再推一下lmkkml大大介紹的第一個方法，
很好用，有效又方便。
※ 引述《lmkkml (小羊~~~)》之銘言：
: 這篇是我不久前在Mobile01 上面 PO的測試文章，在這邊先打預防針，
: 測試結果不保證適用所有勒索病毒，不過我能拿到的勒索病毒無論新舊幾乎都全用上了：
: ［心得］勒索病毒預防和救援簡單測試（CryptXXX、CERBER、LOCKY、TeslaCrypt）
: http://tinyurl.com/gumkfnv
: 以就算中毒，病毒也無法加密到非系統槽的重要檔案為目標，
: 然後在這樣的前提下還要可以自在的寫入/讀取/搬移檔案，
: 又不因為了預防勒索病毒而變得綁手綁腳。以下節錄幾個可行的方法：
: 1.使用使用者帳戶：推薦指數 ★★★★★
: 具體做法為額外創建一個使用者帳戶，
: 僅開放某磁碟機或特定資料夾之讀取權限給該使用者帳戶使用，
: 這邊以磁碟機 F 槽為例，於 F 槽上按右鍵點選內容→安全性→編輯，
: 進入變更權限視窗後→選取Authenticated Users→
: 取消寫入僅保留允許讀取相關的勾勾如下圖→按下「確定」。
: 日後操作電腦只登入使用者帳戶，而資料都放在磁碟機 F 槽底下；
: 使用者帳戶若中毒，病毒也無法取得修改權限進行加密。
: 上述設定若順利完成，會發現若要在 F 槽新增或修改現有檔案時，
: 會出現要求輸入管理員密碼的使用者帳戶控制彈窗，
: （如果電腦只是個人使用，管理員帳戶不設密碼也無所謂）
: 這時按下「是」即可在 F 槽新增或修改現有檔案。
:

如果你目前的帳戶已經是系統管理員，可以再新增一個系統管理員帳戶，
然後把目前的帳戶轉為一般使用者，
就可以改用一般使用者的身份登入目前的桌面，保留之前的設定。
有兩個以上的帳戶需要開機自動登入的話，按WIN+R鍵，輸入netplwiz按Enter，
取消打勾「必須輸入使用者名稱和密碼，才能使用這台電腦」，
選取要自動登入的帳戶按確定，然後輸入登入密碼，
不想設密碼的話就維持空白按確定關閉對話框，
這樣以後開機就會自動用一般使用者的帳戶登入Windows。
然後記得開啟UAC，這樣有程式要求系統管理員權限的時候就會自動通知，
沒有系統管理者權限就無法修改被保護的資料夾。
另外有一些可以將檔案、資料夾、整個磁碟機上鎖保護起來的軟體，
例如Secure Folders、Easy File Locker等等，
Secure Folders(已經不再更新，原網站已消滅，務必關閉軟體自動更新功能 )
http://www.softpedia.com/get/Security/Security-Related/Secure-Folders.shtml
Easy File Locker(Shadow Defender的作者寫的)
http://www.xoslab.com/efl.html
其他還有很多類似的軟體。
這些軟體在系統核心安裝驅動過濾讀寫的要求+使用系統存取控制清單，
來限制受保護的資料夾只允許白名單內的程式存取和修改。
如果程式不在白名單內，即使是系統管理員權限也無法存取和修改這些資料夾，
所以即使不幸遇到零時差的提權漏洞攻擊，讓惡意程式取得系統管理員權限，
它還是無法修改這些受保護的資料夾。
不過有一個很大的問題是，一般人會放行檔案總管explorer.exe為白名單程式，
這樣才能對這些資料夾進行檔案管理，但是explorer.exe經常被惡意程式利用，
所以放行explorer.exe便無法保護這些資料夾不被惡意程式修改，
例如CTB-Locker就可以透過explorer.exe加密受保護的資料夾。
所以如果你有使用另外的檔案管理軟體，例如Xplorer2、FreeCommander等等，
就可以不用放行explorer.exe。
或者是你有用其他保護軟體保護explorer.exe，
禁止其他程式注入和修改explorer.exe，
那麼才可以把explorer.exe放進白名單裡。
第二個問題是這些軟體都無法阻擋直接底層磁碟的操作，
例如用WinHex直接編輯磁區就可以繞過ACLs的保護，
如果有加密勒索軟體使用直接底層讀寫，
那麼這些依於檔案系統的存取控制就無法發揮作用。
所以Easy File Locker(Shadow Defender的作者)有說
Easy File Locker不保證能夠防護所有加密勒索軟體。
另外Secure Folders也不能防護從網路磁碟進來的存取。
所以這些軟體可以提供相當程度的保護，
不過還是不能保證可以100%防禦。
如果使用沙盤的話，沙盤也不能保證100%，
不過它有多加一些限制，理論上會再更安全一點。

要小心不要為了找xplorer2的盜版就又中勒索病毒了第一次看到有白名單程式才能擷取目錄的軟體 有創意給推

請問不開刪除權限是不是就可以預防了呢？

他可以寫入完改名啊，完全沒有刪除任何東西

請問用之前版友寫的監控!test資料夾內的檔案是否有效？

想請教己經中毒但還有尚未被加密的檔案想用lmkkml大大介介紹的第一個方法後再移到隨身硬碟是不是就可以救這些檔

第一個方法是中毒前的防禦 已經被加密的檔案就無救未被加密的檔案可以用另一個系統(例如救援光碟)把檔案copy出來我還沒有中過勒索軟體 不知道用監控的方法有沒有效另外存取控制我是設為只能讀取 不能刪除也不能寫入修改檔案譬如說放MP3的資料夾 所有軟體都可以讀取裡面的資料但是只有檔案管理軟體 轉檔播放軟體(foobar2000) 解壓縮軟體可以修改MP3資料夾裡面的檔名、TAG以及寫入新的檔案而Secure Folders對勒索軟體測試是有效的 影片https://www.youtube.com/watch?v=051WlQRsG0U注意影片裡白名單程式沒有explorer.exe所以才能成功防禦如果有放行explorer.exe就會被加密!Secure Folders還有兩個EFL沒有的功能一個是它可以設定資料夾禁止執行也就在這個資料夾底下的執行檔都不能被啟動執行(anti-exe)另一個是它可以直接指定附檔名 例如設定*.mp3只能讀取這樣全系統所有磁碟機的.mp3都只能被讀取只有白名單的程式可以修改和刪除

其實我先前寫的內容好像都沒有一次寫齊全過，麻友友大大果然厲害一看就知道我那個作法最關鍵的地方就是 UAC（有時間再來補齊這一部分）。另外認同沒有 100% 的防禦，就算是離線備份應該是大家最認可的最終手段，也都還存在著空窗期（除非能做到每日或每周離線備份）。我想只要是符合安全又不失便利，藉由一些軟體（Sandboxie 等麻友友大文中提到的軟體）或任何手段來效彌補離線備份的空窗期都蠻不錯的。

請問lmkkml大的第一種方式與新增一個使用者是並用還是擇一呢

把自己降為使用者保留目前狀態比較方便，自己開一個使用者來用等於嶄新的開始，二選一。