看板 terievv
作者 標題 標題 [問題] 檔案改唯讀,是否可破勒索病毒行為?
時間 2016-06-10 Fri. 09:54:08
看板 AntiVirus
作者 標題 [問題] 檔案改唯讀,是否可破勒索病毒行為?
時間 Mon Jun 6 13:24:26 2016
好多年沒逛防毒版,過去靠著瘋狂等級的 comodo 護持
即使沒裝任何防毒程式,電腦這樣裸奔了多年也沒中過毒
但這波勒索病毒的災情確實怵目驚心
尤其這波病毒,專挑文件檔、多媒體檔這類容易被 HIPS 忽略的檔案下手
假設說,將特定磁碟機、特定資料夾、或特定檔案,改成唯讀狀態
不知有無辦法對抗這勒索病毒的背景加密行為?
( 許多多媒體檔案,終其一生不會進行編輯,改成唯讀似乎有利無弊 )
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.44.175.216
※ 文章代碼(AID): #1NLGaDul (AntiVirus)
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465190669.A.E2F.html
→ : 看你登錄的帳號有沒有解除唯讀權限 說不定勒索病毒幫你解1F 06/06 13:30
→ : 除唯讀XD
→ : 除唯讀XD
推 : 是不會放到雲端喔?3F 06/06 13:37
推 : 與其改成唯讀狀態 不如把該特定磁碟機disable 調高UAC4F 06/06 13:40
→ : https://goo.gl/zUnAtF
→ : 也可以從BIOS把特定磁碟disable 但就需要重開機才能enable
→ : https://goo.gl/zUnAtF
→ : 也可以從BIOS把特定磁碟disable 但就需要重開機才能enable
→ : 沒辦法,請勤加備份7F 06/06 13:57
→ : 唯讀需要從系統帳戶做 escan 則在安裝時會幫你改好8F 06/06 14:06
→ : escan 在電腦白痴的操作情況下 只要加入清單的資料夾
→ : 就會是唯讀權限 無法刪除無法壓縮更不用講被加密
→ : 至於放到雲端 必需是非常駐要打帳密的
→ : 卡巴斯基會在檔案被變更時提示警告 不過用戶反應要快
→ : 當然 如果你資料夾沒加入清單整理好 那誰都幫不了你
推 : 自設通常效果有限 有機會被改回去且也沒軟體好管理
→ : escan 在電腦白痴的操作情況下 只要加入清單的資料夾
→ : 就會是唯讀權限 無法刪除無法壓縮更不用講被加密
→ : 至於放到雲端 必需是非常駐要打帳密的
→ : 卡巴斯基會在檔案被變更時提示警告 不過用戶反應要快
→ : 當然 如果你資料夾沒加入清單整理好 那誰都幫不了你
推 : 自設通常效果有限 有機會被改回去且也沒軟體好管理
感謝諸位大大的建議,其實很希望有受害者能幫忙測試
若能找到更多的方法對抗,也能嘉惠更多網友群
當然,異地備份絕對是萬全之策
另外,剛剛想到一招,直接用 comodo 針對非系統磁碟的檔案變更進行監視
設定 120 秒,無決定,視同拒絕,目前我是這樣嘗試....
※ 編輯: GAMETYRANT (114.44.175.216), 06/06/2016 14:36:35
→ : 光comodo就夠了 還嫌不夠麻嗎..在加個防15F 06/06 15:48
→ : 廣告 除非是駭客弄你 很多都是自動廣告中
→ : 的
→ : 廣告 除非是駭客弄你 很多都是自動廣告中
→ : 的
推 : 把檔案磁碟機設定離線,要用時再連線18F 06/06 22:20
→ : 如果有用comodo 原則上是不用再用其他防護軟體的19F 06/07 12:48
→ : 只是不合用電腦白癡而已
→ : 只是不合用電腦白癡而已
推 : 樓上的意思是還需要額外的高手級設定嗎?能否請教 謝謝21F 06/07 16:31
看板 AntiVirus
作者 標題 Re: [問題] 檔案改唯讀,是否可破勒索病毒行為?
時間 Mon Jun 6 16:27:26 2016
※ 引述《GAMETYRANT ( 深水無痕 )》之銘言:
: 好多年沒逛防毒版,過去靠著瘋狂等級的 comodo 護持
: 即使沒裝任何防毒程式,電腦這樣裸奔了多年也沒中過毒
: 但這波勒索病毒的災情確實怵目驚心
: 尤其這波病毒,專挑文件檔、多媒體檔這類容易被 HIPS 忽略的檔案下手
: 假設說,將特定磁碟機、特定資料夾、或特定檔案,改成唯讀狀態
: 不知有無辦法對抗這勒索病毒的背景加密行為?
