Re: [問題] 檔案改唯讀,是否可破勒索病毒行為?
作者: mayuyu ((・ω・)ノ) 2016-06-07 08:43:48
※ 引述《lmkkml (小羊~~~)》之銘言:
: 回樓下麻友友大說的是別的方法一XD。只拿Cerber等現在流行的病毒來說是都有效沒錯,
: 但如果我在病毒執行後UAC一律放行,那個方法也是有機會掛掉,特別是刪除陰影複製+加
: 密這類的,又或是Petya這種以MBR為目標的勒索病毒,UAC一按放行就直接沒救了。
: : 推 vobor: 方法ㄧ不就是最快被破解的那個嗎..
對,我說的「方法一」
是指以前lmkkml大大在下面這篇文章裡寫的防禦方法
https://www.ptt.cc/bbs/AntiVirus/M.1461847912.A.603.html
很好用,又有效又方便。
lmkkml大大在文章裡還有提過一個「拒絕資料夾寫入」的方法:
如果你使用的當前帳戶是系統管理員身份,
在想要保護起來的資料夾上按右鍵點選內容→安全性→編輯,
進入變更權限視窗後→選取 Administrators→
拒絕寫入的方框打勾→按下「確定」。
這個方法的好處是即使勒索病毒拿到系統管理員權限,
也無法修改受到保護的資料夾。
保護的資料夾仍然可以正常讀取,只是無法修改,
需要修改的時候,再取消「拒絕寫入」的勾選就好了,
恢復的速度很快。
另外在下面這篇回覆裡,有提到可以設定應用程式白名單的軟體
https://www.ptt.cc/bbs/AntiVirus/M.1465127023.A.96E.html
只有白名單內的程式可以修改受保護的資料夾,
其他程式都禁止修改,即使是以系統管理員身份運行的程式也一樣。
所以這些軟體也可以阻止勒索病毒加密受保護的檔案。
這些軟體像Secure Folders同樣是利用Windows的權限控管機制
(系統存取控制清單ACLs)來禁止應用程式存取資料夾。
我們也可以用lmkkml大介紹的「拒絕資料夾寫入」的方法做到相同的功能。
假設現在系統有兩個用戶,一個是系統管理員Administrator,
一個是標準使用者mayuyu。
1. 建立一個新的標準使用者帳戶,譬如說No.1。
2. 在資料夾上按右鍵點選內容→安全性→編輯,進入變更權限視窗後,
將Administrators和mayuyu的拒絕寫入方框打勾。
3. 按「新增」→「進階」→「立即尋找」
選取剛剛新增的帳戶No.1
4. 將No.1允許寫入的方框打勾
這樣設定之後,系統管理員和mayuyu都不能寫入這個資料夾,
只有運行在No.1這個帳戶底下的程式可以。
平常登入Windows的時候,就使用Administrator或mayuyu帳戶,
同樣可以讀取受保護的資料夾。
需要寫入的時候,例如要修改檔名、修改MP3的TAG、解壓縮檔案的時候,
在要開啟的應用程式上按住shift點右鍵,
在彈出的右鍵選單裡選「以不同的使用者身分執行」,
然後選擇以No.1的身份運行這些程式,
這樣這些程式就可以修改受保護的資料夾了。
記得一定要開UAC。
WIN8要修改群組原則才能在開始功能表下用右鍵選擇
「以不同的使用者身分執行」。
可以用runas命令建立指定使用者身份的應用程式捷徑,
以後直接點捷徑就可以切換身份執行。。
有些軟體有提供Run as...開啟程式的功能,
例如Process Hacker,
可以很快用指定身份開啟需要的程式。
當然,這個方法就變得有些麻煩,
我還是覺得直接用Secure Folders最方便xD
: 回樓下麻友友大說的是別的方法一XD。只拿Cerber等現在流行的病毒來說是都有效沒錯,
: 但如果我在病毒執行後UAC一律放行,那個方法也是有機會掛掉,特別是刪除陰影複製+加
: 密這類的,又或是Petya這種以MBR為目標的勒索病毒,UAC一按放行就直接沒救了。
: : 推 vobor: 方法ㄧ不就是最快被破解的那個嗎..
