Re: [問題] 關於勒索病毒的一點防治想法請教
這篇是我不久前在Mobile01 上面 PO的測試文章,在這邊先打預防針,
測試結果不保證適用所有勒索病毒,不過我能拿到的勒索病毒無論新舊幾乎都全用上了:
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)
http://tinyurl.com/gumkfnv
以就算中毒,病毒也無法加密到非系統槽的重要檔案為目標,
然後在這樣的前提下還要可以自在的寫入/讀取/搬移檔案,
又不因為了預防勒索病毒而變得綁手綁腳。以下節錄幾個可行的方法:
1.使用使用者帳戶:推薦指數 ★★★★★
具體做法為額外創建一個使用者帳戶,
僅開放某磁碟機或特定資料夾之讀取權限給該使用者帳戶使用,
這邊以磁碟機 F 槽為例,於 F 槽上按右鍵點選內容→安全性→編輯,
進入變更權限視窗後→選取Authenticated Users→
取消寫入僅保留允許讀取相關的勾勾如下圖→按下「確定」。
日後操作電腦只登入使用者帳戶,而資料都放在磁碟機 F 槽底下;
使用者帳戶若中毒,病毒也無法取得修改權限進行加密。
上述設定若順利完成,會發現若要在 F 槽新增或修改現有檔案時,
會出現要求輸入管理員密碼的使用者帳戶控制彈窗,
(如果電腦只是個人使用,管理員帳戶不設密碼也無所謂)
這時按下「是」即可在 F 槽新增或修改現有檔案。
http://i.imgur.com/epcC9O6.png
2.移除磁碟機代號:推薦指數 ★★★★☆
具體做法以磁碟機為單位,於開始功能鍵上按右鍵進入磁碟管理→
找到想要隱藏的磁碟區按右鍵→點選變更磁碟機代號及路徑→按下「移除」,
當出現確認對話框之後→按下「是」。
如果磁碟機沒有被分配到磁碟機代號,就等於沒有了檔案路徑;
例如將 D 槽磁碟機代號移除,那麼「D:\」路徑便不可使用,
病毒自然也就無法加密「D:\」底下的任何檔案。
若要使用該磁碟機,則開啟磁碟管理→被移除代號的磁碟機上按右鍵點選內容→
安全性→將物件名稱整段複製起來,接著使用「WIN鍵+R」叫出執行功能,
執行剛剛複製的物件名稱內容即可開啟磁碟機。
http://i.imgur.com/Ylc3oQV.png
※ 引述《nifa (沒有人)》之銘言:
: 目前看到的勒索病毒都是在入侵後
: 把多媒體檔文件檔等改名加密鎖死
: 所以突然有個想法想請教各位板友
: 一般來講,它入侵後應該是先搜尋整個硬碟內的檔案
: 然後針對以上類型的副檔名進行全面加密
: 那如果,把系統碟(C槽)以外的其他硬碟(D槽E槽等)加上密碼鎖起來
: 也就是我們自己要用的時候再輸入密碼解鎖
: 可能就是COPY重要資料到那顆硬碟裡這樣
: 然後用完就會自己鎖起來
: 而平常沒有在用的時候,其他硬碟是屬於鎖上的狀態
: 那是不是可以防止在我們不知道的情況下(被偷偷入侵然後掃瞄等)
: 被竄改檔案的機率?
: 會這樣想是因為,一般我們各類型媒體檔或文件通常不會放在系統槽
: 所以當我們要把檔案copy到電腦中時一定是經過自己的動作來寫入
: 那只有進行自己要的動作時才會解開硬碟
: 除此之外,也就是當我們並沒有要對其他硬碟做寫入動作時
: 其他硬碟基本上是密碼鎖起來的
: 而病毒入侵後,需要偵測檔案類型並加密
: 因為入侵通常是從系統碟開始
: 這時因為其他硬碟鎖住,而無法偵測並讀取檔案類型
: 那受到影響的就只會有系統槽的檔案
: 換言之,當發現系統槽的檔案被加密時
: 我最多只要把系統槽重灌,至少不會影響到其他硬碟中的檔案
: 不知道這樣的作法是否可以把受到病毒影響的範圍縮到最小?