: ( 許多多媒體檔案,終其一生不會進行編輯,改成唯讀似乎有利無弊 )
直接拿病毒來做實驗(先說一下這是在系統管理員帳戶底下測試的),創三個文件夾1~3
,1號是勾選唯讀(這個唯讀是僅套用資料夾中的檔案)、2號是把 administrators 的寫
入權限封死,勾選禁止寫入、3號是把自己的管理員帳戶只保留唯讀。分別是下面三張圖:
http://i.imgur.com/XAbX5HN.png
http://i.imgur.com/223Rmcp.png
http://i.imgur.com/NXdFqGw.png
執行病毒 UltraCrypter(.cryp1)後,1號資料夾陣亡如下圖,2、3號資料夾沒事。
http://i.imgur.com/72eTrhO.png
2、3號資料夾換一隻強一點的病毒 Cerber 來試試看,3號資料夾陣亡,2號資料夾依然沒
事。
http://i.imgur.com/shE9eLQ.png
雖然2號存活了下來,不過它最大的問題並不在於勒索病毒攻擊,而是根本性的不方便。
例如若嘗試把檔案放進去2號資料夾,會出現下圖,要放東西就得把禁寫勾勾取消掉。因
此唯有在萬年不去存放檔案,只用來讀取的資料夾上才會建議這樣用,不然誰受得了。
http://i.imgur.com/LRyrUYT.png
--
Sent from my Windows
--
推 : 有試驗有推22F 06/06 16:29
推 : 有實驗有推,看來很適合用在多年累積的照片檔、音樂檔之類的23F 06/06 16:30
推 : 有實驗給推,感謝分享結果24F 06/06 16:33
推 : 推一個,反正影音檔都這樣設定就好25F 06/06 16:40
推 : 推26F 06/06 16:45
※ 編輯: lmkkml (1.175.27.117), 06/06/2016 16:49:47推 : 有測有推, 辛苦了27F 06/06 16:49
推 : 請問中毒電腦工作管理員完全沒有異狀嗎?28F 06/06 17:05
→ : 我是屬於那種工作管理員有幾隻程式在執行都一清二楚
→ : 的人,所以想知道,完全無法從程序或服務這些東西看
→ : 出端倪嗎?(還是中毒的人根本就不看這些)
當然有病毒在跑囉,不過中毒時要剛好開著工作管理員我想有難度吧。這些病毒最有感的→ : 我是屬於那種工作管理員有幾隻程式在執行都一清二楚
→ : 的人,所以想知道,完全無法從程序或服務這些東西看
→ : 出端倪嗎?(還是中毒的人根本就不看這些)
→ : 而且沒這麼常看 通常看到發現也差不多死了32F 06/06 17:13
→ : 又不可能隨時都在監看,何況有些是利用系統程式在作怪33F 06/06 17:13
→ : 多一兩個 svchost explorer rundll32 很難及時注意到
→ : 多一兩個 svchost explorer rundll32 很難及時注意到
推 : 以我例子,svchost就是固定11隻,電腦在剛啟動好狀態35F 06/06 17:16
推 : 哈哈哈。36F 06/06 17:17
→ : 程序就是54,不多不少剛剛好,我只是在想,覺得奇怪37F 06/06 17:17
→ : 的時候就看一下,發現異狀就強制程序執行終止,也許
→ : 是可以降低災害的措施?
→ : 的時候就看一下,發現異狀就強制程序執行終止,也許
→ : 是可以降低災害的措施?
推 : 設定權限當然可以防止,但是一般電腦設定權限不方便40F 06/06 17:26
推 : 誰沒事會盯著程序看阿...而且直接拔電源線快多了41F 06/06 17:27
→ : 可以裝一台NAS,每次備份就是要登入才能傳也安全42F 06/06 17:28
→ : svchost 別亂關 有些系統會調用 來說說我43F 06/06 17:29
→ : 看過舊版加密中毒過程 恐怖在出現不到一
→ : 秒就隱藏本身進程 執行中cpu使用率完全正
→ : 常不會飄高 完全不會發覺 非常陰險 現在
→ : 大家電腦都很好還ssd 只能多加備份 唯一
→ : 解
→ : 看過舊版加密中毒過程 恐怖在出現不到一
→ : 秒就隱藏本身進程 執行中cpu使用率完全正
→ : 常不會飄高 完全不會發覺 非常陰險 現在
→ : 大家電腦都很好還ssd 只能多加備份 唯一
→ : 解
→ : 不用一直盯著看啊...覺得奇怪就Ctrl+Alt+Del一下很難49F 06/06 17:30
→ : 嗎...?
