[心得] 預防勒索病毒方法試作

作者lmkkml (小羊~~~)

看板AntiVirus

標題[心得] 預防勒索病毒方法試作

時間Tue Jun 7 22:51:11 2016

更新1：抱歉！因考慮不周，請大家不要再嘗試使用這個方法。已經使用的人，請先將 D 槽等所有非系統槽中的「Administrators」勾選完全控制後，再一步步儘可能恢復原狀。因為有版友測試當刪除 D 槽檔案之後，該檔案並不會出現在垃圾桶裡；為避免有人因此誤刪檔案，所以在這邊請大家不要再去嘗試使用這個方法，非常抱歉。更新2：經回報，上述情形刪除的檔案會跑到該管理員帳戶底下，登入該帳戶，垃圾桶就可以看得到被刪除檔案。但還是請大家不要再嘗試這個方法，畢竟還不夠成熟，也給目前帶來困擾的版友說聲抱歉。先說一下這個方法的適用情況，我想要做到的效果是利用權限控制的方式讓 D 槽、E 槽等拿來存放重要檔案的非系統槽即使在勒索病毒執行後（無論病毒有沒有拿到系統管理者的權限），裡面的檔案也可以安然無恙。此方法切勿拿來設定 C 槽系統槽。總共需要三個帳戶，一個標準使用者帳戶（把自己當下使用的管理員帳戶轉為使用者帳戶即可，但這個步驟最好留在最後再做，因為過程中會不斷需要管理員權限，最後做可以避免大量的 UAC 彈窗，這邊先提只是方便講解）、兩個管理員帳戶（新增兩個管理員帳戶，名稱可以不要像我下圖取得那樣中二，但方便自己分辨兩帳戶即可，這兩個帳戶我重頭到尾都沒真正進去過，也就是單純製造兩個額外帳戶出來而已）。 http://i.imgur.com/uTdzBQU.png

操作到這裡我們有了三個管理員帳戶。接著是非系統槽權限設定的部分，這邊以 F 槽為例，於 F 槽上按右鍵進入「安全性」應該會如下圖，這是最原始還沒任何設定過的樣子： http://i.imgur.com/qyyX4AM.png

裡面看到有四個權限群組，首先按「編輯」→「新增」→「進階」→「立即尋找」找到要拿來存放檔案的管理者帳戶（管理員B-若要存放檔案按這裡）→「確定」 http://i.imgur.com/sWCJ3IY.png

然後將（管理員B-若要存放檔案按這裡）勾選給它擁有「完全控制」的權限，如下圖： http://i.imgur.com/gYhfU7b.png

再來點選「Authenticated Users」把允許「寫入」的勾勾取消掉，變成這樣： http://i.imgur.com/8D700Z3.png

最後點選「Administrators」把允許「寫入」的勾勾取消掉，最終的樣子會如下圖，到這邊權限部分就算全部設定完成了： http://i.imgur.com/zrJ3rgL.png

接著到這裡才把自己正在使用的帳戶降為標準使用者帳戶。這邊說明一個額外會遇到的問題，我們有了一個使用者帳戶、兩個管理員帳戶總共三帳戶要怎麼設定才能讓電腦一開機就自動登入我們的要的使用者帳戶呢？請參考下面聯強網頁的說明： http://tinyurl.com/hqaxazz 這樣就設定完成了，這個時候如果我們要放東西進去 F 槽，會跳出一個詢問視窗如下圖，就類似磁碟機加密軟體一樣，輸入密碼才可以進入，要存放東西就選擇（管理員B-若要存放檔案按這裡），因為只有（管理員B）對這個槽區擁有完全控制的權限；若要讀取的話，則是完全不受影響的喔： http://i.imgur.com/tIQ16t9.png

全講完了，不過好像都沒有提到（管理員A），其實平常除了放東西進去 F 槽之外都是按上方的（管理員A），包括不小心遇到勒索病毒的時候。我測試了 Cerber、TeslaCrypt、C ryptXXX（.crypt）、UltraCrypter（.cryp1, crypz）、Crypt0L0cker（.encrypted）、E ncryptor RaaS 這幾種病毒，只要 UAC 彈出時不去手殘按到（管理員B），非系統槽的檔案都不會有事。當然這邊可以再加個避免手殘的小技巧，就是給（管理員B）設一組簡單密碼，（管理員A）維持不設密碼。補充1：如果 D 槽存有大量日後需要修改的文件檔（word, excel...等），就請不要使用這個方法囉。因為如果要編輯修改的話，可能還要把文件拉回桌面，修改完再放回 D 槽覆蓋，或右鍵以管理員帳戶執行程式，再開啟舊檔選 D 槽的該文件方能編輯，非常麻煩。補充2：切記如果將來要重灌電腦重灌 C 槽，一定要先把 D 槽的權限恢復原狀。首先要把「Administrators」勾選完全控制，讓「Administrators」成為最高管理者，最後再把新增的（管理員B）移除掉。這樣才可以避免 D 槽檔案的擁有者變成無主孤魂。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 1.175.27.117 ※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465311074.A.698.html

