https://goo.gl/IclVFj https://www.facebook.com/permalink.php?story_fbid=10209215541764937&id=1212795524 關於勒索病毒的工作模式 我想了一下後 歸納出了他的工作模式 以及手動抵禦方法 根據WINDOWS的執行特性 絕大多數的常駐病毒 都是以SYSTEM身分在執行的 (雖然存在以使用者運行的方法) 除非病毒是經由使用者人工(手賤)開啟的 而SYSTEM是個特殊的使用者角色 用來表示WINDOWS OS本身在運行時執行的身分 凡舉自動更新到系統記錄 任何不經過人手就會自動執行的行為都屬於SYSTEM 而人類使用者的手動操作行為 無論是在執行什麼操作 都必然是以[使用者本人]的名義在進行的 絕對不會有例外 因此 從這一點可以非常明確的區分 病毒(SYSTEM)與使用者間的操作行為 一般來說 SYSTEM的自動操作行為中 除了防毒會四處亂跑以外 其餘多半僅會局限於系統碟內 所以 選擇一個專門用於資料用的磁區 把NTFS安全性選項中的"修改"權限給抹除掉 (NTFS的安全性進階權限中 包含非常細膩的存取操作 主要分別包含 讀取 新增 追加 修改 刪除 ) 勒索軟體的工作模式無非就是 以SYSTEM身分在背景自動執行 先檢索整個硬碟 當發現到目標檔案時 製作一份加密檔 然後再刪除舊有檔案 因此 若移除SYSTEM對資料區的修改與刪除檔案的權限的話 那麼病毒就無法破壞現有檔案 但是 系統讀取/執行檔案等等的基本功能依然存在 雖然防護範圍僅限於資料碟 系統碟的檔案仍然會受損 不過這點小事只要重灌就好 或著是 移除SYSTEM對目錄瀏覽的權限的話 病毒就無法搜尋資料區的檔案 既然無法搜尋 就無法刪除 除非直接傳入PATH 當然 這部分行為還要考量一下 系統到底會不會有檢索目錄的需要 目前已知 防毒軟體以及"自動排程" 都會以SYSTEM的身分四處週遊檔案 除此之外 絕大多數的系統操作 都不應涉入到資料區內 雖然這樣的動作 會導致系統防毒軟體在工作時 無法刪除資料區的病毒檔案(更多時候是序號機&破解檔) 不過相較於文件損毀的成本之下 這完全不是大問題 而且 病毒並不流行隱藏在資料區中 病毒最喜歡藏匿的地方在WINDOWS system32 helps目錄中 所以 這個方案可以非常有效的抵禦對於勒索病毒的竄改攻擊 當然 資料碟請就保持資料乾淨 不要把一些系統性檔案 例如分頁檔(pagefile)給丟進去 這樣會讓系統非常困擾的 - 未來如果要防止這類病毒攻擊 就必須根本之道的 縮限SYSTEM的自動執行權限 讓SYSTEM 不應該在系統碟以外的地方四處遊蕩 SYSTEM 本來就只是用來運作WINDOWS用的角色 所以本來就不應該也沒必要踏入資料區內 --

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 118.163.72.102 ※ 文章網址: https://webptt.com/m.aspx?n=bbs/AntiVirus/M.1494705139.A.45D.html ※ 編輯: JeremyJoung (118.163.72.102), 05/15/2017 02:30:00