→ : 嗎...?
→ : 硬碟現在也不貴 做個系統完整備份不花太多錢的51F 06/06 17:30
推 : 查過資料了,工作管理員內的程序不能被隱藏的,最多52F 06/06 17:56
→ : 就是改名而已,所以平常多關心自己電腦,有沒有多出
→ : 什麼奇怪的執行程序吧。
→ : 就是改名而已,所以平常多關心自己電腦,有沒有多出
→ : 什麼奇怪的執行程序吧。
→ : jacklin大大 你知道被加密的時候工作管理員和cmd都開不55F 06/06 17:59
→ : 起來嗎XD
→ : 起來嗎XD
→ : 我就是沒中所以我才問啊...囧> 要不然我超想實驗看看57F 06/06 18:00
→ : 就像我講的...當你覺得奇怪的時候你已經死了58F 06/06 18:00
→ : 而且如果被加密工作管理員就不能開,那更好認了,只59F 06/06 18:00
→ : 要發現打不開就立即關機,也好過全部被鎖完跳勒索畫
→ : 面吧。
→ : 要發現打不開就立即關機,也好過全部被鎖完跳勒索畫
→ : 面吧。
推 : 那SYSTEM的權限需要修改嗎62F 06/06 18:02
SYSTEM部分我完全沒去動它。→ : 當你覺得奇怪的時候應該是直接關機而不是在那邊找吧63F 06/06 18:07
→ : 現在名子都是用常見的 例如svchost or explorer
→ : 另外工作管理員內的程序還是可以隱藏的 你資料是哪來?
→ : 現在名子都是用常見的 例如svchost or explorer
→ : 另外工作管理員內的程序還是可以隱藏的 你資料是哪來?
→ : 之前看到影片的 只出現不到一秒就隱身了66F 06/06 18:13
→ : 排列是 使用率 真的就不見了也沒偽裝
→ : 排列是 使用率 真的就不見了也沒偽裝
推 : 可以用工作管理員或cmd下指令顯示所有處理程序,所以68F 06/06 18:18
推 : 平時2號設定 要放檔案才解除 放完再2號怎樣呢?69F 06/06 18:19
是這樣沒錯呀,就當作那種要輸入密碼才能打開的資料夾,但是如果常常要開開關關就是看每個人的接受度了吧。
→ : 隱藏沒有用,所以tsukiyo99說的應該就是了,直接封鎖70F 06/06 18:19
→ : 不讓你開啟指令集,更狠....
→ : 不讓你開啟指令集,更狠....
→ : 加密軟體的CPU使用效能不會很高 而是disk高 因為都在IO72F 06/06 18:23
→ : 看到硬碟燈瘋狂閃就差不多是了73F 06/06 18:28
→ : 他是測試 加密前就開了 管理 點病毒執行74F 06/06 18:31
→ : 我也不相信啊 因為我也會監看管理員的
→ : 我也不相信啊 因為我也會監看管理員的
推 : 推lmk大實驗76F 06/06 18:40
推 : 感謝lmk大的詳細試驗,看來單純的唯讀果然還是不夠...77F 06/06 18:42
→ : 可以隱藏自身進程 只要hook枚舉進程的api78F 06/06 19:07
→ : 然後移除想要隱藏的進程就可以了 工作管理員看不到的
→ : 還有一些木馬會利用遠程注入的方法
→ : 把要執行的代碼放進其他系統程序裡面去執行
→ : 注入以後就可以把自己的進程給殺掉了 出現閃一下就不見了
→ : 有些是寫成dll讓系統在啟動時加載 不會看到處理程序
→ : 有些是替換掉系統正常的服務 從服務列表也看不出來
→ : 有些是直接裝到內核級的驅動 隨便它想要怎麼修改
→ : 顯示給用戶層看的結果就怎麼修改 一般程式根本看不到它的
→ : 存在 除非你也使用內核級的檢測工具
→ : 而且加載的優先權還要高於木馬的rootkit
推 : 請問l大,如果創建一個新的系統管理員帳戶,
→ : 將目前的帳戶轉為一般使用者,然後限制這個使用者
→ : 的訪問權限(也就是你推薦的方法一),
→ : 這樣可以擋住這二個病毒嗎?
