Re: [問題] 關於勒索病毒的一點防治想法請教

看板AntiVirus作者 ((・ω・)ノ)時間8年前 (2016/06/05 19:43), 8年前編輯推噓8(8031)
留言39則, 8人參與, 最新討論串4/5 (看更多)
再推一下lmkkml大大介紹的第一個方法, 很好用,有效又方便。 ※ 引述《lmkkml (小羊~~~)》之銘言: : 這篇是我不久前在Mobile01 上面 PO的測試文章,在這邊先打預防針, : 測試結果不保證適用所有勒索病毒,不過我能拿到的勒索病毒無論新舊幾乎都全用上了: : [心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt) : http://tinyurl.com/gumkfnv : 以就算中毒,病毒也無法加密到非系統槽的重要檔案為目標, : 然後在這樣的前提下還要可以自在的寫入/讀取/搬移檔案, : 又不因為了預防勒索病毒而變得綁手綁腳。以下節錄幾個可行的方法: : 1.使用使用者帳戶:推薦指數 ★★★★★ : 具體做法為額外創建一個使用者帳戶, : 僅開放某磁碟機或特定資料夾之讀取權限給該使用者帳戶使用, : 這邊以磁碟機 F 槽為例,於 F 槽上按右鍵點選內容→安全性→編輯, : 進入變更權限視窗後→選取Authenticated Users→ : 取消寫入僅保留允許讀取相關的勾勾如下圖→按下「確定」。 : 日後操作電腦只登入使用者帳戶,而資料都放在磁碟機 F 槽底下; : 使用者帳戶若中毒,病毒也無法取得修改權限進行加密。 : 上述設定若順利完成,會發現若要在 F 槽新增或修改現有檔案時, : 會出現要求輸入管理員密碼的使用者帳戶控制彈窗, : (如果電腦只是個人使用,管理員帳戶不設密碼也無所謂) : 這時按下「是」即可在 F 槽新增或修改現有檔案。 : http://i.imgur.com/epcC9O6.png
如果你目前的帳戶已經是系統管理員,可以再新增一個系統管理員帳戶, 然後把目前的帳戶轉為一般使用者, 就可以改用一般使用者的身份登入目前的桌面,保留之前的設定。 有兩個以上的帳戶需要開機自動登入的話,按WIN+R鍵,輸入netplwiz按Enter, 取消打勾「必須輸入使用者名稱和密碼,才能使用這台電腦」, 選取要自動登入的帳戶按確定,然後輸入登入密碼, 不想設密碼的話就維持空白按確定關閉對話框, 這樣以後開機就會自動用一般使用者的帳戶登入Windows。 然後記得開啟UAC,這樣有程式要求系統管理員權限的時候就會自動通知, 沒有系統管理者權限就無法修改被保護的資料夾。 另外有一些可以將檔案、資料夾、整個磁碟機上鎖保護起來的軟體, 例如Secure Folders、Easy File Locker等等, Secure Folders(已經不再更新,原網站已消滅,務必關閉軟體自動更新功能 ) http://www.softpedia.com/get/Security/Security-Related/Secure-Folders.shtml Easy File Locker(Shadow Defender的作者寫的) http://www.xoslab.com/efl.html 其他還有很多類似的軟體。 這些軟體在系統核心安裝驅動過濾讀寫的要求+使用系統存取控制清單, 來限制受保護的資料夾只允許白名單內的程式存取和修改。 如果程式不在白名單內,即使是系統管理員權限也無法存取和修改這些資料夾, 所以即使不幸遇到零時差的提權漏洞攻擊,讓惡意程式取得系統管理員權限, 它還是無法修改這些受保護的資料夾。 不過有一個很大的問題是,一般人會放行檔案總管explorer.exe為白名單程式, 這樣才能對這些資料夾進行檔案管理,但是explorer.exe經常被惡意程式利用, 所以放行explorer.exe便無法保護這些資料夾不被惡意程式修改, 例如CTB-Locker就可以透過explorer.exe加密受保護的資料夾。 所以如果你有使用另外的檔案管理軟體,例如Xplorer2、FreeCommander等等, 就可以不用放行explorer.exe。 