[心得] 预防勒索病毒方法试作
楼主: lmkkml (小羊~~~) 2016-06-07 22:51:11
更新1:抱歉!因考虑不周,请大家不要再尝试使用这个方法。已经使用的人,请先将 D
槽等所有非系统槽中的“Administrators”勾选完全控制后,再一步步尽可能恢复原状。
因为有版友测试当删除 D 槽档案之后,该档案并不会出现在垃圾桶里;为避免有人因此误
删档案,所以在这边请大家不要再去尝试使用这个方法,非常抱歉。
更新2:经回报,上述情形删除的档案会跑到该管理员帐户底下,登入该帐户,垃圾桶就可
以看得到被删除档案。但还是请大家不要再尝试这个方法,毕竟还不够成熟,也给目前带
来困扰的版友说声抱歉。
先说一下这个方法的适用情况,我想要做到的效果是利用权限控制的方式让 D 槽、E 槽等
拿来存放重要档案的非系统槽即使在勒索病毒执行后(无论病毒有没有拿到系统管理者的
权限),里面的档案也可以安然无恙。此方法切勿拿来设定 C 槽系统槽。
总共需要三个帐户,一个标准使用者帐户(把自己当下使用的管理员帐户转为使用者帐户
即可,但这个步骤最好留在最后再做,因为过程中会不断需要管理员权限,最后做可以避
免大量的 UAC 弹窗,这边先提只是方便讲解)、两个管理员帐户(新增两个管理员帐户,
名称可以不要像我下图取得那样中二,但方便自己分辨两帐户即可,这两个帐户我重头到
尾都没真正进去过,也就是单纯制造两个额外帐户出来而已)。
![]()
操作到这里我们有了三个管理员帐户。接着是非系统槽权限设定的部分,这边以 F 槽为例
,于 F 槽上按右键进入“安全性”应该会如下图,这是最原始还没任何设定过的样子:
![]()
里面看到有四个权限群组,首先按“编辑”→“新增”→“进阶”→“立即寻找”找到要
拿来存放档案的管理者帐户(管理员B-若要存放档案按这里)→“确定”
![]()
然后将(管理员B-若要存放档案按这里)勾选给它拥有“完全控制”的权限,如下图:
![]()
再来点选“Authenticated Users”把允许“写入”的勾勾取消掉,变成这样:
![]()
最后点选“Administrators”把允许“写入”的勾勾取消掉,最终的样子会如下图,到这
边权限部分就算全部设定完成了:
![]()
接着到这里才把自己正在使用的帐户降为标准使用者帐户。这边说明一个额外会遇到的问
题,我们有了一个使用者帐户、两个管理员帐户总共三帐户要怎么设定才能让电脑一开机
就自动登入我们的要的使用者帐户呢?请参考下面联强网页的说明:
http://tinyurl.com/hqaxazz
这样就设定完成了,这个时候如果我们要放东西进去 F 槽,会跳出一个询问视窗如下图,
就类似磁盘机加密软件一样,输入密码才可以进入,要存放东西就选择(管理员B-若要存
放档案按这里),因为只有(管理员B)对这个槽区拥有完全控制的权限;若要读取的话,
则是完全不受影响的喔:
![]()
全讲完了,不过好像都没有提到(管理员A),其实平常除了放东西进去 F 槽之外都是按
上方的(管理员A),包括不小心遇到勒索病毒的时候。我测试了 Cerber、TeslaCrypt、C
ryptXXX(.crypt)、UltraCrypter(.cryp1, crypz)、Crypt0L0cker(.encrypted)、E
ncryptor RaaS 这几种病毒,只要 UAC 弹出时不去手残按到(管理员B),非系统槽的档
案都不会有事。当然这边可以再加个避免手残的小技巧,就是给(管理员B)设一组简单密
码,(管理员A)维持不设密码。
补充1:如果 D 槽存有大量日后需要修改的文件档(word, excel...等),就请不要使用
这个方法囉。因为如果要编辑修改的话,可能还要把文件拉回桌面,修改完再放回 D 槽覆
盖,或右键以管理员帐户执行程式,再开启旧档选 D 槽的该文件方能编辑,非常麻烦。
补充2:切记如果将来要重灌电脑重灌 C 槽,一定要先把 D 槽的权限恢复原状。首先要把
“Administrators”勾选完全控制,让“Administrators”成为最高管理者,最后再把新
增的(管理员B)移除掉。这样才可以避免 D 槽档案的拥有者变成无主孤魂。
