Re: [問題] 檔案改唯讀,是否可破勒索病毒行為?
※ 引述《lmkkml (小羊~~~)》之銘言:
: 回樓下麻友友大說的是別的方法一XD。只拿Cerber等現在流行的病毒來說是都有效沒錯,
: 但如果我在病毒執行後UAC一律放行,那個方法也是有機會掛掉,特別是刪除陰影複製+加
: 密這類的,又或是Petya這種以MBR為目標的勒索病毒,UAC一按放行就直接沒救了。
: : 推 vobor: 方法ㄧ不就是最快被破解的那個嗎..
對,我說的「方法一」
是指以前lmkkml大大在下面這篇文章裡寫的防禦方法
https://www.ptt.cc/bbs/AntiVirus/M.1461847912.A.603.html
很好用,又有效又方便。
lmkkml大大在文章裡還有提過一個「拒絕資料夾寫入」的方法:
如果你使用的當前帳戶是系統管理員身份,
在想要保護起來的資料夾上按右鍵點選內容→安全性→編輯,
進入變更權限視窗後→選取 Administrators→
拒絕寫入的方框打勾→按下「確定」。
這個方法的好處是即使勒索病毒拿到系統管理員權限,
也無法修改受到保護的資料夾。
保護的資料夾仍然可以正常讀取,只是無法修改,
需要修改的時候,再取消「拒絕寫入」的勾選就好了,
恢復的速度很快。
另外在下面這篇回覆裡,有提到可以設定應用程式白名單的軟體
https://www.ptt.cc/bbs/AntiVirus/M.1465127023.A.96E.html
只有白名單內的程式可以修改受保護的資料夾,
其他程式都禁止修改,即使是以系統管理員身份運行的程式也一樣。
所以這些軟體也可以阻止勒索病毒加密受保護的檔案。
這些軟體像Secure Folders同樣是利用Windows的權限控管機制
(系統存取控制清單ACLs)來禁止應用程式存取資料夾。
我們也可以用lmkkml大介紹的「拒絕資料夾寫入」的方法做到相同的功能。
假設現在系統有兩個用戶,一個是系統管理員Administrator,
一個是標準使用者mayuyu。
1. 建立一個新的標準使用者帳戶,譬如說No.1。
2. 在資料夾上按右鍵點選內容→安全性→編輯,進入變更權限視窗後,
將Administrators和mayuyu的拒絕寫入方框打勾。
3. 按「新增」→「進階」→「立即尋找」
選取剛剛新增的帳戶No.1
4. 將No.1允許寫入的方框打勾
這樣設定之後,系統管理員和mayuyu都不能寫入這個資料夾,
只有運行在No.1這個帳戶底下的程式可以。
平常登入Windows的時候,就使用Administrator或mayuyu帳戶,
同樣可以讀取受保護的資料夾。
需要寫入的時候,例如要修改檔名、修改MP3的TAG、解壓縮檔案的時候,
在要開啟的應用程式上按住shift點右鍵,
在彈出的右鍵選單裡選「以不同的使用者身分執行」,
然後選擇以No.1的身份運行這些程式,
這樣這些程式就可以修改受保護的資料夾了。
記得一定要開UAC。
WIN8要修改群組原則才能在開始功能表下用右鍵選擇
「以不同的使用者身分執行」。
可以用runas命令建立指定使用者身份的應用程式捷徑,
以後直接點捷徑就可以切換身份執行。。
有些軟體有提供Run as...開啟程式的功能,
例如Process Hacker,
可以很快用指定身份開啟需要的程式。
當然,這個方法就變得有些麻煩,
我還是覺得直接用Secure Folders最方便xD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.121
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465260232.A.759.html
推
06/07 08:53, , 1F
06/07 08:53, 1F
→
06/07 08:57, , 2F
06/07 08:57, 2F
→
06/07 08:57, , 3F
06/07 08:57, 3F
→
06/07 08:58, , 4F
06/07 08:58, 4F
→
06/07 08:58, , 5F
06/07 08:58, 5F
→
06/07 09:02, , 6F
06/07 09:02, 6F
→
06/07 09:54, , 7F
06/07 09:54, 7F
推
06/07 10:23, , 8F
06/07 10:23, 8F
→
06/07 10:24, , 9F
06/07 10:24, 9F
推
06/07 10:57, , 10F
06/07 10:57, 10F
→
06/07 10:58, , 11F
06/07 10:58, 11F
→
06/07 10:59, , 12F
06/07 10:59, 12F
