Как понять, что ваш компьютер заражён через уязвимость SMBv1 — реальные признаки и что делать

Как понять, что ваш компьютер заражён через уязвимость SMBv1 — реальные признаки и что делать

Вы просыпаетесь утром, включаете компьютер — и он ведёт себя странно: файлы исчезают, папки переименованы, появляется странное окно с требованием заплатить за «разблокировку». Или же, наоборот, всё кажется нормально, но интернет тормозит, а антивирус вдруг стал жаловаться на «подозрительные соединения».

Если вы не устанавливали ничего подозрительного, не открывали странные файлы — и при этом что-то пошло не так — вероятность заражения через SMBv1 выше, чем вы думаете. Эта уязвимость не про «вирус через email». Она работает тихо, незаметно, и часто не требует никакого взаимодействия с пользователем. Я видел, как компании с десятками компьютеров теряли данные за пару часов — просто потому что SMBv1 оставался включённым.

Сегодня я расскажу, как понять, что именно SMBv1 — виновник, а не просто «какой-то вирус». Без теории. Только признаки, которые реально видны, и что делать, чтобы остановить заражение.

Что такое SMBv1 и почему он — ловушка

SMB (Server Message Block) — это протокол, который позволяет компьютерам в сети обмениваться файлами, принтерами и другими ресурсами. SMBv1 — его старая, устаревшая версия. Вышла в 1996 году. Да, в 1996. В то время не было кибератак в том масштабе, что сейчас.

Проблема в том, что SMBv1 не имеет современной защиты. Он не шифрует трафик, не проверяет подлинность запросов, и в нём есть несколько критических уязвимостей, которые хакеры научились использовать как «отмычку» для любого Windows-компьютера, даже если он не имеет открытых портов извне.

В 2017 году WannaCry заразил более 200 000 компьютеров по всему миру — и всё началось с SMBv1. Никто не кликал на ссылки. Никто не скачивал файлы. Просто компьютер был включён, подключён к сети — и атака прошла через него, как через дверь без замка.

Сегодня SMBv1 — это не просто «старая функция». Это открытый вход для вредоносного ПО, которое может:

• Распространяться по локальной сети без вашего участия;
• Устанавливать руткиты и скрытые процессы;
• Красть пароли, ключи шифрования, файлы;
• Превращать ваш компьютер в «пешку» в ботнете.

И если вы до сих пор не отключили SMBv1 — вы живёте с открытым окном. Даже если у вас есть антивирус. Даже если вы «ничего не скачивали».

Признаки, что заражение произошло через SMBv1

Вот что реально можно увидеть — если знаешь, на что смотреть.

1. Неожиданные ошибки доступа к сетевым папкам

Вы пытаетесь открыть общую папку на другом компьютере в сети — и получаете:

• «Устройство не доступно»;
• «Нет доступа»;
• «Ошибка сети 53» или «Ошибка 5»;
• «Проверьте имя компьютера» — хотя имя правильное.

Это не просто «проблема с сетью». Это может быть результатом того, что вредоносное ПО уже захватило ваш SMB-сервис и переключило его в аварийный режим — чтобы скрыть следы или блокировать легитимный доступ.

2. Антивирус пишет «Подозрительная активность на порту 445»

Порт 445 — это «дверь» SMB. Если ваш антивирус (даже бесплатный, типа Windows Defender) начал предупреждать о «непонятных подключениях на порту 445» — это красный флаг. Особенно если:

• Вы не используете общие папки;
• Ваш компьютер не является сервером;
• Подключения идут от неизвестных IP-адресов в вашей локальной сети (например, 192.168.1.105 → 192.168.1.10 — ваш ПК).

Настоящий сигнал: кто-то сканирует или атакует ваш SMB-сервис. И если вы не отключили SMBv1 — он уже работает.

3. Появление странных файлов с расширениями .exe, .dll, .scr в системных папках

Проверьте:

• C:\Windows\System32\
• C:\Windows\Temp\
• C:\Users\ВашеИмя\AppData\Local\Temp\

Если вы видите файлы с именами вроде svchost.exe, lsass.exe, spoolsv.exe — но с датой создания вчера или сегодня — это не системные файлы. Это вредоносные копии, созданные для маскировки. SMBv1-вирусы часто копируют системные имена, чтобы обойти антивирус.

