Runtime Broker — системный процесс, отвечающий за управление разрешениями приложений из Microsoft Store. Обычно он работает в фоне и не сильно нагружает Windows, но случаются и обратные ситуации. Также под видом Runtime Broker может скрываться вредоносное ПО. Более подробно обо всем этом вы сможете узнать из нашей статьи.

Содержание
  1. Что такое Runtime Broker?
    1. Основные функции Runtime Broker
    2. Зачем нужен Runtime Broker?
  2. Можно ли отключить Runtime Broker?
    1. Как снизить нагрузку на ЦП?
  3. Можно ли отключить Runtime Broker через реестр?
  4. Как понять, что под видом Runtime Broker скрывается вирус?
    1. Необычно высокая нагрузка на систему
    2. Местоположение файла
    3. Несколько процессов Runtime Broker
    4. Системные оповещения или антивирусные предупреждения
    5. Неправильное имя процесса
    6. Как проверить подлинность процесса Runtime Broker
    7. Что делать, если подозреваете вирус под видом Runtime Broker
Прокомментировать

Что такое Runtime Broker?

Источник: CQ / Windows 11

Runtime Broker — это системный процесс, впервые появившийся в Windows 8 и присутствующий в более поздних версиях Windows, включая Windows 10 и 11. Основная задача этого процесса — управление правами доступа приложений к различным данным и ресурсам системы, особенно для приложений, созданных с использованием платформы UWP (Universal Windows Platform).

Эти приложения получают доступ к различным функциям и данным системы, и Runtime Broker отвечает за контроль того, чтобы эти приложения не выходили за пределы разрешенных им полномочий.

Основные функции Runtime Broker

  • Контроль разрешений приложений. Runtime Broker следит за тем, чтобы приложения использовали только те разрешения, которые были предоставлены им пользователем. Например, если приложение UWP запрашивает доступ к камере, микрофону или файлам, процесс Runtime Broker проверяет, соответствует ли это запросам, указанным при установке приложения, и не нарушает ли это конфиденциальность пользователя;
  • Безопасность и изоляция. Процесс помогает изолировать приложения UWP от основной системы, снижая риск потенциальных угроз. Это обеспечивает дополнительный уровень безопасности, позволяя приложениям работать в более ограниченной среде с минимальными правами доступа;
  • Оптимизация работы системы. Хотя Runtime Broker работает в фоновом режиме и обычно потребляет минимальные системные ресурсы, иногда его активность может возрасти. Это происходит, когда приложения требуют новых разрешений или начинают активно взаимодействовать с системой. Важно отметить, что сам процесс не является ресурсозатратным, но может быть сигналом к тому, что одно из приложений ведет себя необычным образом.

Зачем нужен Runtime Broker?

Источник: Microsoft / Windows 11

Этот процесс необходим для обеспечения безопасной работы приложений, особенно тех, которые могут запрашивать доступ к конфиденциальным данным. Без Runtime Broker приложения могли бы запрашивать и использовать системные ресурсы бесконтрольно, что увеличивало бы риски утечек данных или эксплуатации уязвимостей. Таким образом, Runtime Broker выступает как посредник между приложениями и системой, предотвращая потенциальные нарушения безопасности.

В случае, если Runtime Broker потребляет много ресурсов, это может указывать на проблемы с конкретными приложениями, а не с самим процессом.

Можно ли отключить Runtime Broker?

Так как это системный процесс, то его отключение или завершение не рекомендуется. Runtime Broke выполняет важные функции по управлению безопасностью и контролю разрешений приложений в Windows. Однако если этот процесс вызывает чрезмерное использование ресурсов (например, процессора или оперативной памяти), есть несколько способов справиться с проблемой, не отключая его полностью.

Технически, вы можете завершить процесс Runtime Broker через Диспетчер задач, но это решение временное. Процесс автоматически перезапустится при следующем запуске UWP-приложений или при взаимодействии системы с ними. Закрытие процесса не приведет к каким-либо серьезным последствиям, но может вызвать нестабильную работу приложений, которые управляются этим процессом.

Как снизить нагрузку на ЦП?

Источник: CQ / Windows 11

  • Отключите фоновые приложения. Переход в «Параметры» → «Конфиденциальность» → «Фоновые приложения» и отключение ненужных приложений может уменьшить активность Runtime Broker;
  • Отключите уведомления и советы системы. Параметры Windows могут предоставлять уведомления или советы, которые активируют Runtime Broker. Для отключения этого перейдите в «Параметры» → «Система» → «Уведомления и действия» и уберите галочку с пункта «Получать советы, подсказки и рекомендации при использовании Windows»;
  • Проверьте приложения. Иногда сторонние приложения могут вызывать чрезмерную активность Runtime Broker. Если проблема сохраняется, попробуйте отключить или удалить недавно установленные приложения, чтобы выявить причину.