槽等所有非系统槽中的“Administrators”勾选完全控制后,再一步步尽可能恢复原状。
因为有版友测试当删除 D 槽档案之后,该档案并不会出现在垃圾桶里;为避免有人因此误
删档案,所以在这边请大家不要再去尝试使用这个方法,非常抱歉。
更新2:经回报,上述情形删除的档案会跑到该管理员帐户底下,登入该帐户,垃圾桶就可
以看得到被删除档案。但还是请大家不要再尝试这个方法,毕竟还不够成熟,也给目前带
来困扰的版友说声抱歉。
先说一下这个方法的适用情况,我想要做到的效果是利用权限控制的方式让 D 槽、E 槽等
拿来存放重要档案的非系统槽即使在勒索病毒执行后(无论病毒有没有拿到系统管理者的
权限),里面的档案也可以安然无恙。此方法切勿拿来设定 C 槽系统槽。
总共需要三个帐户,一个标准使用者帐户(把自己当下使用的管理员帐户转为使用者帐户
即可,但这个步骤最好留在最后再做,因为过程中会不断需要管理员权限,最后做可以避
免大量的 UAC 弹窗,这边先提只是方便讲解)、两个管理员帐户(新增两个管理员帐户,
名称可以不要像我下图取得那样中二,但方便自己分辨两帐户即可,这两个帐户我重头到
尾都没真正进去过,也就是单纯制造两个额外帐户出来而已)。
操作到这里我们有了三个管理员帐户。接着是非系统槽权限设定的部分,这边以 F 槽为例
,于 F 槽上按右键进入“安全性”应该会如下图,这是最原始还没任何设定过的样子:
里面看到有四个权限群组,首先按“编辑”→“新增”→“进阶”→“立即寻找”找到要
拿来存放档案的管理者帐户(管理员B-若要存放档案按这里)→“确定”
然后将(管理员B-若要存放档案按这里)勾选给它拥有“完全控制”的权限,如下图:
再来点选“Authenticated Users”把允许“写入”的勾勾取消掉,变成这样:
最后点选“Administrators”把允许“写入”的勾勾取消掉,最终的样子会如下图,到这
边权限部分就算全部设定完成了:
接着到这里才把自己正在使用的帐户降为标准使用者帐户。这边说明一个额外会遇到的问
题,我们有了一个使用者帐户、两个管理员帐户总共三帐户要怎么设定才能让电脑一开机
就自动登入我们的要的使用者帐户呢?请参考下面联强网页的说明:
http://tinyurl.com/hqaxazz
这样就设定完成了,这个时候如果我们要放东西进去 F 槽,会跳出一个询问视窗如下图,
就类似磁盘机加密软件一样,输入密码才可以进入,要存放东西就选择(管理员B-若要存
放档案按这里),因为只有(管理员B)对这个槽区拥有完全控制的权限;若要读取的话,
则是完全不受影响的喔:
全讲完了,不过好像都没有提到(管理员A),其实平常除了放东西进去 F 槽之外都是按
上方的(管理员A),包括不小心遇到勒索病毒的时候。我测试了 Cerber、TeslaCrypt、C
ryptXXX(.crypt)、UltraCrypter(.cryp1, crypz)、Crypt0L0cker(.encrypted)、E
ncryptor RaaS 这几种病毒,只要 UAC 弹出时不去手残按到(管理员B),非系统槽的档
案都不会有事。当然这边可以再加个避免手残的小技巧,就是给(管理员B)设一组简单密
码,(管理员A)维持不设密码。
补充1:如果 D 槽存有大量日后需要修改的文件档(word, excel...等),就请不要使用
这个方法囉。因为如果要编辑修改的话,可能还要把文件拉回桌面,修改完再放回 D 槽覆
盖,或右键以管理员帐户执行程式,再开启旧档选 D 槽的该文件方能编辑,非常麻烦。
补充2:切记如果将来要重灌电脑重灌 C 槽,一定要先把 D 槽的权限恢复原状。首先要把
“Administrators”勾选完全控制,让“Administrators”成为最高管理者,最后再把新
增的(管理员B)移除掉。这样才可以避免 D 槽档案的拥有者变成无主孤魂。
作者: George017 (阿丙) 2016-06-07 23:20:00
谢谢提供方法,那把自己的帐户降阶跟改从一般帐户登入
作者: bcd91 (你的青春不复返) 2016-06-07 23:21:00
推推!