→ George017: 謝謝提供方法，那把自己的帳戶降階跟改從一般帳戶登入 06/07 23:20

推 bcd91: 推推! 06/07 23:21

→ George017: 有差異嗎？如把自己現有的Admin視為A，新開一個一般的 06/07 23:21

→ George017: 視為本例中的原帳戶 06/07 23:21

→ George017: 管理員B的部份一樣->以上配置跟你的方法有差異嗎？ 06/07 23:23

以最後的結論來說沒差異。但有個細節要注意，例如我把管理員A的名字改叫做管理員C， UAC跳出時會變成B在上C在下，而滑鼠預設的指定位置都是上方的那個帳戶，這樣會跟一般使用習慣不太符合，簡言之就是取名字關係到順序啦。

→ go1717: 覺得這樣是在搞自己而且你確定這顆硬碟都不會壞？還是 06/07 23:34

→ go1717: 離線備份最少2份比較實在 06/07 23:34

→ go1717: 至少還能防止硬碟整個掛掉^^ 06/07 23:35

我想任何方法都跟離線備份不衝突吧。

推 esty: 推謝謝分享感謝 06/07 23:38

※ 編輯: lmkkml (1.175.27.117), 06/07/2016 23:51:47

推 srewq: 推! 謝謝分享 06/08 00:06

推 mayuyu: 大推! 06/08 00:23

→ mayuyu: 我把沒有權限的那個管理員A叫「魯蛇」 06/08 00:23

→ mayuyu: 有權限的管理員B叫「溫拿」這樣也許就不會按錯了.. 06/08 00:23

推 abram: 推看第一次還不懂要多看幾次才懂 06/08 00:25

推 mayuyu: 有些資料夾因為繼承父物件的權限所以方框變灰色無法修改 06/08 00:32

→ mayuyu: 在進階裡把繼承權限移除轉為明確權限就可以修改了 06/08 00:32

麻友友大，限制「Administrators」的權限這部分帶來的問題似乎比原先我想像的多，先終止這個方法好了，抱歉。

推 l98: 不錯的方法，但我剛才遇到的問題是要更新nvidia驅動時user群 06/08 01:21

→ l98: 組不給更，有點小麻煩QQ 06/08 01:21

使用 USER 帳戶的確沒有那麼方便，歹勢~ ※ 編輯: lmkkml (1.175.27.117), 06/08/2016 23:41:59

推 mayuyu: 有發現什麼問題嗎？ 06/08 23:40

→ lmkkml: 剛剛有版友問 D 槽刪除的東西去哪了，我找了好久QQ 06/08 23:44

→ mayuyu: 刪除的東西？ 06/08 23:46

→ lmkkml: 就是刪除原本儲放在D槽的檔案，我本文前面更新了。 06/08 23:49

推 mayuyu: 喔喔我看到前面的更新了沒辦法因為不同使用者的空間 06/09 10:20

→ mayuyu: 以及桌面都是獨立的有一個同樣用不同使用者策略來實現 06/09 10:20

→ mayuyu: 沙盤的軟體叫做ReHIPS 一樣會有這個現象所以算是正常? 06/09 10:21

→ mayuyu: 只是ReHIPS有做了一個虛擬桌面讓我們可以快速切換 06/09 10:21

→ mayuyu: 不同使用者(沙盤)的桌面手動的話就沒有辦法那麼方便 06/09 10:21

→ mayuyu: 只好登入切換到不同使用者的桌面才能處理了 06/09 10:22

我昨天一直往以系統管理員身分執行資源回收桶這個方向去想，沒有想到切換帳號就可以了，頭暈了~ ※ 編輯: lmkkml (1.175.27.117), 06/09/2016 13:41:40

→ cbate: http://i.imgur.com/kg6NZ2r.jpg 06/21 05:02