我想說一下使用者帳戶控制UAC的部分,「病毒加密行為這個動作並不會觸發使用者帳戶
控制(UAC)」,但是「要刪除磁區陰影複製會觸發 UAC」。
一般勒索病毒做的事幾乎都一樣,加密檔案→刪除檔案。這也是為什麼一般硬碟救援或
Windows 內建的系統還原(系統保護)有機會救回檔案(這邊指的是被刪除的檔案,而不
是被加密的檔案)的原因。病毒作者當然不樂見這種事發生,因此病毒通常會多加上一個
刪除 Windows 磁區陰影複製的功能,刪掉了陰影複製之前建立的系統還原也就廢了。
所以總結上述兩段話,勒索病毒執行後簡單分大概就三種常見情形:
1. 不刪陰影複製→ UAC 沒反應→ 加密
2. 刪除陰影複製→ UAC 詢問視窗(是→ 被刪、否→ 保留)→ 加密
3. 刪除陰影複製+加密→ UAC 詢問視窗(是→ 被刪且加密、否→ 病毒就不運行)。
※ 引述《squareneo (透)》之銘言:
: 到目前為止中毒的方式千百種,因為大家使用網路習慣也千百種
: 想大家來討論自己沒中獎的方式,來防範與當作一個好習慣
: 1.有沒有使用"防毒軟體"依舊還中毒的,
: 如果是為了下載軟體,影片而關閉防毒的範例不算。
: 卡巴用起來防護不錯,有人因此還中毒嗎?
: 2.雲端導致中毒嗎?
: Ex:dropbox(或google)與朋友共用的資料夾,別人電腦中毒,緊接著同步?
: dropbox主機也中毒?
: 3.區域網路關閉共用,是避免中毒的暫時防治方式
: 4.ie關閉自動確定功能,或是系統升級win10並且使用正版
: 5.控制台-變更使用者帳戶控制設定-調整為高
: 大家能提供更好的防範方式與建議嗎?