[心得] 預防勒索病毒方法試作

作者: lmkkml (小羊~~~)   2016-06-07 22:51:11
更新1:抱歉!因考慮不周,請大家不要再嘗試使用這個方法。已經使用的人,請先將 D
槽等所有非系統槽中的「Administrators」勾選完全控制後,再一步步儘可能恢復原狀。
因為有版友測試當刪除 D 槽檔案之後,該檔案並不會出現在垃圾桶裡;為避免有人因此誤
刪檔案,所以在這邊請大家不要再去嘗試使用這個方法,非常抱歉。
更新2:經回報,上述情形刪除的檔案會跑到該管理員帳戶底下,登入該帳戶,垃圾桶就可
以看得到被刪除檔案。但還是請大家不要再嘗試這個方法,畢竟還不夠成熟,也給目前帶
來困擾的版友說聲抱歉。
先說一下這個方法的適用情況,我想要做到的效果是利用權限控制的方式讓 D 槽、E 槽等
拿來存放重要檔案的非系統槽即使在勒索病毒執行後(無論病毒有沒有拿到系統管理者的
權限),裡面的檔案也可以安然無恙。此方法切勿拿來設定 C 槽系統槽。
總共需要三個帳戶,一個標準使用者帳戶(把自己當下使用的管理員帳戶轉為使用者帳戶
即可,但這個步驟最好留在最後再做,因為過程中會不斷需要管理員權限,最後做可以避
免大量的 UAC 彈窗,這邊先提只是方便講解)、兩個管理員帳戶(新增兩個管理員帳戶,
名稱可以不要像我下圖取得那樣中二,但方便自己分辨兩帳戶即可,這兩個帳戶我重頭到
尾都沒真正進去過,也就是單純製造兩個額外帳戶出來而已)。
http://i.imgur.com/uTdzBQU.png
操作到這裡我們有了三個管理員帳戶。接著是非系統槽權限設定的部分,這邊以 F 槽為例
,於 F 槽上按右鍵進入「安全性」應該會如下圖,這是最原始還沒任何設定過的樣子:
http://i.imgur.com/qyyX4AM.png
裡面看到有四個權限群組,首先按「編輯」→「新增」→「進階」→「立即尋找」找到要
拿來存放檔案的管理者帳戶(管理員B-若要存放檔案按這裡)→「確定」
http://i.imgur.com/sWCJ3IY.png
然後將(管理員B-若要存放檔案按這裡)勾選給它擁有「完全控制」的權限,如下圖:
http://i.imgur.com/gYhfU7b.png
再來點選「Authenticated Users」把允許「寫入」的勾勾取消掉,變成這樣:
http://i.imgur.com/8D700Z3.png
最後點選「Administrators」把允許「寫入」的勾勾取消掉,最終的樣子會如下圖,到這
邊權限部分就算全部設定完成了:
http://i.imgur.com/zrJ3rgL.png
接著到這裡才把自己正在使用的帳戶降為標準使用者帳戶。這邊說明一個額外會遇到的問
題,我們有了一個使用者帳戶、兩個管理員帳戶總共三帳戶要怎麼設定才能讓電腦一開機
就自動登入我們的要的使用者帳戶呢?請參考下面聯強網頁的說明:
http://tinyurl.com/hqaxazz
這樣就設定完成了,這個時候如果我們要放東西進去 F 槽,會跳出一個詢問視窗如下圖,
就類似磁碟機加密軟體一樣,輸入密碼才可以進入,要存放東西就選擇(管理員B-若要存
放檔案按這裡),因為只有(管理員B)對這個槽區擁有完全控制的權限;若要讀取的話,
則是完全不受影響的喔:
http://i.imgur.com/tIQ16t9.png
全講完了,不過好像都沒有提到(管理員A),其實平常除了放東西進去 F 槽之外都是按
上方的(管理員A),包括不小心遇到勒索病毒的時候。我測試了 Cerber、TeslaCrypt、C
ryptXXX(.crypt)、UltraCrypter(.cryp1, crypz)、Crypt0L0cker(.encrypted)、E
ncryptor RaaS 這幾種病毒,只要 UAC 彈出時不去手殘按到(管理員B),非系統槽的檔
