※ 引述《lmkkml (小羊~~~)》之銘言:
: 回樓下麻友友大說的是別的方法一XD。只拿Cerber等現在流行的病毒來說是都有效沒錯,
: 但如果我在病毒執行後UAC一律放行,那個方法也是有機會掛掉,特別是刪除陰影複製+加
: 密這類的,又或是Petya這種以MBR為目標的勒索病毒,UAC一按放行就直接沒救了。
: : 推 vobor: 方法ㄧ不就是最快被破解的那個嗎..
對,我說的「方法一」
是指以前lmkkml大大在下面這篇文章裡寫的防禦方法
https://www.ptt.cc/bbs/AntiVirus/M.1461847912.A.603.html
很好用,又有效又方便。
lmkkml大大在文章裡還有提過一個「拒絕資料夾寫入」的方法:
如果你使用的當前帳戶是系統管理員身份,
在想要保護起來的資料夾上按右鍵點選內容→安全性→編輯,
進入變更權限視窗後→選取 Administrators→
拒絕寫入的方框打勾→按下「確定」。
這個方法的好處是即使勒索病毒拿到系統管理員權限,
也無法修改受到保護的資料夾。
保護的資料夾仍然可以正常讀取,只是無法修改,
需要修改的時候,再取消「拒絕寫入」的勾選就好了,
恢復的速度很快。
另外在下面這篇回覆裡,有提到可以設定應用程式白名單的軟體
https://www.ptt.cc/bbs/AntiVirus/M.1465127023.A.96E.html
只有白名單內的程式可以修改受保護的資料夾,
其他程式都禁止修改,即使是以系統管理員身份運行的程式也一樣。
所以這些軟體也可以阻止勒索病毒加密受保護的檔案。
這些軟體像Secure Folders同樣是利用Windows的權限控管機制
(系統存取控制清單ACLs)來禁止應用程式存取資料夾。
我們也可以用lmkkml大介紹的「拒絕資料夾寫入」的方法做到相同的功能。
假設現在系統有兩個用戶,一個是系統管理員Administrator,
一個是標準使用者mayuyu。
1. 建立一個新的標準使用者帳戶,譬如說No.1。
2. 在資料夾上按右鍵點選內容→安全性→編輯,進入變更權限視窗後,
將Administrators和mayuyu的拒絕寫入方框打勾。
3. 按「新增」→「進階」→「立即尋找」
選取剛剛新增的帳戶No.1
4. 將No.1允許寫入的方框打勾
這樣設定之後,系統管理員和mayuyu都不能寫入這個資料夾,
只有運行在No.1這個帳戶底下的程式可以。
平常登入Windows的時候,就使用Administrator或mayuyu帳戶,
同樣可以讀取受保護的資料夾。
需要寫入的時候,例如要修改檔名、修改MP3的TAG、解壓縮檔案的時候,
在要開啟的應用程式上按住shift點右鍵,
在彈出的右鍵選單裡選「以不同的使用者身分執行」,
然後選擇以No.1的身份運行這些程式,
這樣這些程式就可以修改受保護的資料夾了。
記得一定要開UAC。
WIN8要修改群組原則才能在開始功能表下用右鍵選擇
「以不同的使用者身分執行」。
可以用runas命令建立指定使用者身份的應用程式捷徑,
以後直接點捷徑就可以切換身份執行。。
有些軟體有提供Run as...開啟程式的功能,
例如Process Hacker,
可以很快用指定身份開啟需要的程式。
當然,這個方法就變得有些麻煩,
我還是覺得直接用Secure Folders最方便xD