这篇是我不久前在Mobile01 上面 PO的测试文章,在这边先打预防针,
测试结果不保证适用所有勒索病毒,不过我能拿到的勒索病毒无论新旧几乎都全用上了:
[心得]勒索病毒预防和救援简单测试(CryptXXX、CERBER、LOCKY、TeslaCrypt)
http://tinyurl.com/gumkfnv
以就算中毒,病毒也无法加密到非系统槽的重要档案为目标,
然后在这样的前提下还要可以自在的写入/读取/搬移档案,
又不因为了预防勒索病毒而变得绑手绑脚。以下节录几个可行的方法:
1.使用使用者帐户:推荐指数 ★★★★★
具体做法为额外创建一个使用者帐户,
仅开放某磁盘机或特定资料夹之读取权限给该使用者帐户使用,
这边以磁盘机 F 槽为例,于 F 槽上按右键点选内容→安全性→编辑,
进入变更权限视窗后→选取Authenticated Users→
取消写入仅保留允许读取相关的勾勾如下图→按下“确定”。
日后操作电脑只登入使用者帐户,而资料都放在磁盘机 F 槽底下;
使用者帐户若中毒,病毒也无法取得修改权限进行加密。
上述设定若顺利完成,会发现若要在 F 槽新增或修改现有档案时,
会出现要求输入管理员密码的使用者帐户控制弹窗,
(如果电脑只是个人使用,管理员帐户不设密码也无所谓)
这时按下“是”即可在 F 槽新增或修改现有档案。
http://i.imgur.com/epcC9O6.png
2.移除磁盘机代号:推荐指数 ★★★★☆
具体做法以磁盘机为单位,于开始功能键上按右键进入磁盘管理→
找到想要隐藏的磁盘区按右键→点选变更磁盘机代号及路径→按下“移除”,
当出现确认对话框之后→按下“是”。
如果磁盘机没有被分配到磁盘机代号,就等于没有了档案路径;
例如将 D 槽磁盘机代号移除,那么“D:\”路径便不可使用,
病毒自然也就无法加密“D:\”底下的任何档案。
若要使用该磁盘机,则开启磁盘管理→被移除代号的磁盘机上按右键点选内容→
安全性→将物件名称整段复制起来,接着使用“WIN键+R”叫出执行功能,
执行刚刚复制的物件名称内容即可开启磁盘机。
http://i.imgur.com/Ylc3oQV.png
※ 引述《nifa (没有人)》之铭言:
: 目前看到的勒索病毒都是在入侵后
: 把多媒体档文件档等改名加密锁死
: 所以突然有个想法想请教各位板友
: 一般来讲,它入侵后应该是先搜寻整个硬盘内的档案
: 然后针对以上类型的副档名进行全面加密
: 那如果,把系统碟(C槽)以外的其他硬盘(D槽E槽等)加上密码锁起来
: 也就是我们自己要用的时候再输入密码解锁
: 可能就是COPY重要资料到那颗硬盘里这样
: 然后用完就会自己锁起来
: 而平常没有在用的时候,其他硬盘是属于锁上的状态
: 那是不是可以防止在我们不知道的情况下(被偷偷入侵然后扫瞄等)
: 被窜改档案的机率?
: 会这样想是因为,一般我们各类型媒体档或文件通常不会放在系统槽
: 所以当我们要把档案copy到电脑中时一定是经过自己的动作来写入
: 那只有进行自己要的动作时才会解开硬盘
: 除此之外,也就是当我们并没有要对其他硬盘做写入动作时
: 其他硬盘基本上是密码锁起来的
: 而病毒入侵后,需要侦测档案类型并加密
: 因为入侵通常是从系统碟开始
: 这时因为其他硬盘锁住,而无法侦测并读取档案类型
: 那受到影响的就只会有系统槽的档案
: 换言之,当发现系统槽的档案被加密时
: 我最多只要把系统槽重灌,至少不会影响到其他硬盘中的档案
: 不知道这样的作法是否可以把受到病毒影响的范围缩到最小?
: 主要会这样想是因为,云端备份通常是一段时间备份一次
: 比较不会去做到随时随地备份
: 那中毒时很可能在上次备份到这次作业期间的档案就会全部被加密
: 但如果用硬盘上锁的方式,只有自己要写入时才解锁
: 这样也就是说,当我们每次写入完就会锁起来
: 对档案的防护是不是就会比较即时?至少只有系统碟会被影响到而已
: 当然,有些病毒并不是即时上锁
: 而是会先潜伏一阵子再进行破坏
: 像这种的,如果把上锁效果加以延伸
: 比如有程式可以针对所有多媒体档跟文件档加密
: 自己要变更时再解密
: 这样是否可以避免未经授权的加密动作去锁死档案?
: 再简单讲就是,自己先做加密,让病毒无法判定档案类型
: 进而让病毒无法针对档案加密。
: 以上纯属好奇,因为本身对这方面没有研究
: 所以好奇想请问板友不知这方法可行否?