案都不會有事。當然這邊可以再加個避免手殘的小技巧,就是給(管理員B)設一組簡單密
碼,(管理員A)維持不設密碼。
補充1:如果 D 槽存有大量日後需要修改的文件檔(word, excel...等),就請不要使用
這個方法囉。因為如果要編輯修改的話,可能還要把文件拉回桌面,修改完再放回 D 槽覆
蓋,或右鍵以管理員帳戶執行程式,再開啟舊檔選 D 槽的該文件方能編輯,非常麻煩。
補充2:切記如果將來要重灌電腦重灌 C 槽,一定要先把 D 槽的權限恢復原狀。首先要把
「Administrators」勾選完全控制,讓「Administrators」成為最高管理者,最後再把新
增的(管理員B)移除掉。這樣才可以避免 D 槽檔案的擁有者變成無主孤魂。
作者: George017 (阿丙)   2016-06-07 23:20:00
謝謝提供方法,那把自己的帳戶降階跟改從一般帳戶登入
作者: bcd91 (你的青春不復返)   2016-06-07 23:21:00
推推!
作者: George017 (阿丙)   2016-06-07 23:21:00
有差異嗎?如把自己現有的Admin視為A,新開一個一般的視為本例中的原帳戶管理員B的部份一樣->以上配置跟你的方法有差異嗎?
作者: go1717 (go一起一起當神)   2016-06-07 23:34:00
覺得這樣是在搞自己 而且你確定這顆硬碟都不會壞? 還是離線備份最少2份比較實在至少還能防止硬碟整個掛掉^^
作者: esty (一輩子做你的門徒。)   2016-06-07 23:38:00
推 謝謝分享 感謝
作者: srewq (南瓜)   2016-06-08 00:06:00
推! 謝謝分享
作者: mayuyu ((・ω・)ノ)   2016-06-08 00:23:00
大推!我把沒有權限的那個管理員A叫「魯蛇」有權限的管理員B叫「溫拿」 這樣也許就不會按錯了..
作者: abram (科科)   2016-06-08 00:25:00
推 看第一次還不懂 要多看幾次才懂
作者: mayuyu ((・ω・)ノ)   2016-06-08 00:32:00
有些資料夾因為繼承父物件的權限 所以方框變灰色無法修改在進階裡把繼承權限移除轉為明確權限就可以修改了
作者: l98 (尋找屬於我的星星)   2016-06-08 01:21:00
不錯的方法,但我剛才遇到的問題是要更新nvidia驅動時user群組不給更,有點小麻煩QQ
作者: mayuyu ((・ω・)ノ)   2016-06-08 23:40:00
有發現什麼問題嗎?
作者: lmkkml (小羊~~~)   2016-06-08 23:44:00
剛剛有版友問 D 槽刪除的東西去哪了,我找了好久QQ
作者: mayuyu ((・ω・)ノ)   2016-06-08 23:46:00
刪除的東西?
作者: lmkkml (小羊~~~)   2016-06-08 23:49:00
就是刪除原本儲放在D槽的檔案,我本文前面更新了。
作者: mayuyu ((・ω・)ノ)   2016-06-09 10:20:00
喔喔 我看到前面的更新了 沒辦法因為不同使用者的空間以及桌面都是獨立的 有一個同樣用不同使用者策略來實現沙盤的軟體叫做ReHIPS 一樣會有這個現象 所以算是正常?只是ReHIPS有做了一個虛擬桌面 讓我們可以快速切換不同使用者(沙盤)的桌面 手動的話就沒有辦法那麼方便只好登入切換到不同使用者的桌面才能處理了
作者: cbate (自由是用錢買不到的)   2016-06-21 05:02:00

Links booklink

Contact Us: admin [ a t ] ucptt.com