• 2

[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)

最近中勒索病毒的人又變多了,這篇主要是單純測試之前的方法面對新病毒還有沒有用。或許有人會說備份就好,我完全不否認備份好處多多,除了遇到勒索病毒這種鳥事之外,電腦硬碟哪天忽然壞掉也不是沒可能;這邊講那麼多只是要說明備份不在這篇的討論範圍內。

延續前篇的測試內容(不依賴作業系統以外的軟體下,該如何預防勒索病毒),但是稍微做些修改,主要是因應系統上的限制,僅保留拒絕資料夾寫入權限、移除磁碟機代號,並新增登入使用者帳號一項方法。

一、介紹測試項目

拒絕資料夾寫入:推薦指數 ★★☆☆☆
具體做法以資料夾為單位,於已存放檔案之資料夾上按右鍵點選內容→安全性→編輯,進入變更權限視窗後→選取 Administrators→拒絕寫入方框打勾→按下「確定」。

這時資料夾內的檔案會因為拒絕寫入變成→即便是管理員帳戶也不可以修改檔案內容;但還是可以刪除檔案;還是可以讀取,一旦勒索病毒無法對檔案內容作更動,就無法執行加密。上述整個步驟只需要打一個勾而已,完全不麻煩。完成後最明顯的改變就是於資料夾內檔案按右鍵便會發現「重新命名」前面多了一個盾牌。日後若需要於資料夾內加入新的檔案,將打勾取消即可。
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)

使用使用者帳戶:推薦指數 ★★★★★
具體做法為額外創建一個使用者帳戶,以系統管理員帳戶的身份僅開放某磁碟機或特定資料夾之讀取權限給該使用者帳戶,這邊以磁碟機 F 槽為例,於 F 槽上按右鍵點選內容→安全性→編輯,進入變更權限視窗後→選取Authenticated Users→取消寫入僅保留允許讀取相關的勾勾如下圖→按下「確定」。

日後操作電腦只登入使用者帳戶,而資料都放在磁碟機 F 槽底下;使用者帳戶若中毒,病毒也無法取得修改權限進行加密。上述設定若順利完成,會發現若要在 F 槽新增或修改現有檔案時,會出現要求輸入管理員密碼的使用者帳戶控制彈窗(如果電腦只是個人使用,管理員帳戶不設密碼也無所謂),這時按下「是」即可在 F 槽新增或修改現有檔案。
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)

移除磁碟機代號:推薦指數 ★★★☆☆
具體做法以磁碟機為單位,於開始功能鍵上按右鍵進入磁碟管理→找到想要隱藏的磁碟區按右鍵→點選變更磁碟機代號及路徑→按下「移除」,當出現確認對話框之後→按下「是」。

如果磁碟機沒有被分配到磁碟機代號,就等於沒有了檔案路徑;例如將 D 槽磁碟機代號移除,那麼「D:\」路徑便不可使用,病毒自然也就無法加密「D:\」下的任何檔案。若要使用該磁碟機,則開啟磁碟管理→被移除代號的磁碟機上按右鍵點選內容→安全性→將物件名稱整段複製起來,接著使用「WIN鍵+R」叫出執行功能,執行剛剛複製的物件名稱內容即可開啟磁碟機。
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)


二、勒索病毒測試

CERBERhttps://www.virustotal.com/zh-tw/file/.../analysis/1461389180/
↪ 拒絕資料夾寫入:防護成功
↪ 使用使用者帳號:防護成功
↪ 移除磁碟機代號:防護成功
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)我是 CERBER 病毒的受害者,目前 CERBER 有解嗎?
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)目前 CERBER 無解,請保持關注:https://id-ransomware.malwarehunterteam.com/
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)