Лучше искать решение, уменьшающее активность процесса, чем пытаться полностью отключить его.

Можно ли отключить Runtime Broker через реестр?

Источник: Microsoft / Ошибка Runtime Broker после редактуры реестра

Это правда. Однако отключать Runtime Broker через реестр — это не только плохая идея, но и потенциально опасное вмешательство в работу операционной системы. Почему?

  • Runtime Broker — ключевой системный процесс;
  • Многие современные UWP-приложения (из Microsoft Store) полагаются на Runtime Broker для безопасного выполнения своих задач. Если вы отключите этот процесс, приложения могут работать некорректно или не запускаться вовсе;
  • Runtime Broker отвечает за изоляцию приложений и предотвращает выполнение непроверенных действий. Отключение этого процесса фактически убирает один из важных уровней защиты Windows, который контролирует разрешения приложений;
  • В нормальных условиях Runtime Broker потребляет очень мало ресурсов;
  • Изменение реестра всегда связано с риском повреждения системы;
  • Runtime Broker автоматически восстанавливается.

Как понять, что под видом Runtime Broker скрывается вирус?

Взломщики любят прятать свои вирусы под видом Runtime Broker. Важно уметь отличить настоящий процесс от вируса или нежелательной программы. Вот несколько ключевых признаков, которые могут указывать на то, что под видом Runtime Broker скрывается вирус:

Необычно высокая нагрузка на систему

Runtime Broker обычно потребляет минимальное количество ресурсов (несколько мегабайт оперативной памяти и 0% использования процессора в фоновом режиме). Если вы заметили, что процесс стабильно использует много процессорных ресурсов (например, более 15-20%) или большое количество оперативной памяти (свыше 100-200 МБ), это может быть сигналом о наличии вредоносного ПО.

Местоположение файла

Настоящий файл RuntimeBroker.exe должен находиться в системной папке Windows: C:\Windows\System32. Если процесс Runtime Broker в Диспетчере задач ссылается на другой путь, это может быть подозрительным признаком. 

Источник: CQ / Windows 11

  • Чтобы проверить местоположение, можно в Диспетчере задач щелкнуть правой кнопкой на процесс Runtime Broker и выбрать «Открыть расположение файла». Если путь отличается от C:\Windows\System32, вероятно, это поддельный процесс.

Несколько процессов Runtime Broker

Обычно в системе активны от одного до трех процессов Runtime Broker, поскольку он запускается для управления UWP-приложениями. Если вы видите множество экземпляров этого процесса в Диспетчере задач, это может быть признаком вредоносной активности.

Системные оповещения или антивирусные предупреждения

Если антивирусное ПО периодически сообщает о подозрительной активности или угрозах, связанных с Runtime Broker, это может быть поводом для дополнительной проверки. Всегда рекомендуется держать антивирусные базы данных в актуальном состоянии и регулярно сканировать систему на наличие угроз.

Неправильное имя процесса

Обратите внимание на название процесса. Вредоносные программы иногда используют слегка измененные имена системных процессов. Например, если процесс называется не RuntimeBroker.exe, а что-то похожее (например, RuntimeBrokr.exe), это может быть явным признаком вируса.

Как проверить подлинность процесса Runtime Broker

Источник: CQ / Windows 11

  • Щелкните правой кнопкой мыши по процессу в Диспетчере задач, выберите «Свойства», затем перейдите на вкладку «Цифровые подписи». Настоящий файл RuntimeBroker.exe будет подписан корпорацией Microsoft. Если подписи нет или она отличается, это может быть фальшивка.

Источник: CQ / Windows 11

Запустите полное сканирование вашей системы с помощью вашего антивирусного ПО или специализированных антивирусных инструментов, таких как Microsoft Defender, Malwarebytes или других программ для поиска вредоносных программ.

Что делать, если подозреваете вирус под видом Runtime Broker

Источник: Microsoft / Пример вируса Runtime Broker

  • Проверьте местоположение файла и подпись, как описано выше; 
  • Если файл вызывает подозрения, проведите полное сканирование антивирусом;
  • В случае подтверждения вредоносности, следуйте инструкциям антивирусного ПО для удаления или поместите файл в карантин.

Заглавное фото: MakeUseOf