige spamcampagnes. Het kan zich ook lateraal verspreiden met behulp van de EternalBlue-exploit (MS17-010) uitbraak in mei 2017.

Andere verspreidingsmethoden zijn onder meer geïnfecteerde bijlagen en ingesloten URL’s. Trojan.TrickBot wordt ook gezien als een secundaire infectie die door Trojan.Emotet wordt gedropt; dit wordt gedaan door middel van een Word of ander Office document.

 
De malware, ook wel bekend als Geodo en 
Mealybug, werd voor het eerst ontdekt in 2014

Nasleep

Vanwege de manier waarop Trickbot de EternalBlue kwetsbaarheid gebruikt om zich via het netwerk van een bedrijf te verspreiden, zal elke geïnfecteerde machine op het netwerk machines opnieuw infecteren die eerder zijn schoongemaakt wanneer ze weer op het netwerk komen. Daarom moeten IT teams elk geïnfecteerd systeem één voor één isoleren, patchen en herstellen. Dit is een lang en moeizaam proces.

Pin It on Pinterest