4. Компьютер стал неожиданно медленным, даже при простых задачах

Открываете проводник — тормозит. Запускаете браузер — ждёте 20 секунд. Задачи в диспетчере задач — 80–95% загрузки CPU, но вы ничего не запускали.

Это не «накопление мусора». Это может быть вредоносный процесс, который:

• Сканирует сеть на другие уязвимые машины;
• Шифрует файлы;
• Отправляет данные на удалённый сервер.

И всё это работает через SMBv1 — потому что он даёт доступ к сетевым ресурсам без вашего ведома.

5. Файлы переименованы, зашифрованы, или исчезли

Если вы видите файлы с расширениями вроде .locked, .crypt, .wanna, .xyz — это признак ransomware. И если вы не открывали подозрительные письма, а заражение произошло на нескольких компьютерах в сети одновременно — почти наверняка это SMBv1.

WannaCry, NotPetya, EternalBlue — все они использовали SMBv1 как основной канал распространения. Они не спрашивают «можно?». Они просто заходят.

Как проверить, включён ли SMBv1 на вашем компьютере

Это не «настройки сети». Это глубокая системная настройка. Вот как проверить — быстро и точно.

1. Нажмите Win + R, введите appwiz.cpl, нажмите Enter.
2. Слева выберите «Включение или отключение компонентов Windows».
3. Прокрутите вниз до раздела «Службы файлов и печати SMB».
4. Разверните его. Если стоит галочка напротив «Служба SMB 1.0/CIFS» — она включена. Это опасно.

Если вы видите эту галочку — вы уязвимы. Даже если вы не используете сетевые папки. Даже если вы не знаете, что такое SMB.

Что делать, если SMBv1 включён — пошагово

Не отключайте его сразу. Сначала — проверьте, не заражён ли компьютер. Потом — отключите. Потом — просканируйте.

Шаг 1: Отключите SMBv1

Следуйте инструкции выше. Снимите галочку с «Служба SMB 1.0/CIFS». Нажмите «ОК». Перезагрузите компьютер.

После перезагрузки SMBv1 перестанет работать. Это не сломает вашу сеть — если вы не используете старые устройства (например, принтеры 2008 года или NAS-устройства без обновлений). Но если вы используете современные Windows, Mac, Linux — вам SMBv1 не нужен вообще.

Шаг 2: Проверьте, не заражён ли компьютер

Запустите Windows Defender — полное сканирование. Если не работает — скачайте Microsoft Safety Scanner — он бесплатный и не требует установки.

Также запустите Malwarebytes (бесплатная версия). Он хорошо ловит скрытые угрозы, которые антивирусы пропускают.

Шаг 3: Проверьте другие компьютеры в сети

Если один компьютер заражён — почти наверняка другие тоже. Повторите проверку на всех ПК в домашней или офисной сети. Особенно на тех, где включены общие папки.

Шаг 4: Обновите Windows

Убедитесь, что у вас установлены все обновления. Microsoft выпустила патчи для SMBv1 ещё в 2017 году. Но если вы не обновляли систему — уязвимость всё ещё открыта.

Шаг 5: Отключите общий доступ к файлам, если не нужен

Если вы не используете сетевые папки — отключите их полностью:

• Откройте «Панель управления» → «Сеть и Интернет» → «Центр управления сетями и общим доступом»;
• Слева — «Изменить дополнительные параметры общего доступа»;
• В разделе «Все сети» — отключите «Включить общий доступ к файлам и принтерам».

Это не только безопаснее — это ускоряет работу сети. Многие «тормоза» в локальной сети — от постоянных попыток компьютеров найти друг друга по SMB.

Сравнение: SMBv1 vs SMBv2/v3 — что лучше

Характеристика	SMBv1	SMBv2 / SMBv3
Безопасность	Нет шифрования, уязвим к атакам	Шифрование, аутентификация, защита от подмены
Производительность	Медленный, много мелких запросов	Оптимизирован, работает быстрее
Поддержка в Windows	Поддерживается, но не рекомендуется	По умолчанию включён с Windows 7 / Server 2008 R2
Совместимость	Работает с очень старыми системами (XP, Vista)	Не работает с Windows XP, но поддерживает все современные ОС
Риск заражения	Очень высокий	Низкий (если обновлён)

Если у вас Windows 7 и выше — вам не нужен SMBv1. Никогда. Даже если вы думаете, что «вдруг понадобится» — это не оправдание. Риск в десятки раз выше, чем польза.

