[討論] 勒索病毒的手動抵抗方法
https://goo.gl/IclVFj
https://www.facebook.com/permalink.php?story_fbid=10209215541764937&id=1212795524
關於勒索病毒的工作模式
我想了一下後
歸納出了他的工作模式 以及手動抵禦方法
根據WINDOWS的執行特性
絕大多數的常駐病毒 都是以SYSTEM身分在執行的 (雖然存在以使用者運行的方法)
除非病毒是經由使用者人工(手賤)開啟的
而SYSTEM是個特殊的使用者角色
用來表示WINDOWS OS本身在運行時執行的身分
凡舉自動更新到系統記錄 任何不經過人手就會自動執行的行為都屬於SYSTEM
而人類使用者的手動操作行為
無論是在執行什麼操作
都必然是以[使用者本人]的名義在進行的 絕對不會有例外
因此
從這一點可以非常明確的區分 病毒(SYSTEM)與使用者間的操作行為
一般來說 SYSTEM的自動操作行為中
除了防毒會四處亂跑以外 其餘多半僅會局限於系統碟內
所以 選擇一個專門用於資料用的磁區
把NTFS安全性選項中的"修改"權限給抹除掉
(NTFS的安全性進階權限中 包含非常細膩的存取操作
主要分別包含 讀取 新增 追加 修改 刪除 )
勒索軟體的工作模式無非就是
以SYSTEM身分在背景自動執行
先檢索整個硬碟 當發現到目標檔案時 製作一份加密檔 然後再刪除舊有檔案
因此
若移除SYSTEM對資料區的修改與刪除檔案的權限的話
那麼病毒就無法破壞現有檔案
但是 系統讀取/執行檔案等等的基本功能依然存在
雖然防護範圍僅限於資料碟
系統碟的檔案仍然會受損 不過這點小事只要重灌就好
或著是 移除SYSTEM對目錄瀏覽的權限的話 病毒就無法搜尋資料區的檔案
既然無法搜尋 就無法刪除
除非直接傳入PATH
當然 這部分行為還要考量一下
系統到底會不會有檢索目錄的需要
目前已知 防毒軟體以及"自動排程" 都會以SYSTEM的身分四處週遊檔案
除此之外 絕大多數的系統操作 都不應涉入到資料區內
雖然這樣的動作 會導致系統防毒軟體在工作時
無法刪除資料區的病毒檔案(更多時候是序號機&破解檔)
不過相較於文件損毀的成本之下 這完全不是大問題
而且 病毒並不流行隱藏在資料區中
病毒最喜歡藏匿的地方在WINDOWS system32 helps目錄中
所以 這個方案可以非常有效的抵禦對於勒索病毒的竄改攻擊
當然 資料碟請就保持資料乾淨
不要把一些系統性檔案 例如分頁檔(pagefile)給丟進去
這樣會讓系統非常困擾的
-
未來如果要防止這類病毒攻擊
就必須根本之道的 縮限SYSTEM的自動執行權限
讓SYSTEM 不應該在系統碟以外的地方四處遊蕩
SYSTEM 本來就只是用來運作WINDOWS用的角色
所以本來就不應該也沒必要踏入資料區內
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.72.102
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1494705139.A.45D.html
推
05/14 08:49, , 1F
05/14 08:49, 1F
推
05/14 08:54, , 2F
05/14 08:54, 2F
推
05/14 09:20, , 3F
05/14 09:20, 3F
→
05/14 09:20, , 4F
05/14 09:20, 4F
推
05/14 10:01, , 5F
05/14 10:01, 5F
推
05/14 13:00, , 6F
05/14 13:00, 6F
推
05/14 16:01, , 7F
05/14 16:01, 7F
→
05/14 19:36, , 8F
05/14 19:36, 8F
※ 編輯: JeremyJoung (118.163.72.102), 05/15/2017 02:30:00