Re: [問題] 關於勒索病毒的一點防治想法請教
再推一下lmkkml大大介紹的第一個方法,
很好用,有效又方便。
※ 引述《lmkkml (小羊~~~)》之銘言:
: 這篇是我不久前在Mobile01 上面 PO的測試文章,在這邊先打預防針,
: 測試結果不保證適用所有勒索病毒,不過我能拿到的勒索病毒無論新舊幾乎都全用上了:
: [心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)
: http://tinyurl.com/gumkfnv
: 以就算中毒,病毒也無法加密到非系統槽的重要檔案為目標,
: 然後在這樣的前提下還要可以自在的寫入/讀取/搬移檔案,
: 又不因為了預防勒索病毒而變得綁手綁腳。以下節錄幾個可行的方法:
: 1.使用使用者帳戶:推薦指數 ★★★★★
: 具體做法為額外創建一個使用者帳戶,
: 僅開放某磁碟機或特定資料夾之讀取權限給該使用者帳戶使用,
: 這邊以磁碟機 F 槽為例,於 F 槽上按右鍵點選內容→安全性→編輯,
: 進入變更權限視窗後→選取Authenticated Users→
: 取消寫入僅保留允許讀取相關的勾勾如下圖→按下「確定」。
: 日後操作電腦只登入使用者帳戶,而資料都放在磁碟機 F 槽底下;
: 使用者帳戶若中毒,病毒也無法取得修改權限進行加密。
: 上述設定若順利完成,會發現若要在 F 槽新增或修改現有檔案時,
: 會出現要求輸入管理員密碼的使用者帳戶控制彈窗,
: (如果電腦只是個人使用,管理員帳戶不設密碼也無所謂)
: 這時按下「是」即可在 F 槽新增或修改現有檔案。
: http://i.imgur.com/epcC9O6.png
如果你目前的帳戶已經是系統管理員,可以再新增一個系統管理員帳戶,
然後把目前的帳戶轉為一般使用者,
就可以改用一般使用者的身份登入目前的桌面,保留之前的設定。
有兩個以上的帳戶需要開機自動登入的話,按WIN+R鍵,輸入netplwiz按Enter,
取消打勾「必須輸入使用者名稱和密碼,才能使用這台電腦」,
選取要自動登入的帳戶按確定,然後輸入登入密碼,
不想設密碼的話就維持空白按確定關閉對話框,
這樣以後開機就會自動用一般使用者的帳戶登入Windows。
然後記得開啟UAC,這樣有程式要求系統管理員權限的時候就會自動通知,
沒有系統管理者權限就無法修改被保護的資料夾。
另外有一些可以將檔案、資料夾、整個磁碟機上鎖保護起來的軟體,
例如Secure Folders、Easy File Locker等等,
Secure Folders(已經不再更新,原網站已消滅,務必關閉軟體自動更新功能 )
http://www.softpedia.com/get/Security/Security-Related/Secure-Folders.shtml
Easy File Locker(Shadow Defender的作者寫的)
http://www.xoslab.com/efl.html
其他還有很多類似的軟體。
這些軟體在系統核心安裝驅動過濾讀寫的要求+使用系統存取控制清單,
來限制受保護的資料夾只允許白名單內的程式存取和修改。
如果程式不在白名單內,即使是系統管理員權限也無法存取和修改這些資料夾,
所以即使不幸遇到零時差的提權漏洞攻擊,讓惡意程式取得系統管理員權限,
它還是無法修改這些受保護的資料夾。
不過有一個很大的問題是,一般人會放行檔案總管explorer.exe為白名單程式,
這樣才能對這些資料夾進行檔案管理,但是explorer.exe經常被惡意程式利用,
所以放行explorer.exe便無法保護這些資料夾不被惡意程式修改,
例如CTB-Locker就可以透過explorer.exe加密受保護的資料夾。
所以如果你有使用另外的檔案管理軟體,例如Xplorer2、FreeCommander等等,
就可以不用放行explorer.exe。
或者是你有用其他保護軟體保護explorer.exe,
禁止其他程式注入和修改explorer.exe,
那麼才可以把explorer.exe放進白名單裡。
第二個問題是這些軟體都無法阻擋直接底層磁碟的操作,
例如用WinHex直接編輯磁區就可以繞過ACLs的保護,
如果有加密勒索軟體使用直接底層讀寫,
那麼這些依於檔案系統的存取控制就無法發揮作用。
所以Easy File Locker(Shadow Defender的作者)有說
Easy File Locker不保證能夠防護所有加密勒索軟體。
另外Secure Folders也不能防護從網路磁碟進來的存取。
所以這些軟體可以提供相當程度的保護,
不過還是不能保證可以100%防禦。
如果使用沙盤的話,沙盤也不能保證100%,
不過它有多加一些限制,理論上會再更安全一點。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.46
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465127023.A.96E.html
