作者lmkkml (小羊~~~)
看板AntiVirus
标题[心得] 预防勒索病毒方法试作
时间Tue Jun 7 22:51:11 2016
更新1:抱歉!因考虑不周,请大家不要再尝试使用这个方法。已经使用的人,请先将 D
槽等所有非系统槽中的「Administrators」勾选完全控制後,再一步步尽可能恢复原状。
因为有版友测试当删除 D 槽档案之後,该档案并不会出现在垃圾桶里;为避免有人因此误
删档案,所以在这边请大家不要再去尝试使用这个方法,非常抱歉。
更新2:经回报,上述情形删除的档案会跑到该管理员帐户底下,登入该帐户,垃圾桶就可
以看得到被删除档案。但还是请大家不要再尝试这个方法,毕竟还不够成熟,也给目前带
来困扰的版友说声抱歉。
先说一下这个方法的适用情况,我想要做到的效果是利用权限控制的方式让 D 槽、E 槽等
拿来存放重要档案的非系统槽即使在勒索病毒执行後(无论病毒有没有拿到系统管理者的
权限),里面的档案也可以安然无恙。此方法切勿拿来设定 C 槽系统槽。
总共需要三个帐户,一个标准使用者帐户(把自己当下使用的管理员帐户转为使用者帐户
即可,但这个步骤最好留在最後再做,因为过程中会不断需要管理员权限,最後做可以避
免大量的 UAC 弹窗,这边先提只是方便讲解)、两个管理员帐户(新增两个管理员帐户,
名称可以不要像我下图取得那样中二,但方便自己分辨两帐户即可,这两个帐户我重头到
尾都没真正进去过,也就是单纯制造两个额外帐户出来而已)。
http://i.imgur.com/uTdzBQU.png
操作到这里我们有了三个管理员帐户。接着是非系统槽权限设定的部分,这边以 F 槽为例
,於 F 槽上按右键进入「安全性」应该会如下图,这是最原始还没任何设定过的样子:
http://i.imgur.com/qyyX4AM.png
里面看到有四个权限群组,首先按「编辑」→「新增」→「进阶」→「立即寻找」找到要
拿来存放档案的管理者帐户(管理员B-若要存放档案按这里)→「确定」
http://i.imgur.com/sWCJ3IY.png
然後将(管理员B-若要存放档案按这里)勾选给它拥有「完全控制」的权限,如下图:
http://i.imgur.com/gYhfU7b.png
再来点选「Authenticated Users」把允许「写入」的勾勾取消掉,变成这样:
http://i.imgur.com/8D700Z3.png
最後点选「Administrators」把允许「写入」的勾勾取消掉,最终的样子会如下图,到这
边权限部分就算全部设定完成了:
http://i.imgur.com/zrJ3rgL.png
接着到这里才把自己正在使用的帐户降为标准使用者帐户。这边说明一个额外会遇到的问
题,我们有了一个使用者帐户、两个管理员帐户总共三帐户要怎麽设定才能让电脑一开机
就自动登入我们的要的使用者帐户呢?请参考下面联强网页的说明:
http://tinyurl.com/hqaxazz
这样就设定完成了,这个时候如果我们要放东西进去 F 槽,会跳出一个询问视窗如下图,
就类似磁碟机加密软体一样,输入密码才可以进入,要存放东西就选择(管理员B-若要存
放档案按这里),因为只有(管理员B)对这个槽区拥有完全控制的权限;若要读取的话,
则是完全不受影响的喔:
http://i.imgur.com/tIQ16t9.png
全讲完了,不过好像都没有提到(管理员A),其实平常除了放东西进去 F 槽之外都是按
上方的(管理员A),包括不小心遇到勒索病毒的时候。我测试了 Cerber、TeslaCrypt、C
ryptXXX(.crypt)、UltraCrypter(.cryp1, crypz)、Crypt0L0cker(.encrypted)、E
ncryptor RaaS 这几种病毒,只要 UAC 弹出时不去手残按到(管理员B),非系统槽的档
案都不会有事。当然这边可以再加个避免手残的小技巧,就是给(管理员B)设一组简单密
码,(管理员A)维持不设密码。
补充1:如果 D 槽存有大量日後需要修改的文件档(word, excel...等),就请不要使用
这个方法罗。因为如果要编辑修改的话,可能还要把文件拉回桌面,修改完再放回 D 槽覆
盖,或右键以管理员帐户执行程式,再开启旧档选 D 槽的该文件方能编辑,非常麻烦。
补充2:切记如果将来要重灌电脑重灌 C 槽,一定要先把 D 槽的权限恢复原状。首先要把
「Administrators」勾选完全控制,让「Administrators」成为最高管理者,最後再把新
