Re: [问题] 关于勒索病毒的一点防治想法请教

楼主: fema (Currahee)   2016-10-23 20:56:28
今天以 mayuyu 在此篇所说的方法
原帐户 O (系统管理员) 建立一个新的系统管理员帐户 N
再变更帐户 O 为一般使用者 UAC 默认为最高等级
然后以帐户 O 变更 D 磁盘机的权限只能读取
(1) 进去 D 槽内按右键 新增只剩下 新增资料夹(前面还有盾牌)
(2) 开启记事本想建立文字档在 D 槽 不能储存
(3) 开启在 D 槽的 Excel 档编辑 不能储存
只有 (1) 会出现 UAC 弹窗询问帐户 N 的密码
其他动作 (2)建立 (3)编辑 不会 也就是不能建立文字档、编辑 Excel 档
因为在9月底干净安装 Windows 10 1607
会不会是因为作业系统版本不同而造成此现象?
召唤 mayuyu 或 lmkkml 大大
谢谢
※ 引述《mayuyu ((・ω・)ノ)》之铭言:
: 再推一下lmkkml大大介绍的第一个方法,
: 很好用,有效又方便。
: ※ 引述《lmkkml (小羊~~~)》之铭言:
: : 这篇是我不久前在Mobile01 上面 PO的测试文章,在这边先打预防针,
: : 测试结果不保证适用所有勒索病毒,不过我能拿到的勒索病毒无论新旧几乎都全用上了:
: : [心得]勒索病毒预防和救援简单测试(CryptXXX、CERBER、LOCKY、TeslaCrypt)
: : http://tinyurl.com/gumkfnv
: : 以就算中毒,病毒也无法加密到非系统槽的重要档案为目标,
: : 然后在这样的前提下还要可以自在的写入/读取/搬移档案,
: : 又不因为了预防勒索病毒而变得绑手绑脚。以下节录几个可行的方法:
: : 1.使用使用者帐户:推荐指数 ★★★★★
: : 具体做法为额外创建一个使用者帐户,
: : 仅开放某磁盘机或特定资料夹之读取权限给该使用者帐户使用,
: : 这边以磁盘机 F 槽为例,于 F 槽上按右键点选内容→安全性→编辑,
: : 进入变更权限视窗后→选取Authenticated Users→
: : 取消写入仅保留允许读取相关的勾勾如下图→按下“确定”。
: : 日后操作电脑只登入使用者帐户,而资料都放在磁盘机 F 槽底下;
: : 使用者帐户若中毒,病毒也无法取得修改权限进行加密。
: : 上述设定若顺利完成,会发现若要在 F 槽新增或修改现有档案时,
: : 会出现要求输入管理员密码的使用者帐户控制弹窗,
: : (如果电脑只是个人使用,管理员帐户不设密码也无所谓)
: : 这时按下“是”即可在 F 槽新增或修改现有档案。
: : http://i.imgur.com/epcC9O6.png
: 如果你目前的帐户已经是系统管理员,可以再新增一个系统管理员帐户,
: 然后把目前的帐户转为一般使用者,
: 就可以改用一般使用者的身份登入目前的桌面,保留之前的设定。
: 有两个以上的帐户需要开机自动登入的话,按WIN+R键,输入netplwiz按Enter,
: 取消打勾“必须输入使用者名称和密码,才能使用这台电脑”,
: 选取要自动登入的帐户按确定,然后输入登入密码,
: 不想设密码的话就维持空白按确定关闭对话框,
: 这样以后开机就会自动用一般使用者的帐户登入Windows。
: 然后记得开启UAC,这样有程式要求系统管理员权限的时候就会自动通知,
: 没有系统管理者权限就无法修改被保护的资料夹。
: 另外有一些可以将档案、资料夹、整个磁盘机上锁保护起来的软件,
: 例如Secure Folders、Easy File Locker等等,
: Secure Folders(已经不再更新,原网站已消灭,务必关闭软件自动更新功能 )
: http://www.softpedia.com/get/Security/Security-Related/Secure-Folders.shtml
: Easy File Locker(Shadow Defender的作者写的)
: http://www.xoslab.com/efl.html
: 其他还有很多类似的软件。
: 这些软件在系统核心安装驱动过滤读写的要求+使用系统存取控制清单,
: 来限制受保护的资料夹只允许白名单内的程式存取和修改。
: 如果程式不在白名单内,即使是系统管理员权限也无法存取和修改这些资料夹,
: 所以即使不幸遇到零时差的提权漏洞攻击,让恶意程式取得系统管理员权限,
: 它还是无法修改这些受保护的资料夹。
: 不过有一个很大的问题是,一般人会放行档案总管explorer.exe为白名单程式,
: 这样才能对这些资料夹进行档案管理,但是explorer.exe经常被恶意程式利用,
: 所以放行explorer.exe便无法保护这些资料夹不被恶意程式修改,
: 例如CTB-Locker就可以透过explorer.exe加密受保护的资料夹。
: 所以如果你有使用另外的档案管理软件,例如Xplorer2、FreeCommander等等,
: 就可以不用放行explorer.exe。
: 或者是你有用其他保护软件保护explorer.exe,
: 禁止其他程式注入和修改explorer.exe,
: 那么才可以把explorer.exe放进白名单里。
: 第二个问题是这些软件都无法阻挡直接底层磁盘的操作,
: 例如用WinHex直接编辑磁区就可以绕过ACLs的保护,
: 如果有加密勒索软件使用直接底层读写,
: 那么这些依于档案系统的存取控制就无法发挥作用。
: 所以Easy File Locker(Shadow Defender的作者)有说
: Easy File Locker不保证能够防护所有加密勒索软件。
: 另外Secure Folders也不能防护从网络磁盘进来的存取。
: 所以这些软件可以提供相当程度的保护,
: 不过还是不能保证可以100%防御。
: 如果使用沙盘的话,沙盘也不能保证100%,
: 不过它有多加一些限制,理论上会再更安全一点。
作者: phoebe0914 (丁小雨)   2016-10-23 21:10:00
感谢~
作者: George017 (阿丙)   2016-10-23 23:02:00
出现UAC问N的密码->代表该操作需要Admin权限所以你会看到该选项有盾牌->那就是提示你要用最高权限

Links booklink

Contact Us: admin [ a t ] ucptt.com