→ : 如果可以,用你的方法一在使用上應該比較方便
Cerber在管理員帳戶底下會要求提權(UAC彈出),同意了就是文中3號資料夾的死法,若按→ : 然後移除想要隱藏的進程就可以了 工作管理員看不到的
→ : 還有一些木馬會利用遠程注入的方法
→ : 把要執行的代碼放進其他系統程序裡面去執行
→ : 注入以後就可以把自己的進程給殺掉了 出現閃一下就不見了
→ : 有些是寫成dll讓系統在啟動時加載 不會看到處理程序
→ : 有些是替換掉系統正常的服務 從服務列表也看不出來
→ : 有些是直接裝到內核級的驅動 隨便它想要怎麼修改
→ : 顯示給用戶層看的結果就怎麼修改 一般程式根本看不到它的
→ : 存在 除非你也使用內核級的檢測工具
→ : 而且加載的優先權還要高於木馬的rootkit
推 : 請問l大,如果創建一個新的系統管理員帳戶,
→ : 將目前的帳戶轉為一般使用者,然後限制這個使用者
→ : 的訪問權限(也就是你推薦的方法一),
→ : 這樣可以擋住這二個病毒嗎?
→ : 如果可以,用你的方法一在使用上應該比較方便
「否」就會很煩的一直彈。而在使用者帳戶底下Cerber不會觸發UAC,很單純執行加密,因
此只要沒寫入權限就可以擋下。UltraCrypter視同CryptXXX,目前這一系列就算要求提權
也只是要刪除磁碟區陰影複製而已。
推 : -------------樓下使用方法2設定D槽影片中-------------94F 06/06 20:23
推 : 哈 我的確是在用方法2設定D槽中 一些幾年來拍的照片跟影片95F 06/06 21:17
→ : 畢竟久久才會去新增更動一次 不礙事
→ : 畢竟久久才會去新增更動一次 不礙事
推 : 改資料夾權限應該是目前最輕鬆的防堵方式了97F 06/06 22:14
→ : 不過當用戶已受感染且不知情(不知病毒已作動)前提下
→ : 雖然透過資料夾權限,可以擋死病毒的侵害行為
→ : 但未來新增檔案,打開資料夾權限時,仍有風險再被加密
→ : 因無法得知病毒母體是否已自殺,或已停止繼續加密
→ : 因此建議在該磁碟或它磁碟根目錄下放幾張不重要的
→ : 圖片當誘餌,作為判別電腦是否受感染的暫時判斷法..
→ : 不過當用戶已受感染且不知情(不知病毒已作動)前提下
→ : 雖然透過資料夾權限,可以擋死病毒的侵害行為
→ : 但未來新增檔案,打開資料夾權限時,仍有風險再被加密
→ : 因無法得知病毒母體是否已自殺,或已停止繼續加密
→ : 因此建議在該磁碟或它磁碟根目錄下放幾張不重要的
→ : 圖片當誘餌,作為判別電腦是否受感染的暫時判斷法..
推 : 個人認為,把平常沒在用的重要檔案 例如多年來的照片104F 06/06 22:26
→ : 你平時不會去看嘛,直接丟在一顆硬碟,然後把那顆硬碟
→ : 設定離線,真的有需要用時,再設定回連線
→ : 改權限目前可以擋,但是哪天駭客來個漏洞修改權限+勒索
→ : 就..............
→ : 你平時不會去看嘛,直接丟在一顆硬碟,然後把那顆硬碟
→ : 設定離線,真的有需要用時,再設定回連線
→ : 改權限目前可以擋,但是哪天駭客來個漏洞修改權限+勒索
→ : 就..............
→ : 現在隨身碟都有64G甚至更高了 內接硬碟也才2K109F 06/06 22:31
→ : 這麼大費周章 還不如乾脆另外備份比較快
→ : 這麼大費周章 還不如乾脆另外備份比較快
推 : BIOS裡把某硬碟disable 這樣怎麼修改權限都不可能傷害到了111F 06/06 22:32
→ : 連硬碟都不可能被抓到了...
※ 編輯: lmkkml (1.175.27.117), 06/06/2016 23:33:50→ : 連硬碟都不可能被抓到了...
推 : 我覺得離線這招更有效耶,不過病毒可以偵測離線硬碟並且把113F 06/06 23:15
→ : 他修改回連線然後開始加密嗎?
→ : 他修改回連線然後開始加密嗎?
