最近看到不少人中了病毒
( 不管是首頁綁架 或是挖礦 甚至是勒索病毒 )
至少我目前是沒中的
我提供一下我自己的心得
在 16 年前我還在使用 Win98 的時代
那時候不是很懂 忘記是中了甚麼病毒
總之是被搞得很慘 之後就開始自己摸索防毒
後來使用 XP 時 在 11 年前
我寫了這篇 #14v9Uzvb 的心得
不過後來就沒寫有關登錄資料庫和防火牆設定
後來這幾年改用 Win7 後
之前 XP 時期的登錄資料庫設定太久沒碰都忘了
然後那時候我用的 Sygate Personal Firewall
後來這家公司早就沒更新了 也跟 Win7 不相容
所以只好另外換防火牆
不過使用習慣還是一樣的道理
常常會看到有人寫
" 只要不亂點連結 不亂安裝軟體就沒事 "
或者是 " 只要裝了防毒軟體就沒事 "
這些都是錯誤的觀念
那樣做並不保證你的電腦沒事
只要你的使用習慣很差 照樣容易中獎
這裡要講的一點很重要
就是 " 預防重於治療 "
尤其是現在勒索病毒猖獗
一旦中獎 幾乎是無解
那預防就非常非常重要了
我的預防方式有以下幾點 :
( 以 Win7 SP1 Home Premium 為例 )
1. 帳號與密碼
任何帳號最好都要設密碼
而且開機時最好要輸入密碼才能登入
再來密碼最好用複雜的
例如用 $c0ttB0r@$ 既複雜又容易記
萬一真的被攻陷 要暴力破解也要花一些時間
然後要停用來賓帳戶
控制台/使用者帳戶與家庭安全/使用者帳戶/管理其他帳戶/
Guest來賓帳戶 將其關閉
2. 網路芳鄰
停用 File & Printer Sharing for Microsoft Networks
和 停用 NetBIOS over TCP/IP
控制台/網路及網際網路/網路共用中心/變更介面卡設定
點選你使用上網的介面卡 滑鼠右鍵/內容
將 File & Printer Sharing for Microsoft Networks 該選項打勾給取消
再點選 TCP/IPv4 /內容/進階
點選上方 WINS 的 Tab 選 停用 NetBIOS over TCP/IP
3. 檔案與資料夾
忘記是哪個病毒 檔案是放在預設隱藏的資料夾位置
就算用掃毒軟體或是 Adwcleaner 抓出來掃掉
後來還是會死灰復燃 因為躲在你隱藏的地方
檔案總管/組合管理/資料夾和搜尋選項/檢視
在 隱藏檔案和資料夾 選 顯示隱藏的檔案 資料夾和磁碟機
4. 服務
沒有用的服務就關掉它 如 Remote Desktop Services 和 Remote Registry
和 Internet Connect Sharing ( ICS )
開啟服務 :
a 開啟/電腦 右鍵/管理/服務與應用程式/服務
b 開啟/輸入 services.msc
停用 Remote Desktop Services 和 Remote Registry 和 ICS
我平時也停用 Printer Spooler 等到要列印再手動啟動
停用 TCP/IP NetBIOS Helper
同時看看描述是空白的服務 有沒有特殊異常的服務
本來 XP 還有 Terminal Service 的服務
不過 Win7 已經改到別的地方
開啟/電腦 右鍵/內容/ 遠端設定
將 允許到這台電腦的遠端協助連線 勾勾取消
另外也不要用 TeamViewer 這款遠端桌面軟體
5. 上網前的準備
除了開啟工作管理員之外
還要開啟命令提示字元
在 開始 / 所有程式 / 附屬應用程式 / 命令提示字元
然後輸入 netstat -an
先觀察上網前的數據以及工作管理員有沒有呈現 CPU 飆高的情形
以上兩者都有替代軟體
觀察網路數據可以用 TCPView http://imgur.com/a/xW6q1
而工作管理員可以用 Process Explorer http://imgur.com/a/0KPZz
6. Windows Update
一定要開啟自動更新 一定要開啟自動更新 一定要開啟自動更新
很重要所以要說三次
這次不少人中毒 就是因為沒有做更新
7. 用 NAT 方式上網
不管是用分享器或是 router
只要不是以實體方式連網 就不容易被攻進來
這種方式的 ip 都是 192.168.開頭的 ip
8. 其他軟體
不少病毒並非從 Windows 漏洞攻進來
而是其他軟體的漏洞 尤其是 Flash Player 和 Java
如果可以就移除 如果還是有需要 一定要做更新
http://imgur.com/a/EGaQW 這也是我愛用 Avast 的原因
9. 瀏覽器外掛
現在有很多瀏覽器的安全連線外掛
如 McAfee 的 WebAdvisor Avira 的 Browser Safety
Avast 的 Online Safety http://imgur.com/a/Hf7XU
安裝這些可以防止亂點到危險連結 http://imgur.com/a/f91nX
另外安裝 Adblock Plus 之類的防廣告外掛
也多少可以防範一些網頁廣告
另外也不要亂點不明連結
也不要隨便逛特定網站 尤其是對岸的
10. 防毒軟體 防駭軟體 及防火牆
這些該裝的還是要安裝 而且不要因為麻煩就停掉
至於哪些比較好用 我個人都是用免費的
重要的是 這三者中
一定要有一個是有 HIPS ( 主動入侵防禦系統 ) 方式的
http://imgur.com/a/L2uWZ
HIPS 是能監控你電腦中檔案的運行 檔案運用其他的檔案
以及檔案對於登錄資料庫的修改 並向你報告尋求允許
只要你阻止了 那麼它就無法運行及更改
11. 開啟 UAC ( 使用者帳戶控制 )
千萬不要嫌跳出視窗很麻煩就關掉它
否則一旦中獎 後悔就來不及了
控制台/使用者帳戶和家庭安全/使用者帳戶/變更使用者帳戶控制設定
不要調到最底下 ( 即不要通知 )
12. 備份資料
備份檔案資料一定要用異地備份
例如光碟機或是上傳至雲端 如果要用外接硬碟備份
備份完後一定要拔掉 如果還是連在主機 一樣一起中獎
13. 開啟信件 以 Outlook 2010 為例
http://tinyurl.com/kxlu42z
不要任意開啟郵件附加檔
即使是朋友寄來的也要特別小心
14. 關閉自動撥放
這是要防 USB 病毒的
控制台/硬體與音效/自動撥放
將 所有媒體與裝置都使用自動撥放功能 的勾勾取消
以前在用 XP 時 我會用登錄資料庫設定和 Sygate Personal Firewall
把 135-139 和 445 的 port 全部關起來
( Sygate 是 NIPS 的防火牆 可以直接針對特定 port 來設定
可是 Comodo 好像不行 我試過幾次都沒成功 ) http://imgur.com/a/o2lvi
現在用 Win7 135 和 445 的 port 一直都是開的 @@
目前是用別的方式 好像是這樣 http://imgur.com/a/VqgQu
總之雖然目前 135 445 port 是開啟的
但是從 https://doublepulsar.below0day.com/ scan 是沒問題的
大概就是這樣 之後想到再補充