或者是你有用其他保護軟體保護explorer.exe, 禁止其他程式注入和修改explorer.exe, 那麼才可以把explorer.exe放進白名單裡。 第二個問題是這些軟體都無法阻擋直接底層磁碟的操作, 例如用WinHex直接編輯磁區就可以繞過ACLs的保護, 如果有加密勒索軟體使用直接底層讀寫, 那麼這些依於檔案系統的存取控制就無法發揮作用。 所以Easy File Locker(Shadow Defender的作者)有說 Easy File Locker不保證能夠防護所有加密勒索軟體。 另外Secure Folders也不能防護從網路磁碟進來的存取。 所以這些軟體可以提供相當程度的保護, 不過還是不能保證可以100%防禦。 如果使用沙盤的話,沙盤也不能保證100%, 不過它有多加一些限制,理論上會再更安全一點。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.46 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465127023.A.96E.html
06/05 19:53, , 1F
要小心不要為了找xplorer2的盜版就又中勒索病毒了
06/05 19:53, 1F
06/05 19:54, , 2F
第一次看到有白名單程式才能擷取目錄的軟體 有創意
06/05 19:54, 2F
06/05 19:56, , 3F
給推
06/05 19:56, 3F
06/05 20:09, , 4F
請問不開刪除權限是不是就可以預防了呢?
06/05 20:09, 4F
06/05 20:20, , 5F
他可以寫入完改名啊,完全沒有刪除任何東西
06/05 20:20, 5F
06/05 21:20, , 6F
請問用之前版友寫的監控!test資料夾內的檔案是否有效?
06/05 21:20, 6F
06/05 21:25, , 7F
想請教己經中毒但還有尚未被加密的檔案想用lmkkml大大介
06/05 21:25, 7F
06/05 21:25, , 8F
介紹的第一個方法後再移到隨身硬碟是不是就可以救這些檔
06/05 21:25, 8F
06/05 21:32, , 9F
第一個方法是中毒前的防禦 已經被加密的檔案就無救
06/05 21:32, 9F
06/05 21:32, , 10F
未被加密的檔案可以用另一個系統(例如救援光碟)把檔案copy
06/05 21:32, 10F
06/05 21:32, , 11F
出來
06/05 21:32, 11F
06/05 21:32, , 12F
我還沒有中過勒索軟體 不知道用監控的方法有沒有效
06/05 21:32, 12F
06/05 21:33, , 13F
另外存取控制我是設為只能讀取 不能刪除也不能寫入修改檔
06/05 21:33, 13F
06/05 21:33, , 14F
06/05 21:33, 14F
06/05 21:33, , 15F
譬如說放MP3的資料夾 所有軟體都可以讀取裡面的資料
06/05 21:33, 15F
06/05 21:33, , 16F
但是只有檔案管理軟體 轉檔播放軟體(foobar2000) 解壓縮軟
06/05 21:33, 16F
06/05 21:34, , 17F
06/05 21:34, 17F
06/05 21:34, , 18F
可以修改MP3資料夾裡面的檔名、TAG以及寫入新的檔案
06/05 21:34, 18F
06/05 21:34, , 19F
而Secure Folders對勒索軟體測試是有效的 影片
06/05 21:34, 19F
06/05 21:34, , 20F
06/05 21:34, 20F
06/05 21:34, , 21F
注意影片裡白名單程式沒有explorer.exe所以才能成功防禦
06/05 21:34, 21F
06/05 21:34, , 22F
如果有放行explorer.exe就會被加密!
