我想说一下使用者帐户控制UAC的部分,“病毒加密行为这个动作并不会触发使用者帐户
控制(UAC)”,但是“要删除磁区阴影复制会触发 UAC”。
一般勒索病毒做的事几乎都一样,加密档案→删除档案。这也是为什么一般硬盘救援或
Windows 内建的系统还原(系统保护)有机会救回档案(这边指的是被删除的档案,而不
是被加密的档案)的原因。病毒作者当然不乐见这种事发生,因此病毒通常会多加上一个
删除 Windows 磁区阴影复制的功能,删掉了阴影复制之前建立的系统还原也就废了。
所以总结上述两段话,勒索病毒执行后简单分大概就三种常见情形:
1. 不删阴影复制→ UAC 没反应→ 加密
2. 删除阴影复制→ UAC 询问视窗(是→ 被删、否→ 保留)→ 加密
3. 删除阴影复制+加密→ UAC 询问视窗(是→ 被删且加密、否→ 病毒就不运行)。
※ 引述《squareneo (透)》之铭言:
: 到目前为止中毒的方式千百种,因为大家使用网络习惯也千百种
: 想大家来讨论自己没中奖的方式,来防范与当作一个好习惯
: 1.有没有使用"防毒软件"依旧还中毒的,
: 如果是为了下载软件,影片而关闭防毒的范例不算。
: 卡巴用起来防护不错,有人因此还中毒吗?
: 2.云端导致中毒吗?
: Ex:dropbox(或google)与朋友共用的资料夹,别人电脑中毒,紧接着同步?
: dropbox主机也中毒?
: 3.局域网路关闭共用,是避免中毒的暂时防治方式
: 4.ie关闭自动确定功能,或是系统升级win10并且使用正版
: 5.控制台-变更使用者帐户控制设定-调整为高
: 大家能提供更好的防范方式与建议吗?