推 : BIOS離線就不可能 非BIOS的離線也很難 除非UAC完全關閉115F 06/06 23:17
→ : 也就是說方法一都有效對不對? 如果都有效,方法一好像116F 06/07 00:20
→ : 比較方便
回樓下麻友友大說的是別的方法一XD。只拿Cerber等現在流行的病毒來說是都有效沒錯,→ : 比較方便
但如果我在病毒執行後UAC一律放行,那個方法也是有機會掛掉,特別是刪除陰影複製+加
密這類的,又或是Petya這種以MBR為目標的勒索病毒,UAC一按放行就直接沒救了。
推 : 方法ㄧ不就是最快被破解的那個嗎..118F 06/07 01:10
※ 編輯: lmkkml (1.175.27.117), 06/07/2016 01:47:07推 : 瞭解119F 06/07 03:16
推 : l大我還想到一個方法,如果讓資料碟在沒有使用的時候離線,
→ : 並且把UAC層級拉到最高,這樣資料碟的資料應該就可以免受
→ : 威脅了吧?
→ : 因為開啟磁碟管理會觸發最嚴格的UAC,當然別去按是就好了
→ : 是說這類的病毒會去偵測離線的硬碟並且讓他恢復連線嗎?
我不認為病毒有辦法做到恢復連線,離線/連線交互使用磁碟機本身我覺得就是很棒的方推 : l大我還想到一個方法,如果讓資料碟在沒有使用的時候離線,
→ : 並且把UAC層級拉到最高,這樣資料碟的資料應該就可以免受
→ : 威脅了吧?
→ : 因為開啟磁碟管理會觸發最嚴格的UAC,當然別去按是就好了
→ : 是說這類的病毒會去偵測離線的硬碟並且讓他恢復連線嗎?
法囉,重點放在連線時小心使用這樣子。
→ : 感覺應該要設計一個特大號的硬碟讀寫燈放在桌上125F 06/07 05:50
→ : 只要有大量讀寫,燈狂閃的時候,就注意一下
哈哈,桌面永久常駐工作管理員也是可以啦....→ : 只要有大量讀寫,燈狂閃的時候,就注意一下
※ 編輯: lmkkml (1.175.27.117), 06/07/2016 11:18:52
→ : 工作管理員會耗CPU啊~~127F 06/08 04:25
推 :128F 06/08 07:11
看板
作者 標題 Re: [問題] 檔案改唯讀,是否可破勒索病毒行為?
時間 Tue Jun 7 00:32:40 2016
※ 引述《lmkkml (小羊~~~)》之銘言:
: 直接拿病毒來做實驗(先說一下這是在系統管理員帳戶底下測試的),創三個文件夾1~
3,1號是勾選唯讀(這個唯讀是僅套用資料夾中的檔案)、2號是把 administrators 的
寫入權限封死,勾選禁止寫入、3號是把自己的管理員帳戶只保留唯讀。分別是下面三張
圖:
: http://i.imgur.com/XAbX5HN.png
: http://i.imgur.com/223Rmcp.png
: http://i.imgur.com/NXdFqGw.png
: 執行病毒 UltraCrypter(.cryp1)後,1號資料夾陣亡如下圖,2、3號資料夾沒事。
: http://i.imgur.com/72eTrhO.png
: 2、3號資料夾換一隻強一點的病毒 Cerber 來試試看,3號資料夾陣亡,2號資料夾依然
沒事。
: http://i.imgur.com/shE9eLQ.png
: 雖然2號存活了下來,不過它最大的問題並不在於勒索病毒攻擊,而是根本性的不方便
。例如若嘗試把檔案放進去2號資料夾,會出現下圖,要放東西就得把禁寫勾勾取消掉。
因此唯有在萬年不去存放檔案,只用來讀取的資料夾上才會建議這樣用,不然誰受得了。
: http://i.imgur.com/LRyrUYT.png
昨天開始著手寫了一支防護程式,原理和版上之前的VBS差不多
但 使用 FileSystemWatcher 監視,MD5比對等比較好的方法
,並自動在每個磁碟機建立監控檔
理論上中標時可以減少很多損失,預計明後天可以完成釋出第一版吧
目前缺少新的病毒樣本可以測試
不知版上大大或原PO 可否方便給我載點?
████ █ ★ ████ █ █ █
█ █ █ █ █ █ 超 級 熱 烈 歡 迎
█ ████ █ █ █ ████ █
█ █ █ █ ███★ █ █ 歡迎到嘉義版!
★███ █ █ █ █ █ █ █
訊馳電腦-路徑 → 嘉義市林森西路496號 →(05)2244-526 → 順發斜對面
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 59.127.94.76
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465230766.A.5A2.html
→ : 推熱心的版友 可以考慮寄信跟lmkkml要一下1F 06/07 01:01
→ : 謝謝這麼熱心QQ2F 06/07 01:15
推 : 推熱心3F 06/07 06:03
推 : 推熱心4F 06/07 08:30
推 : 推5F 06/07 08:32
推 :6F 06/07 09:39
推 : 推熱心7F 06/09 10:41
看板 AntiVirus
作者 標題 Re: [問題] 檔案改唯讀,是否可破勒索病毒行為?
