勒索軟體如 CryptoWall、Crypt0L0cker 在網路上四處肆虐,偷偷將電腦中的文件檔案加密後要求高額贖金,國內外已經有非常多的悲慘案例,不可不慎。目前資安公司對於這類的病毒還沒有一個完善的解決方案能防範,只能靠你我自己的力量來保護自己的資料,因此,硬是要學將透過一系列的文章來告訴大家用最經濟的成本來保護自己的檔案不被勒索。
【拒絕勒索軟體】系列專題:
在第一篇文章中,作者先透過 Windows 內的功能設定進行驗證,並且實際以目前最流行的 3 隻勒索病毒出來挑戰實測,找出能夠防範勒索軟體的有效設定。後續我們還會告訴大家還有哪些簡單、有效又安全的解法,請大家持續關注。
一、測試環境介紹
- 作業系統:Windows 7 Ultimate x86(VMware Workstation 12 Player)
- 使用者帳戶控制(UAC):系統預設值
系統還原與系統保護:開啟
二、測試項目介紹
在本次的測試中,會針對每一個勒索病毒進行下面 4 個測試項目,以確認可否以 Windows 的設定來防護勒索病毒的侵害。
(1) 拒絕資料夾寫入權限:拒絕資料夾寫入權限以協助檔案免於遭病毒變更或覆寫
資料夾權限包括完全控制、修改、讀取和執行、讀取及寫入等。只需簡單勾選資料夾的使用權限,透過指派資料夾權限,以限制使用者或群組對某檔案或資料夾執行特定之動作,來協助保護該物件。
(2) 隱藏磁碟機代號:暫時移除特定的磁碟機代號以協助保護檔案
在 Windows 系統中如果某個磁碟機沒有被分配到磁碟機代號的話,該磁碟機就無法被使用。故此方法並非單純隱藏磁碟機代號而已,更直接限制了磁碟機存取的功能。若要磁碟機恢復使用,只需於被隱藏的磁碟分割區上再新增一次磁碟機代號即可。
(3) BitLocker 磁碟機加密:透過內建的 BitLocker 功能加密磁碟機以協助保護檔案
透過 BitLocker 將磁碟機加密,需經過特定授權才能存取該磁碟機。BitLocker 磁碟機加密功能僅提供 Windows 7 企業版/旗艦版以上系統使用。該功能主要用於保護硬碟與卸除式磁碟機,避免因為遺失或遭竊而導致重要資料失竊或是被有心人士利用。
(4) 系統還原救援:確保執行病毒前有可用之還原點,測試系統還原能否救回失去的檔案
系統還原可協助將電腦還原到較早的時間點,其中系統保護功能會定期建立及儲存電腦系統檔與用戶所修改之舊版檔案內容,並自動將這些副本儲存於還原點中;當檔案或資料夾不慎遭修改、刪除或損毀時,便可利用還原點還原至先前之檔案內容。
三、勒索病毒測試
(1) CryptoWall 4.0
中毒特徵:病毒執行後使用者帳戶控制(UAC)無警示;檔案若不幸遭加密,則檔案名稱連同副檔名皆變為隨機亂碼。
勒索畫面:
測試結果:
● 拒絕資料夾寫入權限 (防護成功)
● 隱藏磁碟機代號 (防護成功)
● BitLocker 磁碟機加密 (防護成功)
注意:使用 BitLocker 磁碟機加密保護狀態下(金色鎖頭)需經過授權才能存取該磁碟機,可以有效預防勒索病毒;但若病毒執行當下處於解除鎖定狀態(銀色鎖頭)則磁碟機內檔案仍會遭病毒加密。
● 系統還原救援 (防護成功)
(2) Crypt0L0cker
中毒特徵:病毒執行後會多次跳出使用者帳戶控制(UAC)詢問視窗,無論選擇允許與否,檔案皆會遭加密;但若選擇允許,則系統還原遭病毒刪除。檔案若不幸遭加密,則副檔名變為 .encrypted。
勒贖畫面:
測試結果:
● 拒絕資料夾寫入權限 (防護成功)
● 隱藏磁碟機代號 (防護成功)
● BitLocker 磁碟機加密 (防護成功)
● 系統還原救援 (須謹慎注意)
若在使用者帳戶控制(UAC)詢問視窗 (如下圖) 選擇允許,則還原點將遭刪除而無法還原;若皆選擇否,試於被加密檔案資料夾按滑鼠右鍵點擊「還原舊版」,選擇還原點進行還原後,原始檔案順利還原成功。
(3) TeslaCrypt 2.2.0
中毒特徵:病毒執行後會多次跳出使用者帳戶控制(UAC)詢問視窗,無論選擇允許與否,檔案皆會遭加密;但若選擇【允許】,則系統還原檔案會遭病毒刪除。檔案若不幸遭加密,則檔案副檔名變為 .vvv。
勒贖畫面:
測試結果:
● 拒絕資料夾寫入權限 (防護成功)
● 隱藏磁碟機代號 (防護成功)
● BitLocker 磁碟機加密 (防護成功)
● 系統還原救援 (須謹慎注意)
若使用者帳戶控制(UAC)詢問視窗選擇「允許」,則還原點檔案將遭刪除而無法還原;若皆選擇否,試著在被加密檔案資料夾按【滑鼠右鍵】點擊【還原舊版】,選擇還原點進行還原後,原始檔案順利還原成功。
註:勒索病毒有不少方法可以快速刪除系統還原和磁碟機現存的快照備份,其中最普遍的方式便是執行 “vssadmin.exe Delete Shadows /All /Quiet” 指令。由於這個程序需要管理員權限才能夠實際運行,因此使用者帳戶控制(UAC)會立即跳出權限存取的選項視窗。
四、結論與建議
- 使用者帳戶控制(UAC)不被關閉或忽略的情況下,系統還原可以恢復遭勒索病毒刪除的原始檔案。因此建議儘可能每個磁碟機都開啟,因為通常重要的文件、影片和照片往往習慣放在系統槽以外的地方。
- 欲預防勒索病毒綁架特定檔案資料夾,拒絕資料夾寫入權限可以限制病毒變更或覆寫檔案之內容
- 欲預防勒索病毒綁架特定磁碟機,移除磁碟機代號 (編按:除非你是神算先知道病毒在運作)、BitLocker 磁碟機加密兩者皆可禁止病毒存取該磁碟機以協助保護檔案。
- 由於勒索病毒種類、變種繁多,本測試結果不保證適用其他勒索病毒。
本文由 Mobile01 網友 PHIL Hou 授權刊載,非經同意請勿任意轉載、節錄。
…剛剛發現好像Google 登入API+DISQUS 似乎也不安全….
已經登出Google仍然可以編寫”其他人” 的舊有留言….
其實最根本的辦法就是不要用Windows,停止微軟的資安破局。
像我目前幾乎都沒在用Windows,我還正在考慮刪掉它。