對,我說的「方法一」
是指以前lmkkml大大在下面這篇文章裡寫的防禦方法
https://www.ptt.cc/bbs/AntiVirus/M.1461847912.A.603.html
很好用,又有效又方便。
lmkkml大大在文章裡還有提過一個「拒絕資料夾寫入」的方法:
如果你使用的當前帳戶是系統管理員身份,
在想要保護起來的資料夾上按右鍵點選內容→安全性→編輯,
進入變更權限視窗後→選取 Administrators→
拒絕寫入的方框打勾→按下「確定」。
這個方法的好處是即使勒索病毒拿到系統管理員權限,
也無法修改受到保護的資料夾。
保護的資料夾仍然可以正常讀取,只是無法修改,
需要修改的時候,再取消「拒絕寫入」的勾選就好了,
恢復的速度很快。
另外在下面這篇回覆裡,有提到可以設定應用程式白名單的軟體
https://www.ptt.cc/bbs/AntiVirus/M.1465127023.A.96E.html
只有白名單內的程式可以修改受保護的資料夾,
其他程式都禁止修改,即使是以系統管理員身份運行的程式也一樣。
所以這些軟體也可以阻止勒索病毒加密受保護的檔案。
這些軟體像Secure Folders同樣是利用Windows的權限控管機制
(系統存取控制清單ACLs)來禁止應用程式存取資料夾。
我們也可以用lmkkml大介紹的「拒絕資料夾寫入」的方法做到相同的功能。
假設現在系統有兩個用戶,一個是系統管理員Administrator,
一個是標準使用者mayuyu。
1. 建立一個新的標準使用者帳戶,譬如說No.1。
2. 在資料夾上按右鍵點選內容→安全性→編輯,進入變更權限視窗後,
將Administrators和mayuyu的拒絕寫入方框打勾。
3. 按「新增」→「進階」→「立即尋找」
選取剛剛新增的帳戶No.1
4. 將No.1允許寫入的方框打勾
這樣設定之後,系統管理員和mayuyu都不能寫入這個資料夾,
只有運行在No.1這個帳戶底下的程式可以。
平常登入Windows的時候,就使用Administrator或mayuyu帳戶,
同樣可以讀取受保護的資料夾。
需要寫入的時候,例如要修改檔名、修改MP3的TAG、解壓縮檔案的時候,
在要開啟的應用程式上按住shift點右鍵,
在彈出的右鍵選單裡選「以不同的使用者身分執行」,
然後選擇以No.1的身份運行這些程式,
這樣這些程式就可以修改受保護的資料夾了。
記得一定要開UAC。
WIN8要修改群組原則才能在開始功能表下用右鍵選擇
「以不同的使用者身分執行」。
可以用runas命令建立指定使用者身份的應用程式捷徑,
以後直接點捷徑就可以切換身份執行。。
有些軟體有提供Run as...開啟程式的功能,
例如Process Hacker,
可以很快用指定身份開啟需要的程式。
當然,這個方法就變得有些麻煩,
我還是覺得直接用Secure Folders最方便xD
作者: william456 (Eureka) 2016-06-07 08:53:00
Secure Folders不是倒了,還能購買?
作者: mayuyu ((・ω・)ノ) 2016-06-07 08:57:00
Secure Folders(有s,Secure Folder是另一個軟體)的網站已經消滅了 軟體已經不再更新所以務必把Secure Folders的更新檢查在選項裡關閉Secure Folders一直是免費的不用購買
作者: william456 (Eureka) 2016-06-07 09:02:00
原來兩個不同(筆記...)
作者: roh (巨蟹壞壞) 2016-06-07 09:54:00
請問Secure Folder不好嘛?
作者: abram (科科) 2016-06-07 10:23:00
不是不好 樓上 而是他是付費版的Secure FolderS 則是免費軟體
作者: lmkkml (小羊~~~) 2016-06-07 10:57:00
哈哈,麻友友大提到到三個帳戶讓我忽然有個靈感,可以 UAC放行到爽也不會被加密!這個想法是標準使用者帳戶該方法的進階延伸版,D槽權限要稍作調整,主要差別是改成一個使用者、兩個管理員,大概變成下圖這樣子,理論上可以 UAC 放到爽,等有時間再來實際操作測試。![]()
" target="_blank" rel="nofollow">
![]()
" target="_blank" rel="nofollow">作者: william456 (Eureka) 2016-06-07 11:11:00
期待lmkkml的文章,自從synology locker爆發後,看到變種都緊張兮兮,目前是用Norton+malbytes anti ransomware beta +secure folders+chrome flash control +Adblock plus+unlock origin ,然後每次開機就先看adobe和windows由無更新
作者: JohnnyDell (強尼戴爾) 2016-06-07 14:27:00
ADP跟uBlock擇一就可以了吧
作者: mayuyu ((・ω・)ノ) 2016-06-07 16:19:00
三個帳戶的想法是偷自Secure Folders的設計原理w期待lmkkml大的進階版!@JohnnyDell ADP或uBlock可以增加訂閱「惡意域名」的過濾規則 除了普通的廣告 也可以阻擋已知散佈惡意軟體的網域 這樣子即使病毒不是藏在廣告裡惡意代碼連到這些網域要下載木馬的時候也會被阻擋uBlock還有阻擋第三方js的動態過濾規則只有確定安全的網站再手動放行 也可以再減少一些風險
作者: chang0206 (Eric Chang) 2016-06-07 17:16:00
請問uBlock要怎麼訂閱?在選項中沒看到訂閱耶啊,在控制台裡面 找到了..
作者: moyoro (三等士官長報到) 2016-06-07 19:26:00
不好意思想請問...我剛好奇試了拒絕寫入的辦法也的確成功了 但在想取消寫入的時候無論什麼權限框框都完全不能點選方便的話想請問應該如何把它勾回來呢XD" 謝謝!!
作者: mayuyu ((・ω・)ノ) 2016-06-07 20:52:00
請問你使用的作業系統是?WIN8? WIN10? 登入的使用者身份?我沒有遇到不能改的情況 你可以抓個你目前安全性設定的圖給我看一下?
作者: cak90253 (CHI) 2016-06-07 21:38:00
請問Secure Folders win10能否使用呢?
作者: mayuyu ((・ω・)ノ) 2016-06-07 21:51:00
WIN10可以用
作者: moyoro (三等士官長報到) 2016-06-07 21:58:00
您好 剛剛誤打誤撞解決了XD 我使用的是WIN7 但不知道為什麼那顆磁碟的擁有者是亂碼(不是任何已知的使用者) 因此無哪個權限都改不了設定XD" 因此更動擁有者為系統管理員就OK了 謝謝您!!
作者: mayuyu ((・ω・)ノ) 2016-06-07 22:27:00
原來是這個原因,我剛剛有想到可能是擁有者的問題,想請你改擁有者試試看,結果你已經自行解決了 ^^推薦試試看lmkkml大的方法一,真的方便又好用。
作者: sweetgold (甜甜金) 2016-06-07 22:48:00
快幫mayuyu投票阿!剩10天惹
作者: mayuyu ((・ω・)ノ) 2016-06-08 00:24:00
請大家幫mayuyu投票 m(_ _)m 說明 https://is.gd/vGeele