[心得] 預防勒索病毒方法試作
更新1:抱歉!因考慮不周,請大家不要再嘗試使用這個方法。已經使用的人,請先將 D
槽等所有非系統槽中的「Administrators」勾選完全控制後,再一步步儘可能恢復原狀。
因為有版友測試當刪除 D 槽檔案之後,該檔案並不會出現在垃圾桶裡;為避免有人因此誤
刪檔案,所以在這邊請大家不要再去嘗試使用這個方法,非常抱歉。
更新2:經回報,上述情形刪除的檔案會跑到該管理員帳戶底下,登入該帳戶,垃圾桶就可
以看得到被刪除檔案。但還是請大家不要再嘗試這個方法,畢竟還不夠成熟,也給目前帶
來困擾的版友說聲抱歉。
先說一下這個方法的適用情況,我想要做到的效果是利用權限控制的方式讓 D 槽、E 槽等
拿來存放重要檔案的非系統槽即使在勒索病毒執行後(無論病毒有沒有拿到系統管理者的
權限),裡面的檔案也可以安然無恙。此方法切勿拿來設定 C 槽系統槽。
總共需要三個帳戶,一個標準使用者帳戶(把自己當下使用的管理員帳戶轉為使用者帳戶
即可,但這個步驟最好留在最後再做,因為過程中會不斷需要管理員權限,最後做可以避
免大量的 UAC 彈窗,這邊先提只是方便講解)、兩個管理員帳戶(新增兩個管理員帳戶,
名稱可以不要像我下圖取得那樣中二,但方便自己分辨兩帳戶即可,這兩個帳戶我重頭到
尾都沒真正進去過,也就是單純製造兩個額外帳戶出來而已)。
http://i.imgur.com/uTdzBQU.png
操作到這裡我們有了三個管理員帳戶。接著是非系統槽權限設定的部分,這邊以 F 槽為例
,於 F 槽上按右鍵進入「安全性」應該會如下圖,這是最原始還沒任何設定過的樣子:
http://i.imgur.com/qyyX4AM.png
裡面看到有四個權限群組,首先按「編輯」→「新增」→「進階」→「立即尋找」找到要
拿來存放檔案的管理者帳戶(管理員B-若要存放檔案按這裡)→「確定」
http://i.imgur.com/sWCJ3IY.png
然後將(管理員B-若要存放檔案按這裡)勾選給它擁有「完全控制」的權限,如下圖:
http://i.imgur.com/gYhfU7b.png
再來點選「Authenticated Users」把允許「寫入」的勾勾取消掉,變成這樣:
http://i.imgur.com/8D700Z3.png
最後點選「Administrators」把允許「寫入」的勾勾取消掉,最終的樣子會如下圖,到這
邊權限部分就算全部設定完成了:
http://i.imgur.com/zrJ3rgL.png
接著到這裡才把自己正在使用的帳戶降為標準使用者帳戶。這邊說明一個額外會遇到的問
題,我們有了一個使用者帳戶、兩個管理員帳戶總共三帳戶要怎麼設定才能讓電腦一開機
就自動登入我們的要的使用者帳戶呢?請參考下面聯強網頁的說明:
http://tinyurl.com/hqaxazz
這樣就設定完成了,這個時候如果我們要放東西進去 F 槽,會跳出一個詢問視窗如下圖,
就類似磁碟機加密軟體一樣,輸入密碼才可以進入,要存放東西就選擇(管理員B-若要存
放檔案按這裡),因為只有(管理員B)對這個槽區擁有完全控制的權限;若要讀取的話,
則是完全不受影響的喔:
http://i.imgur.com/tIQ16t9.png
全講完了,不過好像都沒有提到(管理員A),其實平常除了放東西進去 F 槽之外都是按
上方的(管理員A),包括不小心遇到勒索病毒的時候。我測試了 Cerber、TeslaCrypt、C
ryptXXX(.crypt)、UltraCrypter(.cryp1, crypz)、Crypt0L0cker(.encrypted)、E
ncryptor RaaS 這幾種病毒,只要 UAC 彈出時不去手殘按到(管理員B),非系統槽的檔
案都不會有事。當然這邊可以再加個避免手殘的小技巧,就是給(管理員B)設一組簡單密
碼,(管理員A)維持不設密碼。
補充1:如果 D 槽存有大量日後需要修改的文件檔(word, excel...等),就請不要使用
這個方法囉。因為如果要編輯修改的話,可能還要把文件拉回桌面,修改完再放回 D 槽覆
蓋,或右鍵以管理員帳戶執行程式,再開啟舊檔選 D 槽的該文件方能編輯,非常麻煩。