增的(管理员B)移除掉。这样才可以避免 D 槽档案的拥有者变成无主孤魂。
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 1.175.27.117
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/AntiVirus/M.1465311074.A.698.html
1F:→ George017: 谢谢提供方法,那把自己的帐户降阶跟改从一般帐户登入 06/07 23:20
2F:推 bcd91: 推推! 06/07 23:21
3F:→ George017: 有差异吗?如把自己现有的Admin视为A,新开一个一般的 06/07 23:21
4F:→ George017: 视为本例中的原帐户 06/07 23:21
5F:→ George017: 管理员B的部份一样->以上配置跟你的方法有差异吗? 06/07 23:23
以最後的结论来说没差异。但有个细节要注意,例如我把管理员A的名字改叫做管理员C,
UAC跳出时会变成B在上C在下,而滑鼠预设的指定位置都是上方的那个帐户,这样会跟一般
使用习惯不太符合,简言之就是取名字关系到顺序啦。
6F:→ go1717: 觉得这样是在搞自己 而且你确定这颗硬碟都不会坏? 还是 06/07 23:34
7F:→ go1717: 离线备份最少2份比较实在 06/07 23:34
8F:→ go1717: 至少还能防止硬碟整个挂掉^^ 06/07 23:35
我想任何方法都跟离线备份不冲突吧。
9F:推 esty: 推 谢谢分享 感谢 06/07 23:38
※ 编辑: lmkkml (1.175.27.117), 06/07/2016 23:51:47
10F:推 srewq: 推! 谢谢分享 06/08 00:06
11F:推 mayuyu: 大推! 06/08 00:23
12F:→ mayuyu: 我把没有权限的那个管理员A叫「鲁蛇」 06/08 00:23
13F:→ mayuyu: 有权限的管理员B叫「温拿」 这样也许就不会按错了.. 06/08 00:23
14F:推 abram: 推 看第一次还不懂 要多看几次才懂 06/08 00:25
15F:推 mayuyu: 有些资料夹因为继承父物件的权限 所以方框变灰色无法修改 06/08 00:32
16F:→ mayuyu: 在进阶里把继承权限移除转为明确权限就可以修改了 06/08 00:32
麻友友大,限制「Administrators」的权限这部分带来的问题似乎比原先我想像的多,先
终止这个方法好了,抱歉。
17F:推 l98: 不错的方法,但我刚才遇到的问题是要更新nvidia驱动时user群 06/08 01:21
18F:→ l98: 组不给更,有点小麻烦QQ 06/08 01:21
使用 USER 帐户的确没有那麽方便,歹势~
※ 编辑: lmkkml (1.175.27.117), 06/08/2016 23:41:59
19F:推 mayuyu: 有发现什麽问题吗? 06/08 23:40
20F:→ lmkkml: 刚刚有版友问 D 槽删除的东西去哪了,我找了好久QQ 06/08 23:44
21F:→ mayuyu: 删除的东西? 06/08 23:46
22F:→ lmkkml: 就是删除原本储放在D槽的档案,我本文前面更新了。 06/08 23:49
23F:推 mayuyu: 喔喔 我看到前面的更新了 没办法因为不同使用者的空间 06/09 10:20
24F:→ mayuyu: 以及桌面都是独立的 有一个同样用不同使用者策略来实现 06/09 10:20
25F:→ mayuyu: 沙盘的软体叫做ReHIPS 一样会有这个现象 所以算是正常? 06/09 10:21
26F:→ mayuyu: 只是ReHIPS有做了一个虚拟桌面 让我们可以快速切换 06/09 10:21
27F:→ mayuyu: 不同使用者(沙盘)的桌面 手动的话就没有办法那麽方便 06/09 10:21
28F:→ mayuyu: 只好登入切换到不同使用者的桌面才能处理了 06/09 10:22
我昨天一直往以系统管理员身分执行资源回收桶这个方向去想,没有想到切换帐号就可以
了,头晕了~
※ 编辑: lmkkml (1.175.27.117), 06/09/2016 13:41:40