推
06/05 19:53, , 1F
06/05 19:53, 1F
→
06/05 19:54, , 2F
06/05 19:54, 2F
推
06/05 19:56, , 3F
06/05 19:56, 3F
推
06/05 20:09, , 4F
06/05 20:09, 4F
推
06/05 20:20, , 5F
06/05 20:20, 5F
推
06/05 21:20, , 6F
06/05 21:20, 6F
推
06/05 21:25, , 7F
06/05 21:25, 7F
→
06/05 21:25, , 8F
06/05 21:25, 8F
→
06/05 21:32, , 9F
06/05 21:32, 9F
→
06/05 21:32, , 10F
06/05 21:32, 10F
→
06/05 21:32, , 11F
06/05 21:32, 11F
→
06/05 21:32, , 12F
06/05 21:32, 12F
→
06/05 21:33, , 13F
06/05 21:33, 13F
→
06/05 21:33, , 14F
06/05 21:33, 14F
→
06/05 21:33, , 15F
06/05 21:33, 15F
→
06/05 21:33, , 16F
06/05 21:33, 16F
→
06/05 21:34, , 17F
06/05 21:34, 17F
→
06/05 21:34, , 18F
06/05 21:34, 18F
→
06/05 21:34, , 19F
06/05 21:34, 19F
→
06/05 21:34, , 20F
06/05 21:34, 20F
→
06/05 21:34, , 21F
06/05 21:34, 21F
→
06/05 21:34, , 22F
06/05 21:34, 22F
→
06/05 21:34, , 23F
06/05 21:34, 23F
→
06/05 21:35, , 24F
06/05 21:35, 24F
→
06/05 21:35, , 25F
06/05 21:35, 25F
→
06/05 21:35, , 26F
06/05 21:35, 26F
→
06/05 21:35, , 27F
06/05 21:35, 27F
→
06/05 21:35, , 28F
06/05 21:35, 28F
推
06/05 23:26, , 29F
06/05 23:26, 29F
→
06/05 23:26, , 30F
06/05 23:26, 30F
→
06/05 23:26, , 31F
06/05 23:26, 31F
→
06/05 23:26, , 32F
06/05 23:26, 32F
→
06/05 23:26, , 33F
06/05 23:26, 33F
→
06/05 23:26, , 34F
06/05 23:26, 34F
→
06/05 23:26, , 35F
06/05 23:26, 35F
→
06/05 23:26, , 36F
06/05 23:26, 36F
→
06/06 10:45, , 37F
06/06 10:45, 37F
推
06/06 11:31, , 38F
06/06 11:31, 38F
→
06/06 11:31, , 39F
06/06 11:31, 39F
lmkkml大的方法是我看過最好用的,既簡單又方便,
又不用安裝額外的軟體,而且對現在的勒索軟體都有防禦效果,
覺得好可惜這個方法好像很少人看到,很少人用,
所以借引言回覆讓大家再看一下,真的非常推薦這個方法,
大家可以試試看。
還有我看到一些新聞報導,說這次的UltraCrypter(.cryp1)病毒,
也是感染後在 %AppData% 或 %LocalAppData% 資料夾底下,
釋放名稱亂數生成的.exe,接著執行掃描全機可存取的磁碟,
並且進行檔案加密。
所以我們可以運用群組原則編輯器(gpedit.msc)新增規則,
禁止在 %AppData% 或者 %LocalAppData% 兩個資料夾底下啟動程式,
因為很多木馬如果有執行檔的話經常會放在這個地方,
所以封鎖這個地方的執行檔啟動會具有一些保護效果。
也可以用禁止程式執行(anti-exe)的軟體,
例如Secure Folders同時有anti-exe的功能,把
C:\Users\使用者名稱\AppData\Roaming\
C:\Users\使用者名稱\AppData\Local\
這兩個資料夾加入保護設為「No-execution」,
這樣放在這個資料夾下的可執行檔木馬就無法啟動。
不過要注意的還是白名單程式,
如果白名單程式被利用去呼叫啟動這些資料夾底下的執行檔,
這些執行檔還是可以執行成功的,
所以選擇放在白名單裡的程式的時候一定要非常小心。
※ 編輯: mayuyu (61.219.36.46), 06/06/2016 12:44:24
討論串 (同標題文章)