https://goo.gl/IclVFj
https://www.facebook.com/permalink.php?story_fbid=10209215541764937&id=1212795524
关于勒索病毒的工作模式
我想了一下后
归纳出了他的工作模式 以及手动抵御方法
根据WINDOWS的执行特性
绝大多数的常驻病毒 都是以SYSTEM身分在执行的 (虽然存在以使用者运行的方法)
除非病毒是经由使用者人工(手贱)开启的
而SYSTEM是个特殊的使用者角色
用来表示WINDOWS OS本身在运行时执行的身分
凡举自动更新到系统记录 任何不经过人手就会自动执行的行为都属于SYSTEM
而人类使用者的手动操作行为
无论是在执行什么操作
都必然是以[使用者本人]的名义在进行的 绝对不会有例外
因此
从这一点可以非常明确的区分 病毒(SYSTEM)与使用者间的操作行为
一般来说 SYSTEM的自动操作行为中
除了防毒会四处乱跑以外 其余多半仅会局限于系统碟内
所以 选择一个专门用于资料用的磁区
把NTFS安全性选项中的"修改"权限给抹除掉
(NTFS的安全性进阶权限中 包含非常细腻的存取操作
主要分别包含 读取 新增 追加 修改 删除 )
勒索软件的工作模式无非就是
以SYSTEM身分在背景自动执行
先检索整个硬盘 当发现到目标档案时 制作一份加密档 然后再删除旧有档案
因此
若移除SYSTEM对资料区的修改与删除档案的权限的话
那么病毒就无法破坏现有档案
但是 系统读取/执行档案等等的基本功能依然存在
虽然防护范围仅限于资料碟
系统碟的档案仍然会受损 不过这点小事只要重灌就好
或著是 移除SYSTEM对目录浏览的权限的话 病毒就无法搜寻资料区的档案
既然无法搜寻 就无法删除
除非直接传入PATH
当然 这部分行为还要考量一下
系统到底会不会有检索目录的需要
目前已知 防毒软件以及"自动排程" 都会以SYSTEM的身分四处周游档案
除此之外 绝大多数的系统操作 都不应涉入到资料区内
虽然这样的动作 会导致系统防毒软件在工作时
无法删除资料区的病毒档案(更多时候是序号机&破解档)
不过相较于文件损毁的成本之下 这完全不是大问题
而且 病毒并不流行隐藏在资料区中
病毒最喜欢藏匿的地方在WINDOWS system32 helps目录中
所以 这个方案可以非常有效的抵御对于勒索病毒的窜改攻击
当然 资料碟请就保持资料干净
不要把一些系统性档案 例如分页档(pagefile)给丢进去
这样会让系统非常困扰的
-
未来如果要防止这类病毒攻击
就必须根本之道的 缩限SYSTEM的自动执行权限
让SYSTEM 不应该在系统碟以外的地方四处游荡
SYSTEM 本来就只是用来运作WINDOWS用的角色
所以本来就不应该也没必要踏入资料区内