再推一下lmkkml大大介紹的第一個方法， 很好用，有效又方便。 ※ 引述《lmkkml (小羊~~~)》之銘言： : 這篇是我不久前在Mobile01 上面 PO的測試文章，在這邊先打預防針， : 測試結果不保證適用所有勒索病毒，不過我能拿到的勒索病毒無論新舊幾乎都全用上了： : ［心得］勒索病毒預防和救援簡單測試（CryptXXX、CERBER、LOCKY、TeslaCrypt） : http://tinyurl.com/gumkfnv : 以就算中毒，病毒也無法加密到非系統槽的重要檔案為目標， : 然後在這樣的前提下還要可以自在的寫入/讀取/搬移檔案， : 又不因為了預防勒索病毒而變得綁手綁腳。以下節錄幾個可行的方法： : 1.使用使用者帳戶：推薦指數 ★★★★★ : 具體做法為額外創建一個使用者帳戶， : 僅開放某磁碟機或特定資料夾之讀取權限給該使用者帳戶使用， : 這邊以磁碟機 F 槽為例，於 F 槽上按右鍵點選內容→安全性→編輯， : 進入變更權限視窗後→選取Authenticated Users→ : 取消寫入僅保留允許讀取相關的勾勾如下圖→按下「確定」。 : 日後操作電腦只登入使用者帳戶，而資料都放在磁碟機 F 槽底下； : 使用者帳戶若中毒，病毒也無法取得修改權限進行加密。 : 上述設定若順利完成，會發現若要在 F 槽新增或修改現有檔案時， : 會出現要求輸入管理員密碼的使用者帳戶控制彈窗， : （如果電腦只是個人使用，管理員帳戶不設密碼也無所謂） : 這時按下「是」即可在 F 槽新增或修改現有檔案。 : http://i.imgur.com/epcC9O6.png 如果你目前的帳戶已經是系統管理員，可以再新增一個系統管理員帳戶， 然後把目前的帳戶轉為一般使用者， 就可以改用一般使用者的身份登入目前的桌面，保留之前的設定。 有兩個以上的帳戶需要開機自動登入的話，按WIN+R鍵，輸入netplwiz按Enter， 取消打勾「必須輸入使用者名稱和密碼，才能使用這台電腦」， 選取要自動登入的帳戶按確定，然後輸入登入密碼， 不想設密碼的話就維持空白按確定關閉對話框， 這樣以後開機就會自動用一般使用者的帳戶登入Windows。 然後記得開啟UAC，這樣有程式要求系統管理員權限的時候就會自動通知， 沒有系統管理者權限就無法修改被保護的資料夾。 另外有一些可以將檔案、資料夾、整個磁碟機上鎖保護起來的軟體， 例如Secure Folders、Easy File Locker等等， Secure Folders(已經不再更新，原網站已消滅，務必關閉軟體自動更新功能 ) http://www.softpedia.com/get/Security/Security-Related/Secure-Folders.shtml Easy File Locker(Shadow Defender的作者寫的) http://www.xoslab.com/efl.html 其他還有很多類似的軟體。 這些軟體在系統核心安裝驅動過濾讀寫的要求+使用系統存取控制清單， 來限制受保護的資料夾只允許白名單內的程式存取和修改。 如果程式不在白名單內，即使是系統管理員權限也無法存取和修改這些資料夾， 所以即使不幸遇到零時差的提權漏洞攻擊，讓惡意程式取得系統管理員權限， 它還是無法修改這些受保護的資料夾。 不過有一個很大的問題是，一般人會放行檔案總管explorer.exe為白名單程式， 這樣才能對這些資料夾進行檔案管理，但是explorer.exe經常被惡意程式利用， 所以放行explorer.exe便無法保護這些資料夾不被惡意程式修改， 例如CTB-Locker就可以透過explorer.exe加密受保護的資料夾。 所以如果你有使用另外的檔案管理軟體，例如Xplorer2、FreeCommander等等， 就可以不用放行explorer.exe。 或者是你有用其他保護軟體保護explorer.exe， 禁止其他程式注入和修改explorer.exe， 那麼才可以把explorer.exe放進白名單裡。 第二個問題是這些軟體都無法阻擋直接底層磁碟的操作， 例如用WinHex直接編輯磁區就可以繞過ACLs的保護， 如果有加密勒索軟體使用直接底層讀寫， 那麼這些依於檔案系統的存取控制就無法發揮作用。 所以Easy File Locker(Shadow Defender的作者)有說 Easy File Locker不保證能夠防護所有加密勒索軟體。 另外Secure Folders也不能防護從網路磁碟進來的存取。 所以這些軟體可以提供相當程度的保護， 不過還是不能保證可以100%防禦。 如果使用沙盤的話，沙盤也不能保證100%， 不過它有多加一些限制，理論上會再更安全一點。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.46 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465127023.A.96E.html lmkkml大的方法是我看過最好用的，既簡單又方便， 又不用安裝額外的軟體，而且對現在的勒索軟體都有防禦效果， 覺得好可惜這個方法好像很少人看到，很少人用， 所以借引言回覆讓大家再看一下，真的非常推薦這個方法， 大家可以試試看。 還有我看到一些新聞報導，說這次的UltraCrypter(.cryp1)病毒， 也是感染後在 %AppData% 或 %LocalAppData% 資料夾底下， 釋放名稱亂數生成的.exe，接著執行掃描全機可存取的磁碟， 並且進行檔案加密。 所以我們可以運用群組原則編輯器(gpedit.msc)新增規則， 禁止在 %AppData% 或者 %LocalAppData% 兩個資料夾底下啟動程式， 因為很多木馬如果有執行檔的話經常會放在這個地方， 所以封鎖這個地方的執行檔啟動會具有一些保護效果。 也可以用禁止程式執行(anti-exe)的軟體， 例如Secure Folders同時有anti-exe的功能，把 C:\Users\使用者名稱\AppData\Roaming\ C:\Users\使用者名稱\AppData\Local\ 這兩個資料夾加入保護設為「No-execution」， 這樣放在這個資料夾下的可執行檔木馬就無法啟動。 不過要注意的還是白名單程式， 如果白名單程式被利用去呼叫啟動這些資料夾底下的執行檔， 這些執行檔還是可以執行成功的， 所以選擇放在白名單裡的程式的時候一定要非常小心。 ※ 編輯: mayuyu (61.219.36.46), 06/06/2016 12:44:24