時間 Tue Jun 7 08:43:48 2016
※ 引述《lmkkml (小羊~~~)》之銘言:
: 回樓下麻友友大說的是別的方法一XD。只拿Cerber等現在流行的病毒來說是都有效沒錯,
: 但如果我在病毒執行後UAC一律放行,那個方法也是有機會掛掉,特別是刪除陰影複製+加
: 密這類的,又或是Petya這種以MBR為目標的勒索病毒,UAC一按放行就直接沒救了。
: : 推 vobor: 方法ㄧ不就是最快被破解的那個嗎..
對,我說的「方法一」
是指以前lmkkml大大在下面這篇文章裡寫的防禦方法
https://www.ptt.cc/bbs/AntiVirus/M.1461847912.A.603.html
很好用,又有效又方便。
lmkkml大大在文章裡還有提過一個「拒絕資料夾寫入」的方法:
如果你使用的當前帳戶是系統管理員身份,
在想要保護起來的資料夾上按右鍵點選內容→安全性→編輯,
進入變更權限視窗後→選取 Administrators→
拒絕寫入的方框打勾→按下「確定」。
這個方法的好處是即使勒索病毒拿到系統管理員權限,
也無法修改受到保護的資料夾。
保護的資料夾仍然可以正常讀取,只是無法修改,
需要修改的時候,再取消「拒絕寫入」的勾選就好了,
恢復的速度很快。
另外在下面這篇回覆裡,有提到可以設定應用程式白名單的軟體
https://www.ptt.cc/bbs/AntiVirus/M.1465127023.A.96E.html
只有白名單內的程式可以修改受保護的資料夾,
其他程式都禁止修改,即使是以系統管理員身份運行的程式也一樣。
所以這些軟體也可以阻止勒索病毒加密受保護的檔案。
這些軟體像Secure Folders同樣是利用Windows的權限控管機制
(系統存取控制清單ACLs)來禁止應用程式存取資料夾。
我們也可以用lmkkml大介紹的「拒絕資料夾寫入」的方法做到相同的功能。
假設現在系統有兩個用戶,一個是系統管理員Administrator,
一個是標準使用者mayuyu。
1. 建立一個新的標準使用者帳戶,譬如說No.1。
2. 在資料夾上按右鍵點選內容→安全性→編輯,進入變更權限視窗後,
將Administrators和mayuyu的拒絕寫入方框打勾。
3. 按「新增」→「進階」→「立即尋找」
選取剛剛新增的帳戶No.1
4. 將No.1允許寫入的方框打勾
這樣設定之後,系統管理員和mayuyu都不能寫入這個資料夾,
只有運行在No.1這個帳戶底下的程式可以。
平常登入Windows的時候,就使用Administrator或mayuyu帳戶,
同樣可以讀取受保護的資料夾。
需要寫入的時候,例如要修改檔名、修改MP3的TAG、解壓縮檔案的時候,
在要開啟的應用程式上按住shift點右鍵,
在彈出的右鍵選單裡選「以不同的使用者身分執行」,
然後選擇以No.1的身份運行這些程式,
這樣這些程式就可以修改受保護的資料夾了。
記得一定要開UAC。
WIN8要修改群組原則才能在開始功能表下用右鍵選擇
「以不同的使用者身分執行」。
可以用runas命令建立指定使用者身份的應用程式捷徑,
以後直接點捷徑就可以切換身份執行。。
有些軟體有提供Run as...開啟程式的功能,
例如Process Hacker,
可以很快用指定身份開啟需要的程式。
當然,這個方法就變得有些麻煩,
我還是覺得直接用Secure Folders最方便xD
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.36.121
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465260232.A.759.html
推 : Secure Folders不是倒了,還能購買?1F 06/07 08:53
→ : Secure Folders(有s,Secure Folder是另一個軟體)2F 06/07 08:57
→ : 的網站已經消滅了 軟體已經不再更新
→ : 所以務必把Secure Folders的更新檢查在選項裡關閉
→ : Secure Folders一直是免費的不用購買
→ : 的網站已經消滅了 軟體已經不再更新
→ : 所以務必把Secure Folders的更新檢查在選項裡關閉
→ : Secure Folders一直是免費的不用購買
→ : 原來兩個不同(筆記...)6F 06/07 09:02
→ : 請問Secure Folder不好嘛?7F 06/07 09:54
推 : 不是不好 樓上 而是他是付費版的8F 06/07 10:23
→ : Secure FolderS 則是免費軟體