大推專業分享

推專業

推，專業文

push

好文，推我用過 AVG.Avast.Avira.Bitdefender.Norton.Kaspersky.PCCillin.Windowd defender.Emsisoft.Panda.Comodo 等等，Emsisoft 是我首選 ;)

推

虛擬機器和沙盒我還沒用 不過兩者中我傾向用前者 因為看過有的勒索病毒可以繞過沙盒

好心得卡巴也有檢查其他軟體更新 HIPS 封PORT的功能卡巴預設就把135-139 445跟Remote Desktop的3389都封了

看到好熟的ID，原來我正在看mobile01上KevinYu0504大的文

被樓上記住了 (羞)

推 感謝分享心得請問您說的勒索病毒可以繞過的沙盒是哪一個？順帶一提 目前沒有看過勒索病毒可以穿透虛擬機器但是虛擬機器也有重大的執行任意程式碼的漏洞例如VMWare 12.5.2之前的12.x版本有一個嚴重的drag-and-drop漏洞可以讓guest穿透虛擬機在host主機中執行任意程式碼而今年三月的Pwn2Own大賽 駭客又利用edge+vmware的漏洞展示過程只需要90秒就攻破虛擬機 可以執行任意程式碼取得主機的最高權限 VMware六天後緊急推出12.5.5來修補所以即使是沙盒或虛擬機都還是可能存在漏洞的只是在野外的真實世界中 沒有看過利用這些漏洞的勒索樣本

https://www.cc.ntu.edu.tw/chinese/epaper/0038/20160920_3807.html延遲一小時以上才執行，避開傳統沙箱的偵測，因為沙箱通常只能運行幾分鐘

沙盒還是極少數人在使用 攻克難度高 不如往其他漏洞鑽

卡巴的應用程式控制好用，但軟體設定繁複，設定檔存好就一勞永逸，Emsi也還不錯，設定無敵簡單，防護效果也不錯，尤其可以用試用30天去刷授權，等於免費試用

最近藉網路漏洞進來的勒索病毒 沙盒應該就沒用了

原來是指這種防毒「檢測時」使用的沙箱我以為是指Sandboxie或Comodo的Container(Sandboxie就是你貼的文章中推薦的沙盒)Comodo最近是有bypass的例子https://www.youtube.com/watch?v=gWo0XnLHr3g但那是因為該惡意程式被雲端信任 根本沒有進入沙箱如果有進沙箱 應該是不可能逃逸的Comodo的防火牆應該可以擋住這次的網路攻擊從一開始大概就無法入侵 即使被入侵執行木馬下載其他惡意軟體時也會被抓到自動沙盒

COMODO沙盒就怕白名單PASS 對新軟體用手動入沙就沒問題了

附帶一提 如果想檢查「從外面」是否看得到自己的port開啟網路上有很多Open Port Check的工具網站譬如說no-ip提供的 http://www.portchecktool.com/如果你是用數據機硬撥取得實體IP主機是躲在數據機後面用NAT上網 有數據機的防火牆擋著通常檢查所有port都會是關閉的除非你有另外打開Virtual Server(Port Forwarding)

謝謝 我用那個連結查詢 果然那些port都是關的我是有Oracle的VirtualBox Comodo自己也有沙盒 不過我只是一般玩家 所以還沒有玩過 因為已經10幾年沒中毒了就還沒想要用那些

comodo要有設定阻擋那些port才能擋住一般人裝完comodo大概不會去特地去設有看到實例是入侵後把comodo 8的沙箱 HIPS VirusScope關掉的comodo 10就不確定能不能被關掉

請問 Comodo v8 要如何設定擋住 port ?

總之, OS的漏洞一定要先補起來

感謝port check網站,看來已關

comodo要擋port就:防火牆->全域規則 裏面去新增規則

謝謝 原來是先在連接埠組先定義 再到全域規則設定難怪我光在連接埠組弄半天都沒用

nat下所有的對外連接埠都是關閉的,如果要擋直接在分享器下規則就好

那請問kevin大之前看了你的文章買了終身版的malwarebytes，有需要換成emsisoft嗎？