延續前篇的測試內容(不依賴作業系統以外的軟體下,該如何預防勒索病毒),但是稍微做些修改,主要是因應系統上的限制,僅保留拒絕資料夾寫入權限、移除磁碟機代號,並新增登入使用者帳號一項方法。
一、介紹測試項目 |
▩ 拒絕資料夾寫入:推薦指數 ★★☆☆☆
具體做法以資料夾為單位,於已存放檔案之資料夾上按右鍵點選內容→安全性→編輯,進入變更權限視窗後→選取 Administrators→拒絕寫入方框打勾→按下「確定」。
這時資料夾內的檔案會因為拒絕寫入變成→即便是管理員帳戶也不可以修改檔案內容;但還是可以刪除檔案;還是可以讀取,一旦勒索病毒無法對檔案內容作更動,就無法執行加密。上述整個步驟只需要打一個勾而已,完全不麻煩。完成後最明顯的改變就是於資料夾內檔案按右鍵便會發現「重新命名」前面多了一個盾牌。日後若需要於資料夾內加入新的檔案,將打勾取消即可。
![[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)](http://attach.mobile01.com/attach/201604/mobile01-bdf4236412fd2e4efdeab69fc65cac7b.png)
▩ 使用使用者帳戶:推薦指數 ★★★★★
具體做法為額外創建一個使用者帳戶,以系統管理員帳戶的身份僅開放某磁碟機或特定資料夾之讀取權限給該使用者帳戶,這邊以磁碟機 F 槽為例,於 F 槽上按右鍵點選內容→安全性→編輯,進入變更權限視窗後→選取Authenticated Users→取消寫入僅保留允許讀取相關的勾勾如下圖→按下「確定」。
日後操作電腦只登入使用者帳戶,而資料都放在磁碟機 F 槽底下;使用者帳戶若中毒,病毒也無法取得修改權限進行加密。上述設定若順利完成,會發現若要在 F 槽新增或修改現有檔案時,會出現要求輸入管理員密碼的使用者帳戶控制彈窗(如果電腦只是個人使用,管理員帳戶不設密碼也無所謂),這時按下「是」即可在 F 槽新增或修改現有檔案。
![[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)](http://attach.mobile01.com/attach/201604/mobile01-b4d766d9ad3214d1f54bcc70e0b609b5.png)
▩ 移除磁碟機代號:推薦指數 ★★★☆☆
具體做法以磁碟機為單位,於開始功能鍵上按右鍵進入磁碟管理→找到想要隱藏的磁碟區按右鍵→點選變更磁碟機代號及路徑→按下「移除」,當出現確認對話框之後→按下「是」。
如果磁碟機沒有被分配到磁碟機代號,就等於沒有了檔案路徑;例如將 D 槽磁碟機代號移除,那麼「D:\」路徑便不可使用,病毒自然也就無法加密「D:\」下的任何檔案。若要使用該磁碟機,則開啟磁碟管理→被移除代號的磁碟機上按右鍵點選內容→安全性→將物件名稱整段複製起來,接著使用「WIN鍵+R」叫出執行功能,執行剛剛複製的物件名稱內容即可開啟磁碟機。
![[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)](http://attach.mobile01.com/attach/201604/mobile01-105bb578cbc9718f0fe98aaa42a31d10.png)
二、勒索病毒測試 |
▩ CERBER:https://www.virustotal.com/zh-tw/file/.../analysis/1461389180/
↪ 拒絕資料夾寫入:防護成功
↪ 使用使用者帳號:防護成功
↪ 移除磁碟機代號:防護成功
我是 CERBER 病毒的受害者,目前 CERBER 有解嗎?
目前 CERBER 無解,請保持關注:https://id-ransomware.malwarehunterteam.com/
![[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)](http://attach.mobile01.com/attach/201604/mobile01-7eb7413d008574e09b5c95ab57181c7d.png)
▩ LOCKY:https://www.virustotal.com/zh-tw/file/.../analysis/1461389218/
↪ 拒絕資料夾寫入:防護成功
↪ 使用使用者帳號:防護成功
↪ 移除磁碟機代號:防護成功
我是 LOCKY 病毒的受害者,目前 LOCKY 有解嗎?
目前 LOCKY 無解,請保持關注:https://id-ransomware.malwarehunterteam.com/
![[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)](http://attach.mobile01.com/attach/201604/mobile01-e07eb017f7dff8a63e4a6c1ccf214b81.png)
▩ TeslaCrypt:https://www.virustotal.com/zh-tw/file/.../analysis/1461389240/
↪ 拒絕資料夾寫入:防護成功
↪ 使用使用者帳號:防護成功
↪ 移除磁碟機代號:防護成功
我是 TeslaCrypt 病毒的受害者,目前 TeslaCrypt 有解嗎?
目前 TeslaCrypt 全系列均已破解,詳情請參閱:http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
![[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)](http://attach.mobile01.com/attach/201604/mobile01-b6d19ff81d018e677897817209146775.png)
▩ CryptXXX:https://www.virustotal.com/zh-tw/file/.../analysis/1461389309/
↪ 拒絕資料夾寫入:防護成功
↪ 使用使用者帳號:防護成功
↪ 移除磁碟機代號:防護成功
我是 CryptXXX 病毒的受害者,目前 CryptXXX 有解嗎?
目前新版的 CryptXXX v3 無解,舊版的 CryptXXX v1 及 v2 均已部分破解(*.txt, *.bmp, *.avi, *.mp4, *.mpg 等多項副檔名目前仍解不開),詳情請參閱:https://blog.kaspersky.com/cryptxxx-decryption-20/12091/
![[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)](http://attach.mobile01.com/attach/201604/mobile01-ec06b678a1c04b86088855280d14b7de.png)