→ : Secure FolderS 則是免費軟體
推 : 哈哈,麻友友大提到到三個帳戶讓我忽然有個靈感,可以 UAC10F 06/07 10:57
→ : 放行到爽也不會被加密!這個想法是標準使用者帳戶該方法的
→ : 進階延伸版,D槽權限要稍作調整,主要差別是改成一個使用
→ : 者、兩個管理員,大概變成下圖這樣子,理論上可以 UAC 放
→ : 到爽,等有時間再來實際操作測試。
→ : http://i.imgur.com/fXXdgKS.png
→ : 放行到爽也不會被加密!這個想法是標準使用者帳戶該方法的
→ : 進階延伸版,D槽權限要稍作調整,主要差別是改成一個使用
→ : 者、兩個管理員,大概變成下圖這樣子,理論上可以 UAC 放
→ : 到爽,等有時間再來實際操作測試。
→ : http://i.imgur.com/fXXdgKS.png
推 : 期待lmkkml的文章,自從synology locker爆發後,看到16F 06/07 11:11
→ : 變種都緊張兮兮,目前是用Norton+malbytes anti ranso
→ : mware beta +secure folders+chrome flash control +A
→ : dblock plus+unlock origin ,然後每次開機就先看adob
→ : e和windows由無更新
→ : 變種都緊張兮兮,目前是用Norton+malbytes anti ranso
→ : mware beta +secure folders+chrome flash control +A
→ : dblock plus+unlock origin ,然後每次開機就先看adob
→ : e和windows由無更新
→ : ADP跟uBlock擇一就可以了吧21F 06/07 14:27
→ : 三個帳戶的想法是偷自Secure Folders的設計原理w22F 06/07 16:19
→ : 期待lmkkml大的進階版!
→ : @JohnnyDell ADP或uBlock可以增加訂閱「惡意域名」
→ : 的過濾規則 除了普通的廣告 也可以阻擋已知散佈
→ : 惡意軟體的網域 這樣子即使病毒不是藏在廣告裡
→ : 惡意代碼連到這些網域要下載木馬的時候也會被阻擋
→ : uBlock還有阻擋第三方js的動態過濾規則
→ : 只有確定安全的網站再手動放行 也可以再減少一些風險
→ : 期待lmkkml大的進階版!
→ : @JohnnyDell ADP或uBlock可以增加訂閱「惡意域名」
→ : 的過濾規則 除了普通的廣告 也可以阻擋已知散佈
→ : 惡意軟體的網域 這樣子即使病毒不是藏在廣告裡
→ : 惡意代碼連到這些網域要下載木馬的時候也會被阻擋
→ : uBlock還有阻擋第三方js的動態過濾規則
→ : 只有確定安全的網站再手動放行 也可以再減少一些風險
推 : 請問uBlock要怎麼訂閱?在選項中沒看到訂閱耶30F 06/07 17:16
推 : 啊,在控制台裡面 找到了..
控制台→第三方過濾規則→惡意域名推 : 啊,在控制台裡面 找到了..
uBlock不會因為訂閱的規則越多,處理效率變慢,
所以可以全部都訂閱沒關係。
還有其實防火牆也有這個功能。
如果你覺得WIN7/WIN10要按住shift+右鍵,
或者是WIN8/WIN10的開始功能表還要修改群組原則or登錄編輯,
才能叫出「以不同的使用者身分執行」的選單很麻煩,
微軟自己有提供一個工具
https://technet.microsoft.com/zh-tw/sysinternals/cc300361.aspx
絕對沒有毒請放心下載xD
下載後執行ShellRunas.exe /reg,以後直接右鍵打開選單就都會出現
「以不同的使用者身分執行」(Run as different user...)的選項。
在WIN10也一樣可以用喔。
如果要永久建立以指定身份執行的程式捷徑,
可以用runas命令
runas /user:使用者名稱 "程式路徑"
存成捷徑或bat檔,以後點擊這個捷徑就會以指定身份開啟程式。
※ 編輯: mayuyu (61.219.36.161), 06/07/2016 18:29:36
推 : 不好意思想請問...我剛好奇試了拒絕寫入的辦法也的確成功32F 06/07 19:26
→ : 了 但在想取消寫入的時候無論什麼權限框框都完全不能點選
→ : 方便的話想請問應該如何把它勾回來呢XD" 謝謝!!
→ : 了 但在想取消寫入的時候無論什麼權限框框都完全不能點選
→ : 方便的話想請問應該如何把它勾回來呢XD" 謝謝!!
