推 abramtw: 要小心不要為了找xplorer2的盜版就又中勒索病毒了 06/05 19:53
→ abramtw: 第一次看到有白名單程式才能擷取目錄的軟體 有創意 06/05 19:54
推 abramtw: 給推 06/05 19:56
推 h9h9ji3g4go6: 請問不開刪除權限是不是就可以預防了呢? 06/05 20:09
推 mmis1000: 他可以寫入完改名啊,完全沒有刪除任何東西 06/05 20:20
推 lsk200000: 請問用之前版友寫的監控!test資料夾內的檔案是否有效? 06/05 21:20
推 hamayu: 想請教己經中毒但還有尚未被加密的檔案想用lmkkml大大介 06/05 21:25
→ hamayu: 介紹的第一個方法後再移到隨身硬碟是不是就可以救這些檔 06/05 21:25
→ mayuyu: 第一個方法是中毒前的防禦 已經被加密的檔案就無救 06/05 21:32
→ mayuyu: 未被加密的檔案可以用另一個系統(例如救援光碟)把檔案copy 06/05 21:32
→ mayuyu: 出來 06/05 21:32
→ mayuyu: 我還沒有中過勒索軟體 不知道用監控的方法有沒有效 06/05 21:32
→ mayuyu: 另外存取控制我是設為只能讀取 不能刪除也不能寫入修改檔 06/05 21:33
→ mayuyu: 案 06/05 21:33
→ mayuyu: 譬如說放MP3的資料夾 所有軟體都可以讀取裡面的資料 06/05 21:33
→ mayuyu: 但是只有檔案管理軟體 轉檔播放軟體(foobar2000) 解壓縮軟 06/05 21:33
→ mayuyu: 體 06/05 21:34
→ mayuyu: 可以修改MP3資料夾裡面的檔名、TAG以及寫入新的檔案 06/05 21:34
→ mayuyu: 而Secure Folders對勒索軟體測試是有效的 影片 06/05 21:34
→ mayuyu: 注意影片裡白名單程式沒有explorer.exe所以才能成功防禦 06/05 21:34
→ mayuyu: 如果有放行explorer.exe就會被加密! 06/05 21:34
→ mayuyu: Secure Folders還有兩個EFL沒有的功能 06/05 21:34
→ mayuyu: 一個是它可以設定資料夾禁止執行 06/05 21:35
→ mayuyu: 也就在這個資料夾底下的執行檔都不能被啟動執行(anti-exe) 06/05 21:35
→ mayuyu: 另一個是它可以直接指定附檔名 例如設定*.mp3只能讀取 06/05 21:35
→ mayuyu: 這樣全系統所有磁碟機的.mp3都只能被讀取 06/05 21:35
→ mayuyu: 只有白名單的程式可以修改和刪除 06/05 21:35
推 lmkkml: 其實我先前寫的內容好像都沒有一次寫齊全過,麻友友大大果 06/05 23:26
→ lmkkml: 然厲害一看就知道我那個作法最關鍵的地方就是 UAC(有時 06/05 23:26
→ lmkkml: 間再來補齊這一部分)。另外認同沒有 100% 的防禦,就算是 06/05 23:26
→ lmkkml: 離線備份應該是大家最認可的最終手段,也都還存在著空窗 06/05 23:26
→ lmkkml: 期(除非能做到每日或每周離線備份)。我想只要是符合安 06/05 23:26
→ lmkkml: 全又不失便利,藉由一些軟體(Sandboxie 等麻友友大文中 06/05 23:26
→ lmkkml: 提到的軟體)或任何手段來效彌補離線備份的空窗期都蠻不 06/05 23:26
→ lmkkml: 錯的。 06/05 23:26
→ eggM: 請問lmkkml大的第一種方式與新增一個使用者是並用還是擇一呢 06/06 10:45
推 lmkkml: 把自己降為使用者保留目前狀態比較方便,自己開一個使用 06/06 11:31
→ lmkkml: 者來用等於嶄新的開始,二選一。 06/06 11:31
lmkkml大的方法是我看過最好用的,既簡單又方便,
又不用安裝額外的軟體,而且對現在的勒索軟體都有防禦效果,
覺得好可惜這個方法好像很少人看到,很少人用,
所以借引言回覆讓大家再看一下,真的非常推薦這個方法,
大家可以試試看。
還有我看到一些新聞報導,說這次的UltraCrypter(.cryp1)病毒,
也是感染後在 %AppData% 或 %LocalAppData% 資料夾底下,
釋放名稱亂數生成的.exe,接著執行掃描全機可存取的磁碟,
並且進行檔案加密。
所以我們可以運用群組原則編輯器(gpedit.msc)新增規則,
禁止在 %AppData% 或者 %LocalAppData% 兩個資料夾底下啟動程式,
因為很多木馬如果有執行檔的話經常會放在這個地方,
所以封鎖這個地方的執行檔啟動會具有一些保護效果。
也可以用禁止程式執行(anti-exe)的軟體,
例如Secure Folders同時有anti-exe的功能,把
C:\Users\使用者名稱\AppData\Roaming\
C:\Users\使用者名稱\AppData\Local\
這兩個資料夾加入保護設為「No-execution」,
這樣放在這個資料夾下的可執行檔木馬就無法啟動。
不過要注意的還是白名單程式,
如果白名單程式被利用去呼叫啟動這些資料夾底下的執行檔,
這些執行檔還是可以執行成功的,
所以選擇放在白名單裡的程式的時候一定要非常小心。
※ 編輯: mayuyu (61.219.36.46), 06/06/2016 12:44:24