: 主要會這樣想是因為,雲端備份通常是一段時間備份一次
: 比較不會去做到隨時隨地備份
: 那中毒時很可能在上次備份到這次作業期間的檔案就會全部被加密
: 但如果用硬碟上鎖的方式,只有自己要寫入時才解鎖
: 這樣也就是說,當我們每次寫入完就會鎖起來
: 對檔案的防護是不是就會比較即時?至少只有系統碟會被影響到而已
: 當然,有些病毒並不是即時上鎖
: 而是會先潛伏一陣子再進行破壞
: 像這種的,如果把上鎖效果加以延伸
: 比如有程式可以針對所有多媒體檔跟文件檔加密
: 自己要變更時再解密
: 這樣是否可以避免未經授權的加密動作去鎖死檔案?
: 再簡單講就是,自己先做加密,讓病毒無法判定檔案類型
: 進而讓病毒無法針對檔案加密。
: 以上純屬好奇,因為本身對這方面沒有研究
: 所以好奇想請問板友不知這方法可行否?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.17.112
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1461847912.A.603.html
推
04/28 22:17, , 1F
04/28 22:17, 1F
→
04/28 22:17, , 2F
04/28 22:17, 2F
→
04/28 22:17, , 3F
04/28 22:17, 3F
→
04/28 22:18, , 4F
04/28 22:18, 4F
→
04/28 22:18, , 5F
04/28 22:18, 5F
→
04/28 22:19, , 6F
04/28 22:19, 6F
→
04/28 22:19, , 7F
04/28 22:19, 7F
→
04/28 22:19, , 8F
04/28 22:19, 8F
→
04/28 22:19, , 9F
04/28 22:19, 9F
→
04/28 22:19, , 10F
04/28 22:19, 10F
→
04/28 22:20, , 11F
04/28 22:20, 11F
→
04/28 22:20, , 12F
04/28 22:20, 12F
→
04/28 22:20, , 13F
04/28 22:20, 13F
→
04/28 22:20, , 14F
04/28 22:20, 14F
推
04/28 22:50, , 15F
04/28 22:50, 15F
→
04/28 22:50, , 16F
04/28 22:50, 16F
→
04/28 22:50, , 17F
04/28 22:50, 17F
→
04/28 22:50, , 18F
04/28 22:50, 18F
→
04/28 22:51, , 19F
04/28 22:51, 19F
→
04/28 22:51, , 20F
04/28 22:51, 20F
→
04/28 22:51, , 21F
04/28 22:51, 21F
→
04/28 22:51, , 22F
04/28 22:51, 22F
→
04/28 22:52, , 23F
04/28 22:52, 23F
推
04/28 23:28, , 24F
04/28 23:28, 24F
推
04/29 00:46, , 25F
04/29 00:46, 25F
推
04/29 11:28, , 26F
04/29 11:28, 26F
→
04/29 12:09, , 27F
04/29 12:09, 27F
→
04/29 12:09, , 28F
04/29 12:09, 28F
→
04/29 12:09, , 29F
04/29 12:09, 29F
→
04/29 12:10, , 30F
04/29 12:10, 30F
→
04/29 12:10, , 31F
04/29 12:10, 31F
→
04/29 12:10, , 32F
04/29 12:10, 32F
→
04/29 12:10, , 33F
04/29 12:10, 33F
→
04/29 12:11, , 34F
04/29 12:11, 34F
→
04/29 12:11, , 35F
04/29 12:11, 35F
→
04/29 12:11, , 36F
04/29 12:11, 36F
→
04/29 12:11, , 37F
04/29 12:11, 37F
→
04/29 12:12, , 38F
04/29 12:12, 38F
→
04/29 12:12, , 39F
04/29 12:12, 39F
→
04/29 12:12, , 40F
04/29 12:12, 40F
→
04/29 12:12, , 41F
04/29 12:12, 41F
→
04/29 12:13, , 42F
04/29 12:13, 42F
→
04/30 10:39, , 43F
04/30 10:39, 43F
→
04/30 10:39, , 44F
04/30 10:39, 44F
推
04/30 10:54, , 45F
04/30 10:54, 45F
→
05/04 13:49, , 46F
05/04 13:49, 46F
推
05/04 14:58, , 47F
05/04 14:58, 47F
推
06/06 10:44, , 48F
06/06 10:44, 48F
→
06/06 10:45, , 49F
06/06 10:45, 49F
→
06/09 13:25, , 50F
06/09 13:25, 50F
討論串 (同標題文章)