→ : 請問你使用的作業系統是?WIN8? WIN10? 登入的使用者身份?35F 06/07 20:52
→ : 我沒有遇到不能改的情況 你可以抓個你目前安全性設定的圖
→ : 給我看一下?
→ : 我沒有遇到不能改的情況 你可以抓個你目前安全性設定的圖
→ : 給我看一下?
→ : 請問Secure Folders win10能否使用呢?38F 06/07 21:38
→ : WIN10可以用39F 06/07 21:51
推 : 您好 剛剛誤打誤撞解決了XD 我使用的是WIN7 但不知道為什40F 06/07 21:58
→ : 麼那顆磁碟的擁有者是亂碼(不是任何已知的使用者) 因此無
→ : 哪個權限都改不了設定XD" 因此更動擁有者為系統管理員就OK
→ : 了 謝謝您!!
→ : 麼那顆磁碟的擁有者是亂碼(不是任何已知的使用者) 因此無
→ : 哪個權限都改不了設定XD" 因此更動擁有者為系統管理員就OK
→ : 了 謝謝您!!
→ : 原來是這個原因,我剛剛有想到可能是擁有者的問題,44F 06/07 22:27
→ : 想請你改擁有者試試看,結果你已經自行解決了 ^^
→ : 推薦試試看lmkkml大的方法一,真的方便又好用。
※ 編輯: mayuyu (61.219.36.156), 06/07/2016 22:28:43→ : 想請你改擁有者試試看,結果你已經自行解決了 ^^
→ : 推薦試試看lmkkml大的方法一,真的方便又好用。
推 : 快幫mayuyu投票阿!47F 06/07 22:48
→ : 剩10天惹
→ : 剩10天惹
看板 AntiVirus
作者 標題 Re: [問題] 檔案改唯讀,是否可破勒索病毒行為?
時間 Wed Jun 8 10:44:42 2016
藉題問一下
如果我想要保護一個備份的資料夾 (資料夾A)
我把每個使用者對 資料夾A 的寫入權限都設為 拒絕
我發現我雖然無法修改 資料夾A 內的東西
但是我確可以重新命名這個跟目錄,像是把 資料夾A 改名為 資料夾B
而且也可以刪除 資料夾A,不需要任何權限
這樣病毒好像可以直接把東西複製出來加密,
然後刪掉原來的檔案就好了...
請問要如何正確設定才不會有這種狀況?
感謝
--
「寫完這題作業,我就要回家了。」
Flag 確定。
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 104.175.196.67
※ 文章網址: https://www.ptt.cc/bbs/AntiVirus/M.1465353886.A.85A.html
推 : 你是不是登入的帳號權限比你設定的權限還要大,如果限制1F 06/08 12:17
→ : 是設定在administrator底下,應該任何動作都不能
→ : 是設定在administrator底下,應該任何動作都不能
→ : 取消「修改」這個權限才能禁止刪除檔案3F 06/08 14:34
→ : 取消「修改」和「寫入」只保留「讀取和執行」
→ : 「列出資料夾內容」「讀取」三個權限打勾
→ : 用取消的方式限制權限 要更改到目前帳戶所具有的全部身份
→ : 譬如說目前帳戶有系統管理員身份 同時屬於
→ : Authenticated Users、Administrators、mayuyu三個群組
→ : 則這三個群組的「修改」權限都要取消或者移除
→ : 才能讓這個帳戶完全喪失對這個資料夾的修改權限
→ : 而拒絕只要一個身份被拒絕就全部拒絕
→ : 有些資料夾因為繼承父權限 方框是灰色的不能更改
→ : 要先在進階中停用繼承權限 轉為明確權限才能修改
→ : 取消「修改」和「寫入」只保留「讀取和執行」
→ : 「列出資料夾內容」「讀取」三個權限打勾
→ : 用取消的方式限制權限 要更改到目前帳戶所具有的全部身份
→ : 譬如說目前帳戶有系統管理員身份 同時屬於
→ : Authenticated Users、Administrators、mayuyu三個群組
→ : 則這三個群組的「修改」權限都要取消或者移除
→ : 才能讓這個帳戶完全喪失對這個資料夾的修改權限
→ : 而拒絕只要一個身份被拒絕就全部拒絕
→ : 有些資料夾因為繼承父權限 方框是灰色的不能更改
→ : 要先在進階中停用繼承權限 轉為明確權限才能修改
→ : 了解! 來試試14F 06/09 07:23
--
※ 作者: terievv 時間: 2016-06-10 09:54:08
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 916
回列表(←)
分享