→
06/07 10:59, , 13F
06/07 10:59, 13F
→
06/07 11:00, , 14F
06/07 11:00, 14F
→
06/07 11:01, , 15F
06/07 11:01, 15F
推
06/07 11:11, , 16F
06/07 11:11, 16F
→
06/07 11:11, , 17F
06/07 11:11, 17F
→
06/07 11:11, , 18F
06/07 11:11, 18F
→
06/07 11:11, , 19F
06/07 11:11, 19F
→
06/07 11:11, , 20F
06/07 11:11, 20F
→
06/07 14:27, , 21F
06/07 14:27, 21F
→
06/07 16:19, , 22F
06/07 16:19, 22F
→
06/07 16:20, , 23F
06/07 16:20, 23F
→
06/07 16:20, , 24F
06/07 16:20, 24F
→
06/07 16:20, , 25F
06/07 16:20, 25F
→
06/07 16:20, , 26F
06/07 16:20, 26F
→
06/07 16:20, , 27F
06/07 16:20, 27F
→
06/07 16:20, , 28F
06/07 16:20, 28F
→
06/07 16:21, , 29F
06/07 16:21, 29F
推
06/07 17:16, , 30F
06/07 17:16, 30F
推
06/07 17:18, , 31F
06/07 17:18, 31F
控制台→第三方過濾規則→惡意域名
uBlock不會因為訂閱的規則越多,處理效率變慢,
所以可以全部都訂閱沒關係。
還有其實防火牆也有這個功能。
如果你覺得WIN7/WIN10要按住shift+右鍵,
或者是WIN8/WIN10的開始功能表還要修改群組原則or登錄編輯,
才能叫出「以不同的使用者身分執行」的選單很麻煩,
微軟自己有提供一個工具
https://technet.microsoft.com/zh-tw/sysinternals/cc300361.aspx
絕對沒有毒請放心下載xD
下載後執行ShellRunas.exe /reg,以後直接右鍵打開選單就都會出現
「以不同的使用者身分執行」(Run as different user...)的選項。
在WIN10也一樣可以用喔。
如果要永久建立以指定身份執行的程式捷徑,
可以用runas命令
runas /user:使用者名稱 "程式路徑"
存成捷徑或bat檔,以後點擊這個捷徑就會以指定身份開啟程式。
※ 編輯: mayuyu (61.219.36.161), 06/07/2016 18:29:36
推
06/07 19:26, , 32F
06/07 19:26, 32F
→
06/07 19:27, , 33F
06/07 19:27, 33F
→
06/07 19:28, , 34F
06/07 19:28, 34F
→
06/07 20:52, , 35F
06/07 20:52, 35F
→
06/07 20:53, , 36F
06/07 20:53, 36F
→
06/07 20:53, , 37F
06/07 20:53, 37F
→
06/07 21:38, , 38F
06/07 21:38, 38F
→
06/07 21:51, , 39F
06/07 21:51, 39F
推
06/07 21:58, , 40F
06/07 21:58, 40F
→
06/07 21:59, , 41F
06/07 21:59, 41F
→
06/07 22:00, , 42F
06/07 22:00, 42F
→
06/07 22:00, , 43F
06/07 22:00, 43F
→
06/07 22:27, , 44F
06/07 22:27, 44F
→
06/07 22:27, , 45F
06/07 22:27, 45F
→
06/07 22:28, , 46F
06/07 22:28, 46F
※ 編輯: mayuyu (61.219.36.156), 06/07/2016 22:28:43
推
06/07 22:48, , 47F
06/07 22:48, 47F
→
06/07 22:48, , 48F
06/07 22:48, 48F
→
06/08 00:24, , 49F
06/08 00:24, 49F
討論串 (同標題文章)
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