LOCKYhttps://www.virustotal.com/zh-tw/file/.../analysis/1461389218/
↪ 拒絕資料夾寫入:防護成功
↪ 使用使用者帳號:防護成功
↪ 移除磁碟機代號:防護成功
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)我是 LOCKY 病毒的受害者,目前 LOCKY 有解嗎?
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)目前 LOCKY 無解,請保持關注:https://id-ransomware.malwarehunterteam.com/
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)


TeslaCrypthttps://www.virustotal.com/zh-tw/file/.../analysis/1461389240/
↪ 拒絕資料夾寫入:防護成功
↪ 使用使用者帳號:防護成功
↪ 移除磁碟機代號:防護成功
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)我是 TeslaCrypt 病毒的受害者,目前 TeslaCrypt 有解嗎?
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)目前 TeslaCrypt 全系列均已破解,詳情請參閱:http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)


CryptXXXhttps://www.virustotal.com/zh-tw/file/.../analysis/1461389309/
↪ 拒絕資料夾寫入:防護成功
↪ 使用使用者帳號:防護成功
↪ 移除磁碟機代號:防護成功
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)我是 CryptXXX 病毒的受害者,目前 CryptXXX 有解嗎?
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)目前新版的 CryptXXX v3 無解,舊版的 CryptXXX v1 及 v2 均已部分破解(*.txt, *.bmp, *.avi, *.mp4, *.mpg 等多項副檔名目前仍解不開),詳情請參閱:https://blog.kaspersky.com/cryptxxx-decryption-20/12091/
[心得]勒索病毒預防和救援簡單測試(CryptXXX、CERBER、LOCKY、TeslaCrypt)

2016-04-20 16:28 發佈

如果以NAS而言,開兩個帳號呢?

公共資料夾(拋棄式,中標即刪)
->使用者帳號(讀/寫)
->管理者帳號(讀/寫)
永久資料夾
->使用者帳號(讀/禁寫)
->管理者帳號(讀/寫)

平時windows只以使用者帳號做網路磁碟連線NAS

每天或每周,挑一台沒中鏢的client,連上VLAN(僅連NAS,無法連外亦無法連到區網內的其他電腦)

以管理者帳號登入並做檔案搬移的動作

作業結束就清除登入資訊不做紀錄

還是以版大的方法開啟禁寫比較方便?因為現在的NAS都有支援windows ACL


不過以20T以上的資料在權限更改上是否會花很久時間?
william5629 wrote:
如果以NAS而言,開...(恕刪)

基本上您的方法已經很OK了,我自己覺得我這邊測試的方法並不會很適合用在NAS上,於大量資料交換環境下甚至可以說是粗糙,適合個人電腦或說是用來了解勒索病毒的運作的成分還比較多。

因為十月才會購入NAS,所以目前只能紙上談兵

選擇人工搬檔案而非自動排程,主要是怕暫存取萬一中伏,NAS不知道又把他複製到永久區,會很麻煩

不過會中伏的話,也是經由區網內任一台正開啟的client

因為NAS預計不會放線上,就區網使用,怕之前群輝事件

PHIL Hou wrote:
基本上您的方法已經...(恕刪)

william5629 wrote:
因為十月才會購入NA...(恕刪)


找有快照備份功能的NAS下手吧!
Q或S牌都有。
每天至少執行一次快照備份,保留最少一週。
這樣若是PC中毒,還可以透過快照還原檔案。
比NAS離線存取來的方便許多。

不然的話還有另一個比較麻煩,但能確實避免NAS內資料全軍覆沒的狀況。
就是分享資料夾都只給唯讀權限,要更新/上傳檔案一律透過Web界面。

參考看看吧。
非必取而不出眾,非全勝而不交兵,緣是萬舉萬當,一戰而定!
治標不治本的方法
PHIL Hou wrote:
最近中勒索病毒的人...(恕刪)
勒索病毒的問題回歸到根本,就是權限控制跟安全性更新兩部分。更新這種東西,老實說使用者相當被動,既來之,則「安」之,沒什麼好談的。所以這邊只談權限控制,這是使用者自己就可以把關的部分。

