今天,我的一位同事的计算机中了勒索软件(杀毒软件没用)。所有文档文件都被加密,并被认为永远消失了。
那么,是否可以通过授予以下文件访问权限来阻止勒索软件:肯定文件类型肯定流程肯定命令行?那么当恶意程序进入计算机时,它可能会因为没有权限而无法加密文件?
例如:对于DOCX文件类型,只有带路径的进程C:\Program 文件\Microsoft Office\Office15\WINWORD.EXE可以打开这种文件类型(甚至可能检查 EXE 文件的签名、哈希值等,以验证该过程是否真实)
有人能告诉我这在技术上是否可行,或者在其他情况下请向我解释为什么这只是另一个愚蠢的想法?
答案1
Windows 根据用户名而不是进程 ID 或扩展名存储文件访问权限。
为了成功,需要以标准用户身份运行并手动运行身份在有限的时间内需要管理员权限。
为了完整性,我将以下内容包括在内,以证明这些过程是多么耗时/糟糕。
您最接近可以做的事情是:1. 以标准/受限用户身份运行。2. 创建新的管理员帐户 3. 将所有用户文件的所有权更改为该帐户,并确保它是唯一有权写入文件的帐户。确保删除管理员、管理员和系统,或将文件设置为只读。
- 尝试运行任何程序时,按住 Shift 键并单击鼠标右键,然后选择“以新用户身份运行”。
上述过程非常繁琐,任何人开始此过程都会在几天内放弃。
另一种方法可能有效,也可能无效,具体取决于用户。Windows 能够为将要运行的程序创建带有哈希值的白名单。但是,设置它将需要很长时间,因为必须单独列出每个有效的 EXE。
在运行对话框中输入 secpol.msc 并导航至应用程序控制策略进而应用程序锁和可执行规则
右键单击并创建可执行规则和下一个并选择您要允许的用户。然后文件哈希和下一个然后浏览文件并一次设置一个程序。您可以通过单击下一个或直接点击创造。
说(暂时)是的创建默认规则以供以后删除。如果没有这些规则,系统将无法使用。
在列出所有可以想象到的 EXE 之后视窗文件夹和程序文件和程序文件(x86)你的工作才刚刚开始。
还有 3 个领域需要制定手动规则Windows 安装程序规则,脚本规则, 和套装应用规则。
现在您已经手动创建了 100 条(如果不是 1000 条)规则,您可以删除默认权限。
您需要在列表末尾添加一条规则来拒绝。针对每个类别的所有用户。
恶意软件很容易滥用默认规则,因此在完成该过程后需要将其删除。
但是,如果有产品更新,例如Windows更新必须重新进行哈希运算。
这个过程可能会有效,但是设置工作太过繁重,没有一个理智的人会去尝试或维护它。
答案2
最简单的解决方案是创建另一个本地用户,例如 LOCAL\OfficeUser,然后仅为 LOCAL\OfficeUser 设置对 Office 文件的完全访问权限,并将 Word 快捷方式设置为“以此 LOCAL\OfficeUser 身份运行”。使用您的标准用户帐户的勒索软件将无法访问您的 Office 文件,但以 LOCAL\OfficeUser 身份启动的 Word 将拥有使用您的 Office 文件的完全权限 ;)...
答案3
你混淆了文件关联和文件权限。文件关联告诉操作系统什么应用可以打开文件以供使用。文件权限授予用户在文件系统级别允许/拒绝对文件的读取/写入/修改/删除和一些其他类别的访问。
勒索软件不需要打开应用程序(如 MS Word)来加密您的 Word 文件。它只需要文件系统权限来访问它。勒索软件使用当前的用户的文件系统权限来读取文件,使用自己的方法加密文件,然后将文件写回硬盘。勒索软件将使用该用户的文件权限访问本地硬盘,并探测网络资源,以加密机器和网络上的数据。即使用户不是机器或网络的管理员,该用户的文件和网络访问权限也可能使勒索软件能够访问整个网络的数据。
如果您没有备份,这种类型的恶意软件可能会非常具有破坏性,因为您完全处于勒索软件开发人员的掌控之中。如果您有良好的备份,那么希望您可以将所有数据恢复到勒索软件之前的状态。