Что выбрать в зависимости от ситуации

Вот как действовать, если вы не знаете, что делать:

• Если вы в домашней сети и используете Windows 10/11 — отключите SMBv1 немедленно. Больше ничего делать не нужно.
• Если у вас офисная сеть с несколькими компьютерами — отключите SMBv1 на всех. Затем проверьте, не сломался ли доступ к общим папкам. Если сломался — проверьте, не используются ли старые устройства (например, старые NAS или принтеры). Если да — обновите их или замените.
• Если у вас есть старый сервер с Windows Server 2003 — это критическая ситуация. Такие серверы не получают обновлений. Нужно либо заменить их, либо изолировать в отдельную сеть без доступа в интернет и без подключения к другим компьютерам.
• Если вы не уверены, используете ли вы SMB — отключите SMBv1. Проверьте, всё ли работает. Если да — вы ничего не потеряли. Если что-то сломалось — вы точно знаете, что это был старый принтер или устройство, которое нужно заменить.

Частые ошибки

Люди делают три ошибки, которые приводят к заражению:

1. «Я не использую сетевые папки — мне SMBv1 не нужен» — но он включён по умолчанию. И вредоносное ПО не спрашивает, нужен ли он вам. Оно просто использует его.
2. «Я поставил антивирус — всё в порядке» — антивирус не защищает от атак через SMBv1, если он не обновлён и не настроен на мониторинг порта 445. Многие бесплатные версии просто не видят такие атаки.
3. «Я отключу SMBv1, когда будет время» — время не приходит. Атака приходит. И она не ждёт.

Ещё одна ошибка: люди думают, что если у них «нет общих папок», то SMBv1 не работает. Это не так. Он работает даже если вы просто подключены к сети — и может быть использован для сканирования и атаки на другие устройства.

Как лучше сделать — практические рекомендации

Вот что реально работает:

• Отключите SMBv1 на всех Windows-компьютерах — это первое и самое важное действие.
• Обновите Windows до последней версии — даже если вы думаете, что «всё работает». Обновления — это не «дополнительные функции». Это защита.
• Проверьте все устройства в сети — не только ПК, но и принтеры, NAS, умные камеры. Многие из них работают на Linux, но используют SMBv1 для доступа к файлам.
• Включите брандмауэр — он блокирует внешние попытки подключиться к порту 445. Но это не замена отключению SMBv1 — это дополнение.
• Сделайте резервную копию важных файлов — не на том же компьютере. Не на внешнем диске, который подключён постоянно. Используйте облако или диск, который подключаете только при копировании.

Если вы сделаете только одно — отключите SMBv1. Это снизит риск заражения на 80–90%. Остальное — детали.

Итог: что делать прямо сейчас

Вы не должны ждать, пока что-то сломается. Вы не должны ждать, пока антивирус «предупредит». Вы не должны ждать, пока кто-то скажет «это опасно».

Сделайте это сейчас:

1. Нажмите Win + R, введите appwiz.cpl, нажмите Enter.
2. Выберите «Включение или отключение компонентов Windows».
3. Найдите «Служба SMB 1.0/CIFS» — снимите галочку.
4. Перезагрузите компьютер.
5. Запустите полное сканирование Windows Defender.
6. Проверьте, не включён ли SMBv1 на других устройствах в сети.

Это займёт 5 минут. Если вы не сделаете этого — вы останетесь уязвимы. Не «может быть». Не «возможно». Вы уже уязвимы. Просто пока никто не атаковал.

Сегодня — это просто «странный сбой». Завтра — это потеря всех файлов. Или кража паролей от банков. Или ваш компьютер станет частью ботнета, который атакует другие компании.

Не ждите, пока это произойдёт. Отключите SMBv1. Сейф-действие. Никаких сомнений.

Информация в этой статье носит ознакомительный характер. Перед изменениями в системе рекомендуется проконсультироваться с ИТ-специалистом, особенно если вы используете корпоративную сеть или устаревшее оборудование.