補充2:切記如果將來要重灌電腦重灌 C 槽,一定要先把 D 槽的權限恢復原狀。首先要把
「Administrators」勾選完全控制,讓「Administrators」成為最高管理者,最後再把新
增的(管理員B)移除掉。這樣才可以避免 D 槽檔案的擁有者變成無主孤魂。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.27.117
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465311074.A.698.html
→
06/07 23:20, , 1F
06/07 23:20, 1F
推
06/07 23:21, , 2F
06/07 23:21, 2F
→
06/07 23:21, , 3F
06/07 23:21, 3F
→
06/07 23:21, , 4F
06/07 23:21, 4F
→
06/07 23:23, , 5F
06/07 23:23, 5F
以最後的結論來說沒差異。但有個細節要注意,例如我把管理員A的名字改叫做管理員C,
UAC跳出時會變成B在上C在下,而滑鼠預設的指定位置都是上方的那個帳戶,這樣會跟一般
使用習慣不太符合,簡言之就是取名字關係到順序啦。
→
06/07 23:34, , 6F
06/07 23:34, 6F
→
06/07 23:34, , 7F
06/07 23:34, 7F
→
06/07 23:35, , 8F
06/07 23:35, 8F
我想任何方法都跟離線備份不衝突吧。
推
06/07 23:38, , 9F
06/07 23:38, 9F
※ 編輯: lmkkml (1.175.27.117), 06/07/2016 23:51:47
推
06/08 00:06, , 10F
06/08 00:06, 10F
推
06/08 00:23, , 11F
06/08 00:23, 11F
→
06/08 00:23, , 12F
06/08 00:23, 12F
→
06/08 00:23, , 13F
06/08 00:23, 13F
推
06/08 00:25, , 14F
06/08 00:25, 14F
推
06/08 00:32, , 15F
06/08 00:32, 15F
→
06/08 00:32, , 16F
06/08 00:32, 16F
麻友友大,限制「Administrators」的權限這部分帶來的問題似乎比原先我想像的多,先
終止這個方法好了,抱歉。
推
06/08 01:21, , 17F
06/08 01:21, 17F
→
06/08 01:21, , 18F
06/08 01:21, 18F
使用 USER 帳戶的確沒有那麼方便,歹勢~
※ 編輯: lmkkml (1.175.27.117), 06/08/2016 23:41:59
推
06/08 23:40, , 19F
06/08 23:40, 19F
→
06/08 23:44, , 20F
06/08 23:44, 20F
→
06/08 23:46, , 21F
06/08 23:46, 21F
→
06/08 23:49, , 22F
06/08 23:49, 22F
推
06/09 10:20, , 23F
06/09 10:20, 23F
→
06/09 10:20, , 24F
06/09 10:20, 24F
→
06/09 10:21, , 25F
06/09 10:21, 25F
→
06/09 10:21, , 26F
06/09 10:21, 26F
→
06/09 10:21, , 27F
06/09 10:21, 27F
→
06/09 10:22, , 28F
06/09 10:22, 28F
我昨天一直往以系統管理員身分執行資源回收桶這個方向去想,沒有想到切換帳號就可以
了,頭暈了~
※ 編輯: lmkkml (1.175.27.117), 06/09/2016 13:41:40
→
06/21 05:02, , 29F
06/21 05:02, 29F
AntiVirus 近期熱門文章
PTT數位生活區 即時熱門文章