06/05 21:34, 22F
06/05 21:34, , 23F
Secure Folders還有兩個EFL沒有的功能
06/05 21:34, 23F
06/05 21:35, , 24F
一個是它可以設定資料夾禁止執行
06/05 21:35, 24F
06/05 21:35, , 25F
也就在這個資料夾底下的執行檔都不能被啟動執行(anti-exe)
06/05 21:35, 25F
06/05 21:35, , 26F
另一個是它可以直接指定附檔名 例如設定*.mp3只能讀取
06/05 21:35, 26F
06/05 21:35, , 27F
這樣全系統所有磁碟機的.mp3都只能被讀取
06/05 21:35, 27F
06/05 21:35, , 28F
只有白名單的程式可以修改和刪除
06/05 21:35, 28F
06/05 23:26, , 29F
其實我先前寫的內容好像都沒有一次寫齊全過,麻友友大大果
06/05 23:26, 29F
06/05 23:26, , 30F
然厲害一看就知道我那個作法最關鍵的地方就是 UAC(有時
06/05 23:26, 30F
06/05 23:26, , 31F
間再來補齊這一部分)。另外認同沒有 100% 的防禦,就算是
06/05 23:26, 31F
06/05 23:26, , 32F
離線備份應該是大家最認可的最終手段,也都還存在著空窗
06/05 23:26, 32F
06/05 23:26, , 33F
期(除非能做到每日或每周離線備份)。我想只要是符合安
06/05 23:26, 33F
06/05 23:26, , 34F
全又不失便利,藉由一些軟體(Sandboxie 等麻友友大文中
06/05 23:26, 34F
06/05 23:26, , 35F
提到的軟體)或任何手段來效彌補離線備份的空窗期都蠻不
06/05 23:26, 35F
06/05 23:26, , 36F
錯的。
06/05 23:26, 36F
06/06 10:45, , 37F
請問lmkkml大的第一種方式與新增一個使用者是並用還是擇一呢
06/06 10:45, 37F
06/06 11:31, , 38F
把自己降為使用者保留目前狀態比較方便,自己開一個使用
06/06 11:31, 38F
06/06 11:31, , 39F
者來用等於嶄新的開始,二選一。
06/06 11:31, 39F
lmkkml大的方法是我看過最好用的,既簡單又方便, 又不用安裝額外的軟體,而且對現在的勒索軟體都有防禦效果, 覺得好可惜這個方法好像很少人看到,很少人用, 所以借引言回覆讓大家再看一下,真的非常推薦這個方法, 大家可以試試看。 還有我看到一些新聞報導,說這次的UltraCrypter(.cryp1)病毒, 也是感染後在 %AppData% 或 %LocalAppData% 資料夾底下, 釋放名稱亂數生成的.exe,接著執行掃描全機可存取的磁碟, 並且進行檔案加密。 所以我們可以運用群組原則編輯器(gpedit.msc)新增規則, 禁止在 %AppData% 或者 %LocalAppData% 兩個資料夾底下啟動程式, 因為很多木馬如果有執行檔的話經常會放在這個地方, 所以封鎖這個地方的執行檔啟動會具有一些保護效果。 也可以用禁止程式執行(anti-exe)的軟體, 例如Secure Folders同時有anti-exe的功能,把 C:\Users\使用者名稱\AppData\Roaming\ C:\Users\使用者名稱\AppData\Local\ 這兩個資料夾加入保護設為「No-execution」, 這樣放在這個資料夾下的可執行檔木馬就無法啟動。 不過要注意的還是白名單程式, 如果白名單程式被利用去呼叫啟動這些資料夾底下的執行檔, 這些執行檔還是可以執行成功的, 所以選擇放在白名單裡的程式的時候一定要非常小心。 ※ 編輯: mayuyu (61.219.36.46), 06/06/2016 12:44:24
更多 mayuyu 的文章
文章代碼(AID): #1NL11lbk (AntiVirus)
討論串 (同標題文章)
本文引述了以下文章的的內容:
以下文章回應了本文
完整討論串 (本文為第 4 之 5 篇):
排序: 最舊先 | 最新先 | 留言數
在新視窗開啟完整討論串 (共5篇)
更多 mayuyu 的文章
文章代碼(AID): #1NL11lbk (AntiVirus)