作者: George017 (阿丙) 2016-06-07 23:21:00
有差异吗?如把自己现有的Admin视为A,新开一个一般的视为本例中的原帐户管理员B的部份一样->以上配置跟你的方法有差异吗?
作者: go1717 (go一起一起当神) 2016-06-07 23:34:00
觉得这样是在搞自己 而且你确定这颗硬盘都不会坏? 还是离线备份最少2份比较实在至少还能防止硬盘整个挂掉^^
作者: esty (一輩ååšä½ 的門徒。) 2016-06-07 23:38:00
推 谢谢分享 感谢
作者: srewq (南瓜) 2016-06-08 00:06:00
推! 谢谢分享
作者: mayuyu ((・ω・)ノ) 2016-06-08 00:23:00
大推!我把没有权限的那个管理员A叫“鲁蛇”有权限的管理员B叫“温拿” 这样也许就不会按错了..
作者: abram (科科) 2016-06-08 00:25:00
推 看第一次还不懂 要多看几次才懂
作者: mayuyu ((・ω・)ノ) 2016-06-08 00:32:00
有些资料夹因为继承父物件的权限 所以方框变灰色无法修改在进阶里把继承权限移除转为明确权限就可以修改了
作者: l98 (寻找属于我的星星) 2016-06-08 01:21:00
不错的方法,但我刚才遇到的问题是要更新nvidia驱动时user群组不给更,有点小麻烦QQ
作者: mayuyu ((・ω・)ノ) 2016-06-08 23:40:00
有发现什么问题吗?
楼主: lmkkml (小羊~~~) 2016-06-08 23:44:00
刚刚有版友问 D 槽删除的东西去哪了,我找了好久QQ
作者: mayuyu ((・ω・)ノ) 2016-06-08 23:46:00
删除的东西?
楼主: lmkkml (小羊~~~) 2016-06-08 23:49:00
就是删除原本储放在D槽的档案,我本文前面更新了。
作者: mayuyu ((・ω・)ノ) 2016-06-09 10:20:00
喔喔 我看到前面的更新了 没办法因为不同使用者的空间以及桌面都是独立的 有一个同样用不同使用者策略来实现沙盘的软件叫做ReHIPS 一样会有这个现象 所以算是正常?只是ReHIPS有做了一个虚拟桌面 让我们可以快速切换不同使用者(沙盘)的桌面 手动的话就没有办法那么方便只好登入切换到不同使用者的桌面才能处理了
作者: cbate (自由是用钱买不到的) 2016-06-21 05:02:00
" target="_blank" rel="nofollow">继续阅读
[心得] 关于crypz勒索病毒的档案抢救办法wintericeRe: [问题] crypz是最新型的病毒吗?shadowkaiRe: [闲聊] 侦测目录异动关机程式(个人创作)bear118811Re: [闲聊] 侦测目录异动关机程式(个人创作)chinoyan[问题] YAHOO信箱自动转寄不明邮件MercuryK[闲聊] 侦测目录异动关机程式(个人创作)dennisxkimoRe: [问题] crypz是最新型的病毒吗?lilychichiRe: [问题] 所有照片文件MP3的档名多了.cryp1galovesu[求救] 学校宿舍宿网被判断中毒断线ekids1234Re: [问题] 档案改唯读,是否可破勒索病毒行为?mayuyu