再推一下lmkkml大大介绍的第一个方法,
很好用,有效又方便。
※ 引述《lmkkml (小羊~~~)》之铭言:
: 这篇是我不久前在Mobile01 上面 PO的测试文章,在这边先打预防针,
: 测试结果不保证适用所有勒索病毒,不过我能拿到的勒索病毒无论新旧几乎都全用上了:
: [心得]勒索病毒预防和救援简单测试(CryptXXX、CERBER、LOCKY、TeslaCrypt)
: http://tinyurl.com/gumkfnv
: 以就算中毒,病毒也无法加密到非系统槽的重要档案为目标,
: 然后在这样的前提下还要可以自在的写入/读取/搬移档案,
: 又不因为了预防勒索病毒而变得绑手绑脚。以下节录几个可行的方法:
: 1.使用使用者帐户:推荐指数 ★★★★★
: 具体做法为额外创建一个使用者帐户,
: 仅开放某磁盘机或特定资料夹之读取权限给该使用者帐户使用,
: 这边以磁盘机 F 槽为例,于 F 槽上按右键点选内容→安全性→编辑,
: 进入变更权限视窗后→选取Authenticated Users→
: 取消写入仅保留允许读取相关的勾勾如下图→按下“确定”。
: 日后操作电脑只登入使用者帐户,而资料都放在磁盘机 F 槽底下;
: 使用者帐户若中毒,病毒也无法取得修改权限进行加密。
: 上述设定若顺利完成,会发现若要在 F 槽新增或修改现有档案时,
: 会出现要求输入管理员密码的使用者帐户控制弹窗,
: (如果电脑只是个人使用,管理员帐户不设密码也无所谓)
: 这时按下“是”即可在 F 槽新增或修改现有档案。
: http://i.imgur.com/epcC9O6.png
如果你目前的帐户已经是系统管理员,可以再新增一个系统管理员帐户,
然后把目前的帐户转为一般使用者,
就可以改用一般使用者的身份登入目前的桌面,保留之前的设定。
有两个以上的帐户需要开机自动登入的话,按WIN+R键,输入netplwiz按Enter,
取消打勾“必须输入使用者名称和密码,才能使用这台电脑”,
选取要自动登入的帐户按确定,然后输入登入密码,
不想设密码的话就维持空白按确定关闭对话框,
这样以后开机就会自动用一般使用者的帐户登入Windows。
然后记得开启UAC,这样有程式要求系统管理员权限的时候就会自动通知,
没有系统管理者权限就无法修改被保护的资料夹。
另外有一些可以将档案、资料夹、整个磁盘机上锁保护起来的软件,
例如Secure Folders、Easy File Locker等等,
Secure Folders(已经不再更新,原网站已消灭,务必关闭软件自动更新功能 )
http://www.softpedia.com/get/Security/Security-Related/Secure-Folders.shtml
Easy File Locker(Shadow Defender的作者写的)
http://www.xoslab.com/efl.html
其他还有很多类似的软件。
这些软件在系统核心安装驱动过滤读写的要求+使用系统存取控制清单,
来限制受保护的资料夹只允许白名单内的程式存取和修改。
如果程式不在白名单内,即使是系统管理员权限也无法存取和修改这些资料夹,
所以即使不幸遇到零时差的提权漏洞攻击,让恶意程式取得系统管理员权限,
它还是无法修改这些受保护的资料夹。
不过有一个很大的问题是,一般人会放行档案总管explorer.exe为白名单程式,
这样才能对这些资料夹进行档案管理,但是explorer.exe经常被恶意程式利用,
所以放行explorer.exe便无法保护这些资料夹不被恶意程式修改,
例如CTB-Locker就可以透过explorer.exe加密受保护的资料夹。
所以如果你有使用另外的档案管理软件,例如Xplorer2、FreeCommander等等,
就可以不用放行explorer.exe。
或者是你有用其他保护软件保护explorer.exe,
禁止其他程式注入和修改explorer.exe,
那么才可以把explorer.exe放进白名单里。
第二个问题是这些软件都无法阻挡直接底层磁盘的操作,
例如用WinHex直接编辑磁区就可以绕过ACLs的保护,
如果有加密勒索软件使用直接底层读写,
那么这些依于档案系统的存取控制就无法发挥作用。
所以Easy File Locker(Shadow Defender的作者)有说
Easy File Locker不保证能够防护所有加密勒索软件。
另外Secure Folders也不能防护从网络磁盘进来的存取。
所以这些软件可以提供相当程度的保护,
不过还是不能保证可以100%防御。
如果使用沙盘的话,沙盘也不能保证100%,
不过它有多加一些限制,理论上会再更安全一点。