將測試內容再次濃縮為標準使用者帳戶(限制 Authenticated Users 權限)一個項目。以標準使用者帳戶就算不幸中毒,病毒也無法加密非系統槽的重要檔案為目標;然後在這樣的前提下還要可以自在的寫入/讀取/搬移檔案,不因為了預防勒索病毒而變得綁手綁腳。具體做法為額外創建一個使用者帳戶,僅開放某磁碟機或特定資料夾之讀取權限給該帳戶使用。這邊以磁碟機 D 槽為例,於 D 槽上按右鍵點選內容 → 安全性 → 編輯,進入變更權限視窗後 → 選取 Authenticated Users → 取消寫入僅保留唯讀相關的勾勾 → 按下「確定」。日後操作電腦都登入這個帳戶,然後將重要資料都存放在 D 槽底下。

如果使用標準使用者帳戶,不設定 Authenticated Users 唯讀,中毒了會被加密嗎?
只要勒索病毒拿到寫入的權限,就可以加密,跟你是系統管理員帳戶或標準使用者帳戶無關,重點在於當下是否擁有寫入權限。舉例來說,按照本文的作法若不幸中毒,標準使用者帳戶桌面的東西還是會被加密。

照這樣設定完成之後,日後操作上會變很麻煩嗎?例如要把檔案放到 D 槽的時候。
若要在 D 槽新增檔案或修改現有檔案時,會出現要求輸入管理員密碼的使用者帳戶控制彈窗(如果電腦只是個人使用,管理員帳戶不設密碼也無所謂),這時按下「是」即可在 D 槽新增或修改檔案。算麻煩嗎?嚴格說起來就只是滑鼠多點一下而已。

上面的敘述幾乎都是複製貼上而已,之後底下會針對新出現的勒索病毒不定期做更新,內容或許會很精簡,像是放張中毒的畫面,證明有親自拿病毒做測試。病毒執行後,存放於磁碟機 D 槽的檔案依舊可以正常開啟的話就判定為防護成功。那麼就直接進入正題:

1、JIGSAW相關新聞):使用者帳戶唯讀 → 防護成功


2、Petya and Mischa相關新聞):使用者帳戶唯讀 → 防護成功(由 UAC 擋下)
這病毒比較特殊,是由兩隻病毒所組成的,第一隻 Green Petya 執行後會覆寫主要開機磁區(MBR)並將 Master File Table(MFT)加密,使得受害人無法進入作業系統。幸運的是 Petya 執行時需要管理員權限,如果用戶沒有啟動使用者帳戶控制(UAC),或者在 UAC 通知按「是」的話,Petya 才會安裝。不過一旦 Petya 被 UAC 擋下,便會接著釋放出第二隻病毒 Mischa,然而 Mischa 的執行無需管理員權限。


2、UltraCrypter(.cryp1;相關新聞):使用者帳戶唯讀 → 防護成功
老實說這隻病毒會紅到上電視新聞我還蠻意外的,雖然換了個名字叫 UltraCrypter,但其實就是原本的 CryptXXX v3,勉強算是變種。dll 病毒跟四月份測試時的一樣沒什麼改變,因此防護成功也是可以預期的。

PHIL Hou wrote:
勒索病毒的問題回歸...(恕刪)


作業系統只要有一個提權漏洞就GG了

Clover UEFI 原版黑蘋果! wrote:
作業系統只要有一個...(恕刪)


不然樓上的你有什麼好方法嗎?願聞其詳,樓主本意是好的,提供一個 簡單的方式 可以避免受害,如果 提權還有漏洞 那乾脆別用電腦了,反正遠端可以透過這個漏洞 掌控電腦 那什麼也別玩了

liu.jack21 wrote:
不然樓上的你有什麼...(恕刪)


HitmanPro.Alert Kaspersky IS 2016 都能防
  • 2
評分
複製連結